Kritische Sicherheitslücke im Microsoft Windows Hilfe- und Supportcenter
10. Juni 2010
Update am 11. Juni 2010
Dieses Problem kann dazu benutzt werden kann, durch Betrachten einer entsprechend präparierten Webseite beliebigen Code mit den Rechten des Benutzers auszuführen.
Es ist zu erwarten, dass diese Schwachstelle schon bald in großem Stil ausgenützt wird.
Sollte eine Organisation auf diese Funktionalität angewiesen sein, stellt der Author auch dafür einen Hotfix bereit, den wir jedoch nicht getestet haben und daher keine Aussage darüber machen können.
Informationsquelle(n):
Meldung bei Heise Security
http://www.heise.de/security/meldung/Windows-Hilfe-als-Einfallstor-fuer-Angreifer-1018965.html
Originales Advisory von Tavis Ormandy (englisch)
http://lock.cmpxchg8b.com/b10a58b75029f79b5f93f4add3ddf992/ADVISORY
Update: Advisory von Microsoft (englisch)
http://www.microsoft.com/technet/security/advisory/2219475.mspx
Update am 11. Juni 2010
Remote Code Execution - CERT.at ersucht um Beachtung der folgenden Meldung.
Beschreibung
Wie Heise Security berichtet, gibt es aktuell ein Problem mit dem Microsoft Windows Hilfe- und Supportcenter, speziell mit der Funktion des Nachladens von Hilfedokumenten aus dem Internet per hcp://-URLs.Dieses Problem kann dazu benutzt werden kann, durch Betrachten einer entsprechend präparierten Webseite beliebigen Code mit den Rechten des Benutzers auszuführen.
Ein Patch seitens Microsoft steht noch nicht zur Verfügung.
Auswirkungen
Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.Es ist zu erwarten, dass diese Schwachstelle schon bald in großem Stil ausgenützt wird.
Betroffene Systeme
Alle Systeme, auf denen das Microsoft Hilfe- und Supportcenter installiert ist. Dies werden vermutlich alle Systeme von Windows XP/Server 2003 aufwärts sein, wir können nicht ausschliessen, dass dies auch ältere Windows-Versionen (etwa Windows 2000) betrifft.Der Beispiel-Exploit funktioniert derzeit auf einem vollständig gepatchten System mit
- Microsoft Windows XP SP3, Internet Explorer 8, Media Player 9
Update (11. Juni 2010):
Microsoft hat mittlerweile ein Advisory dazu herausgegeben.
Laut diesem soll das Problem auf Windows 2000, Vista, 7 und Server 2008 nicht auftreten, es sind nur Windows XP und Server 2003 betroffen.
Microsoft hat mittlerweile ein Advisory dazu herausgegeben.
Laut diesem soll das Problem auf Windows 2000, Vista, 7 und Server 2008 nicht auftreten, es sind nur Windows XP und Server 2003 betroffen.
Abhilfe
Bis ein Patch seitens Microsoft zur Verfügung steht, kann das Nachladen von Hilfe-Dokumenten durch Entfernen des Registry-Keys "HKEY_CLASSES_ROOT/HCP/shell/open" deaktiviert werden.Sollte eine Organisation auf diese Funktionalität angewiesen sein, stellt der Author auch dafür einen Hotfix bereit, den wir jedoch nicht getestet haben und daher keine Aussage darüber machen können.
Update (11. Juni 2010):
Laut dem mittlerweile vorliegenden Advisory von Microsoft reicht es nicht, den oben angeführten Registry-Key zu entfernen, es muss der komplette Sub-Tree "HKEY_CLASSES_ROOT/HCP" gelöscht werden, Details bitte dem Advisory von Microsoft zu entnehmen.
Laut dem mittlerweile vorliegenden Advisory von Microsoft reicht es nicht, den oben angeführten Registry-Key zu entfernen, es muss der komplette Sub-Tree "HKEY_CLASSES_ROOT/HCP" gelöscht werden, Details bitte dem Advisory von Microsoft zu entnehmen.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.Informationsquelle(n):
Meldung bei Heise Security
http://www.heise.de/security/meldung/Windows-Hilfe-als-Einfallstor-fuer-Angreifer-1018965.html
Originales Advisory von Tavis Ormandy (englisch)
http://lock.cmpxchg8b.com/b10a58b75029f79b5f93f4add3ddf992/ADVISORY
Update: Advisory von Microsoft (englisch)
http://www.microsoft.com/technet/security/advisory/2219475.mspx
Email: reports@cert.at
Tel.: +43 1 5056416 78
Tel.: +43 1 5056416 78
mehr ...
Update - Zero-Day-Sicherheitslücke in Microsoft Internet Explorer 8 - aktiv ausgenütztKritische Sicherheitslücke in IBM Lotus Notesmehr ...
Exim und Dovecot: Remote Command ExecutionExplosionen in Boston: Exploits im Webmehr ...
Jahresbericht 2012
