Security Advisory: Sicherheitslücke 0-Day in Windows (CVE-2020-17087)
Seit 2015 arbeite ich wieder als System Engineer für die Leuchter IT Solutions AG. Bereits von 2008 bis 2013 war ich für Leuchter tätig. Meine Kompetenzen liegen im Bereich Netzwerk und IT Security. In meiner Freizeit bin ich leidenschaftlicher Gleitschirmpilot, bin im Sommer gelegentlich auf dem Motorrad anzutreffen, seltener mal auch in einem Dojo auf der Matte.
Googles ProjectZero hat eine Lücke in Kryptographie-Treibern von Windows entdeckt, welche eine Privilege Escalation erlaubt. Diese kann zum Ausbrechen aus einer Sandbox, wie sie von Virenscannern oder Browsern verwendet wird, genutzt werden.
Die Lücke wurde von ProjectZero entgegen den üblichen Gepflogenheiten mit einer Vorwarndauer von 7 Tagen publiziert, da, nach eigenen Angaben, Beweise für das aktive Ausnutzen der Lücke vorliegen. Dies allerdings nur über eine Exploit-Chain mit einer Lücke in der Chrome-Codebase (CVE-2020-15999, FreeType).
Massnahmen für Admins?
Grundsätzlich wurden die betroffenen Browser Chrome, Chromium, Edge) von Google resp. Microsoft mit Updates gegen den Einstiegspunkt über die FreeType-Lücke versorgt. Es wird davon ausgegangen, dass Microsoft die Kernel-Lücke mit dem Cumulative Update per 10. November schliesst.
Somit bleibt zeitnahes Patchen der Komponenten die richtige Wahl.
Weiterführend zu beachten
Da es zumindest Hinweise auf die Lücke "in the wild" gibt und ProjectZero dazu eine ausführliche Analyse verfasst hat, sollte auf das zeitnahe Patches auf keinen Fall verzichetet werden.