Windows Sicherheitslücke in Virtual DOS Machine

Hi,

nun wurde noch eine Lücke in Windows bekannt, die von Tavis Ormandy (Google-Sicherheitsteam) öffentlich gemacht wurde.

Die Ursache für dieses Problems sind Fehler in Virtual DOS Machine (VDM, 1993 eingeführt) zur Unterstützung von 16-Bit-Anwendungen (Real-Mode-Anwendungen für 8086). Die VDM beruht auf dem Virtual 8086 Mode (VM86) der 80386-Prozessoren und fängt unter anderem Hardware-Zugriffe wie BIOS-Aufrufe ab. Betroffen davon sind vermutlich alle 32-Bit-Windows-Versionen von Windows NT 3.1 bis sogar  Windows 7. Durch die diese Lücke können Anwender (oder auch ein nicht-privilegiertes 16-Bit-Programm) mit eingeschränkten Rechten an System-Rechte gelangen und mit mehreren Tricks den zu jedem Prozess gehörenden Kernel-Stack manipulieren. Damit ist es möglich, Code mit Systemrechten auszuführen.

Der Exploit den Ormandy dazu veröffentlicht hat funktioniert wohl unter unter Windows XP, Windows Server 2003 und 2008, Windows Vista und Windows 7. Dabei wurde ein Eingabeaufforderung im System-Kontext, also mit den höchsten Rechten augerufen.

Ein Workarounds dazu ist einfach zu realisieren sind: Man schaltet das MSDOS-Subsystem ab.

Dazu muss man im die Gruppenrichtliniemeditor unter Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Anwendungskompatibilität“ die Option „Zugriff auf 16-Bit-Anwendungen verhindern“ aktivieren. Dies funktioniert aber erst seit Windows Server 2003.

Alternativ kann man auch in der Registry den Schlüssel „HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppCompat“ erzeugen und dort als D-Word-Wert „VDMDisallowed“ mit dem Wert 1 anlegen oder sich die Datei „vdmdisallow.reg“ mit folgenden Inhalt anlegt:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppCompat] „VDMDisallowed“=dword:00000001

und die Datei mit Adminrechten ausführt.

Na dann, Viel Spass beim selber testen!
CU

Advertisements

Microsoft Patchday Januar 2010

Hi,

heute war wieder Microsoft Patchday! Es wurde nur 1 Update für 1 Sicherheitslücke veröffentlicht. Betroffen sind folgende Applikationen:

  • Windows 2000 Service Pack 4
  • Windows XP Service Pack 2 & 3 *
  • Windows Vista Service Pack 1 & 2 *
  • Windows Server 2003 Service Pack 2 *
  • Windows Server 2008 Service Pack 2 *
  • Windows 7 *
  • Windows Server 2008 R2
    * 32bit and 64bit Architektur

Microsoft Security Bulletin Summary für Januar 2010

KB972270: Sicherheitsanfälligkeit im Embedded OpenType-Schriftartmodul kann Remotecodeausführung ermöglichen
Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in Microsoft Windows. Die Sicherheitsanfälligkeit kann Remotecodeausführung ermöglichen, wenn ein Benutzer in Clientanwendungen wie Microsoft Internet Explorer, Microsoft Office PowerPoint oder Microsoft Office Word, die EOT-Schriftarten darstellen können, Inhalte anzeigt, die in einer speziell gestalteten EOT-Schriftart (Embedded OpenType) dargestellt werden. Nutzt ein Angreifer diese Sicherheitsanfälligkeit erfolgreich aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

Natürlich wurden auch die Junk-E-Mail-Filter von Outlook und Windows Mail und das Tool zum Entfernen bösartiger Software aktualisiert.

Na dann, Viel Spass beim selber Testen!
CU

Windows 7 / Server 2008 R2: Windows Biometric Framework Hotfix

Hi,

in einigen Fällen kommt es laut Microsoft wohl zu seinem STOP-Fehler in Windows 7 und Server 2008 R2 bei der Nutzung z.B. eines Fingerprint Readers, der das neue Windows Biometric Framework nutzt. Dafür hat Microsoft nun einen Hotfix im KB Artikel 97559 veröffentlicht!

  • You have a computer that is running Windows 7 or Windows Server 2008 R2.
  • You connect a fingerprint biometric device to this computer.
  • You install an application that uses the Windows Biometric Framework (WBF) to access the device.
  • You perform one of the following operations:
    • Restart the computer.
    • Put the computer to sleep.
    • Put the computer in hibernation.
  • In this scenario, a Stop error 0x9F may occur.

Hotfixes nicht präventiv einspielen, sondern nur wenn man auch das dazugehörige Problem hat!

Na dann, Viel Spass beim selber Testen!
CU

Ebook: kostenloses Handbuch Windows Server 2008 R2

Hi,

der Der Galileo-Verlag hat ein kostenloses Ebook “Windows Server 2008 R2 Handbuch” von Ulrich B. Boddenberg zum kostenlosen Download bereitgestellt. Schwerpunkte sind alle neuen Features im Vergleich zum Windows Server 2008.

Der Download ist ohne jede Registrierung möglich,  zudem ist Online eine Volltext-Recherche möglich.

galileo_w2k8r2_ebook

Na dann, Viel Spass beim selber Testen!
CU

Windows 7/Server2008 R2: Hotfix für Stop-Fehlermeldungen bei großen SATA HDDs

Hi,

laut Microsoft kann es offenbar zu Problemen kommen, wenn Windows 7 oder Windows Server 2008 R2 aus dem Standby oder Ruhezustand (S1- oder S3-Status) aufgeweckt werden. Auf manchen Systemen erscheint dann eine der folgenden Stop-Fehlermeldung.

  • STOP 0x0000007A
  • STOP 0x00000077
  • STOP 0x000000F4
Der Hotfix KB977178 steht aber zum Download bereit, der das Problem beheben soll.
Hotfixes nicht präventiv einspielen, sondern nur wenn man auch das dazugehörige Problem hat!
Das Problem scheint aber nur aufzutreten, wenn sehr große SATA Festplatten verbaut sind, von 1 Terabyte Kapazität oder mehr. Der SATA-Treiber setzt voraus, dass die Festplatten nach 10 Sekunden wieder vollständig betriebsbereit sind. Bei großen SATA-Platten kann dieser Zeitraum aber zu kurz sein.
Na dann, Viel Spass beim selber Testen!
CU

Windows 7 / Server 2008 R2: Hotfix für Windows Media Player 12 Problem mit Videobild flackern

Hi,

unter Windows 7 und Windows  Server 2008 R2 behebt ein Hotfix von Microsoft die Probleme mit mit Videobild flackern des Windows Media Player 12. Der KB Artikel 975806 gibt darüber Auskunft:

You have a computer that is running Windows 7 or Windows Server 2008 R2. You configure Windows Media Player 12 to display subtitles when you play a DVD. However, the video image flickers every time that a new line of subtitle is displayed.

This problem occurs because of an issue in the way that the Enhanced Video Renderer (EVR) handles subtitle notifications.

Na dann, Viel Spass beim selber Testen!
CU

Microsoft Patchday Dezember 2009

Hi,

Hi,

heute war wieder Microsoft Patchday! 6 Updates schließen damit die 15 Sicherheitslücken. Betroffen sind folgende Applikationen:

  • Windows 2000 Service Pack 4
  • Windows XP Service Pack 2 & 3 *
  • Windows Vista Service Pack 1 & 2 *
  • Windows Server 2003 Service Pack 2 *
  • Windows Server 2008 Service Pack 2 *
  • Windows 7 *
  • Windows Server 2008 R2
  • Microsoft Office XP
  • Microsoft Office 2003
  • Microsoft Project 2000, 2002, 2003
  • Microsoft Works 8.5
  • Microsoft Office Converter Pack
    * 32bit and 64bit Architektur

Microsoft Security Bulletin Summary für Dezember 2009

KB974318: Sicherheitsanfälligkeiten im Internetauthentifizierungsdienst können Remotecodeausführung ermöglichen
Dieses Sicherheitsupdate behebt zwei vertraulich gemeldete Sicherheitsanfälligkeiten in Microsoft Windows. Diese Sicherheitsanfälligkeiten können Remotecodeausführung ermöglichen, wenn vom Internetauthentifizierungsdienst-Server empfangene Nachrichten beim Verarbeiten von PEAP-Authentifizierungsversuchen falsch in den Speicher kopiert werden. Ein Angreifer, dem es gelingt, eine dieser Sicherheitsanfälligkeiten auszunutzen, kann vollständige Kontrolle über das betroffene System erlangen. Server mit Internetauthentifizierungsdienst sind nur betroffen, wenn PEAP mit MS-CHAP v2-Authentifizierung verwendet wird.

KB967183: Sicherheitsanfälligkeit in Microsoft Office Project kann Remotecodeausführung ermöglichen
Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in Microsoft Office Project. Die Sicherheitsanfälligkeit kann Remotecodeausführung ermöglichen, wenn ein Benutzer eine speziell gestaltete Project-Datei öffnet. Nutzt ein Angreifer diese Sicherheitsanfälligkeit erfolgreich aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

KB976325: Kumulatives Sicherheitsupdate für Internet Explorer
Dieses Sicherheitsupdate behebt vier vertraulich gemeldete Sicherheitsanfälligkeiten und eine öffentlich gemeldete Sicherheitsanfälligkeit in Internet Explorer. Wenn ein Benutzer eine speziell gestaltete Webseite mit Internet Explorer anzeigt, können diese Sicherheitsanfälligkeiten Remotecodeausführung ermöglichen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten. Ein mit ATL-Headern (Microsoft Active Template Library) erstelltes ActiveX-Steuerelement kann auch Remotecodeausführung ermöglichen. Diese Sicherheitsanfälligkeit ist in der Microsoft-Sicherheitsempfehlung 973882 und im Microsoft Security Bulletin MS09-035 beschrieben.

KB974392: Sicherheitsanfälligkeit im Subsystemdienst für die lokale Sicherheitsautorität kann Denial-of-Service ermöglichen
Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in Microsoft Windows. Die Sicherheitsanfälligkeit kann Denial-of-Service ermöglichen, wenn ein authentifizierter Remoteangreifer während der Kommunikation durch IPSec (Internet Protocol Security) eine speziell gestaltete ISAKMP-Nachricht an den LSASS-Dienst (Local Security Authority Subsystem Service) auf einem betroffenen System sendet.

KB971726: Sicherheitsanfälligkeiten in den Active Directory-Verbunddiensten können Remotecodeausführung ermöglichen
Dieses Sicherheitsupdate behebt zwei vertraulich gemeldete Sicherheitsanfälligkeiten in Microsoft Windows. Die schwerere dieser Sicherheitsanfälligkeiten kann Remotecodeausführung ermöglichen, wenn ein Angreifer einem ADFS-fähigen Webserver eine speziell gestaltete HTTP-Anforderung sendet. Ein Angreifer muss ein authentifizierter Benutzer sein, um eine dieser Sicherheitsanfälligkeiten auszunutzen.

KB975539: Sicherheitsanfälligkeit in WordPad- und Office-Textkonverternkann Remotecodeausführung ermöglichen
Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in Microsoft WordPad- und Microsoft Office-Textkonvertern. Die Sicherheitsanfälligkeit kann Remotecodeausführung ermöglichen, wenn eine speziell gestaltete Word 97-Datei in WordPad oder Microsoft Office Word geöffnet wird. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Berechtigungen wie der betreffende Benutzer erlangen. Für Benutzer, deren Konten mit geringeren Systemrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit Administratorberechtigungen arbeiten.

Natürlich wurden auch die Junk-E-Mail-Filter von Outlook und Windows Mail und das Tool zum Entfernen bösartiger Software aktualisiert.

 

Na dann, Viel Spass beim selber Testen!
CU