Zwei Microsoft-Zero-Day-Lücken werden ausgenutzt

24. März 2020, 11:01
  • microsoft
  • standard-software
  • lücke
  • breach
  • channel
image

Beide Lücken betreffen zahlreiche Windows-Versionen. Patches lassen noch einige Zeit auf sich warten, sagt Microsoft und das habe Vorteile.

Microsoft warnt vor gezielten Angriffen, die zwei Zero-Day-RCE-Schwachstellen (Zero-Day Remote Code Execution) in der Windows Adobe Type Manager Library (atmfd.dll) aktiv ausnutzen. Microsoft hat die Schwachstellen als kritisch eingestuft und sagt, dass Rechner betroffen sind, auf denen Windows-Desktop- und -Server-Versionen laufen, darunter Windows 10, Windows 8.1, Windows 7 und mehrere Versionen von Windows Server.
"Microsoft ist sich der begrenzten Anzahl gezielter Angriffe bewusst, die nicht gepatchte Sicherheitslücken in der Adobe Type Manager Library ausnutzen könnten, und stellt die folgenden Hinweise zur Verfügung, um das Kundenrisiko bis zur Veröffentlichung des Sicherheitsupdates zu verringern", so das Unternehmen.
Ein Patch ist noch keiner verfügbar. Der Konzern sagt, dass derzeit ein Fix entwickelt werde, und dieser soll am nächsten Patch-Tuesday – also am 14. April – bereitgestellt sein. Diese mehrwöchige Verzögerung sei zum Besten der User, versichert Microsoft: "Dieser vorhersehbare Zeitplan ermöglicht die Qualitätssicherung und IT-Planung der Partner." Aber Achtung: Da der Support für Windows 7, Windows Server 2008 und Server 2008 R2 abgelaufen ist, bekommen nur noch zahlende Kunden des Support-Programms "Extended Security Update" (ESU) die Patches.
In der Mitteilung erklärt Microsoft die Workarounds bis dahin. Einer besteht simpel darin, die Vorschau für Dokumente im Explorer abzuschalten. Ein weiterer sei, die Bibliothek "atmfd.dll" zu deaktivieren. Verwirrlich ist dabei, ob es diese unter Windows 10 gibt, in einschlägigen Foren wird stattdessen von "atmlib.dll" geschrieben. Inwiefern die Microsoft-Workarounds bei Windows 10 funktionieren, überlassen wir den Fachleuten.
Die beiden RCE-Sicherheitslücken bestehen in Microsoft Windows, wenn es bei der Verarbeitung von "multi-master Font - Adobe Type 1 PostScript Format"-Dateien zu einem Fehler komme. Auf Windows-10-Geräten sei die Ausführung von Code wegen der beiden Zero-Day-Schwachstellen laut Microsoft zwar möglich, aber nur mit begrenzten Rechten und Möglichkeiten innerhalb eines AppContainer-Sandbox-Kontextes. Auch damit können Angreifer potenziell Programme installieren, Daten anzeigen, ändern oder löschen oder sogar neue Konten mit vollen Benutzerrechten erstellen.
Microsoft erklärt, dass die erweiterten Sicherheitseinstellungen von Windows Server nicht weiterhelfen.
Für einen erfolgreichen Angriff muss ein Opfer eine entsprechende Datei öffnen. Die Darstellung in der Windows-Explorer-Vorschaufunktion genüge für das Eindringen, die Ansicht via Outlook-Preview-Funktion soll hingegen nicht gefährlich sein. Wie das Ausführen in der Vorschau-Funktion technisch möglich ist, ist nicht bekannt. Manche meinen, es könnte ein Buffer-Overflow-Problem sein.

Loading

Mehr zum Thema

image

Exklusiv: Prime Computer vor dem Aus

Der St.Galler Assemblierer stellt seinen Betrieb bereits per Ende Oktober ein. Unseren Quellen zufolge wird seit Frühjahr über die Auflösung von Prime Computer spekuliert.

aktualisiert am 21.9.2022 1
image

Kyndryl präsentiert neue Plattform für Ressourcenmanagement

"Kyndryl Bridge" soll Unternehmen helfen, den Überblick über ihre IT-Infrastruktur zu behalten. Mit der Lancierung tritt auch der neue Schweiz-Chef Olivier Vareilhes verstärkt ins Rampenlicht.

publiziert am 21.9.2022
image

Weshalb sich Cloud-Zahlen nur schwer vergleichen lassen

Weil die Hyperscaler ihre Umsätze unterschiedlich berechnen und ausweisen, ist ein direkter Vergleich der einzelnen Konkurrenten nur sehr schwer möglich.

publiziert am 21.9.2022
image

Ingram Micro will zurück an die Börse

Ingram Micro plant nach fast 6 Jahren eine Rückkehr an die Börse. Damit zeichnet sich ein Transformationsschub bei dem Distributor ab.

publiziert am 21.9.2022