News Windows 10: Kritische Sicherheitslücke ermöglicht Remote-Angriffe

[grincat64]

Hmm, es wird wohl ne Menge Grobmotoriker am Rechner geben, die diese Workarounds nicht gebacken bekommen. Andererseits werden die diese Meldung wahrscheinlich auch garnicht wahrnehmen.
Wie schlimm ist es also wirklich?

Wenn ich jetzt noch so an die Qualitätssicherung von MS denke und wieviel Patches etc. in letzter Zeit so richtig fehlerhaft waren, dann habe ich das derzeitige Krankheitsgefühl nicht nur auf der Corona-Seite des derzeitigen Lebens.

Meine erste Reaktion war jetzt erstmal, die Updates auszusetzen und nachher die Workarounds zu machen.
Nach bereits 2 TelKo's hab ich echt anderes aufn Raster dank Homeoffice und sowas ärgert.

 

[DarkSoul]

Ich finde atmfd.dll auf meinem Windows 10 Rechner nicht... muss dazu ein Adobe-Produkt installiert sein? Der Artikel erweckt irgendwie den Eindruck, als wäre das schon bei Windows 10 dabei.

@Bob.Dig: Nö, ich hatte mit "dir /a /s atmfd.dll" gesucht, das findet das unabhängig von der Windows Suche.

Edit: Als Shell auch als Admin gestartet.

Update: Auch auf meinem Arbeitsrechner mit Adobe Acrobat Reader 2017 ist die Datei nicht vorhanden.
Update 2: Auch auf meinem Rechner mit Adobe Acrobat DC findet sich die Datei nicht.

 

[Aduasen]

Dass MS erst mal nur ein Workaround anbieten kann, da der Patch zum Schließen der Lücke noch in der Mache ist, ist absolut in Ordnung.
Aber ... warum zum Teufel bürdet MS Otto Normal DAU / Anwender die Schritte des Workaround tatsächlich von Hand umzusetzen auf? Wieso wird da nicht seitens MS ein Paket geschnürt, welches die erforderlichen Schritte ausführt und vor allem auch über den Updatemist in Windows verteilt wird?

Weil es wahrscheiinlich genau so lange dauert, ein Programm für den Workaround zu schreiben und zu verteilen, wie das Ding zu patchen und dann zu verteilen.

 

[Farug]

Etwas englisch muss man schon verstehen, aber die Schritte sind gut beschrieben auf der Seite: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/adv200006

Dort steht auch das Windows 10 ab Bild 1709 die Bibliothek ATMFD.DLL nicht mehr ausweist.
Please note: ATMFD.DLL is not present in Windows 10 installalations starting with Windows 10, version 1709. Newer versions do not have this DLL. See the mitigation section for more information.

Ich habe den Workaround auf meinen Rechner umgesetzt und merke bis jetzt keine Einschränkungen. (Nutze aber auch keine Vorschauen im Explorer oder WebDav-Dienste.

 

[leipziger1979]

Das Öffnen eines entsprechend manipulierten Dokuments oder das Betrachten der Vorschau im Windows Explorer kann laut Microsoft ausreiche

Und damit sitzt die größte Sicherheitslücke, damit der Angriff erfolgreich sein kann, fast wie immer vor dem Monitor.

Dort steht auch das Windows 10 ab Bild 1709 die Bibliothek ATMFD.DLL nicht mehr ausweist.
Please note: ATMFD.DLL is not present in Windows 10 installalations starting with Windows 10, version 1709. Newer versions do not have this DLL. See the mitigation section for more information.

Wenn dem so ist ist das Problem doch gelöst?
Denn ohne die bugbehaftete Datei gibt es die Sicherheitslücke nicht.

 

[Razorex]

Daher müsste doch auch Windows 7 anfällig sein oder?

Ja, ist es. Security Advisory: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/adv200006

Windows 7 for 32-bit Systems Service Pack 1				Remote Code Execution	Critical
Windows 7 for x64-based Systems Service Pack 1				Remote Code Execution	Critical

 

[Informer]

• Deaktivierung der Vorschau im Windows Explorer
• Deaktivierung der Detailansicht im Windows Explorer
• Deaktivierung des WebClient-Dienstes über Services.msc
• Umbenennen der Bibliothek (atmfd.dll) des Adobe Type Managers

Wie bei den CB-Gewinnspielen - mindestens eine der vier Aufgaben lässt dich verzweifeln und am Ende überwiegt Hoffnung der Gewissheit.

 

[Qowy]

Wenn ich das richtig verstehe ist es doch ab Windows 10 1709 nicht mehr so schlimm, da hier maximal die ausführende AppContainer Font Sandbox übernommen werden kann.
Einziges wirkliches Risiko, ist dann vermutlich Nutzerdaten Verschlüsselung, wenn der überhaupt Rechte dafür hat.

 

[Carrera124]

Und damit sitzt die größte Sicherheitslücke, damit der Angriff erfolgreich sein kann, fast wie immer vor dem Monitor.

Nur dass die Person vor dem Monitor üblicherweise nicht weiß, welche Datei manipuliert ist und welche nicht.
Und bei manchen Tätigkeiten ist es völlig normal, dass man täglich zig PDF-Dateien bekommt, von Leuten die man kennt, aber auch von Leuten die man nicht kennt.

 

[Farug]

@leipziger1979 - Nein leider nicht ganz, es wird nur abgeschwächt:
For systems running supported versions of Windows 10 a successful attack could only result in code execution within an AppContainer sandbox context with limited privileges and capabilities.

 

[leipziger1979]

Abschließend bleibt aber festzuhalten:

Wie kann es eine Sicherheitslücke im OS geben, die auf einer Datei beruht die es gar nicht gibt?
Ich bitte um Antworten!

 

[deo]

Mit generellem Noscript (keine aktiven Inhalte per Default ausführen) kann man die meisten Schwachstellen entschärfen, aber das widerspricht dem Prinzip, dass alles funktionieren soll.
Zudem haben die großen Softwareanbieter, die Leute zur Passivität erzogen, denen man möglichst jeden zusätzlichen Klick per Patch abnehmen muss.
Da können sie noch so viele Workarrounds veröffentlichen; die meisten schalten dann ab, weil sie es nicht gewohnt sind, mal etwas selbst am System zu drehen.
Damit man sichere System bekommt, muss man Anwender wieder zum selbstständigen Handeln erziehen. Es gibt aber auch Beispiele, die ins andere Extrem gehen, wo man viele überfordert hat, als es noch Konfigurationsdateien bei MS-DOS zu bearbeiten galt und man nichts klicken konnte. Ein Scipt, das man nur bei MS bekommt, um eine Schwachstelle vorübergehend zu schließen, ist ein Mittelweg.

 

[catch 22]

Weil es wahrscheiinlich genau so lange dauert, ein Programm für den Workaround zu schreiben und zu verteilen, wie das Ding zu patchen und dann zu verteilen.

Mit den entsprechenden Ressourcen (ein Honk der die Regestry Keys kennt / ein Honk, der die entsprechende Wissensdatenbank bei MS bedienen kann) ist das "automatisieren" des Workarounds, eine Sache von vielleicht 5 bis 10 Minuten (inkl. der Abfrage welches Windows installiert ist und dann den entsprechenden Ablauf zu starten, dem Shell basierten umbenennen der DLL Datei und dem deaktivieren des Dienstes - durch die Bank durch Script / Batch Befehle abbildbar, die in einfachster Syntax geschrieben werden)
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/adv200006#ID0EUGAC
Einfach mal zu dem Workaround runter scrollen. Der erfahrene Anwender macht das in 2 bis 3 Minuten von Hand Der Dau / Laie / einfache Anwender braucht alleine schon für das Deaktivieren der Vorschau Google.

Dann nochmal ein paar Minuten für einen Infotext, falls man der Meinung sein sollte, dass die Anwender eingehender zu den durchgeführten Änderungen informiert werden sollte, samt Hinweis, dass das nun erstmal eine vorübergehende Lösung ist, und dass man mit hochdruck an einer endgültigen, sauberen Lösung arbeitet und ab damit an die Leute, die die Lokalisierungen durchführen

 

[Simanova]

Ja, ist es. Security Advisory: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/adv200006

Windows 7 for 32-bit Systems Service Pack 1				Remote Code Execution	Critical
Windows 7 for x64-based Systems Service Pack 1				Remote Code Execution	Critical

Okay, dann bleibt die Lücke wohl offen. Ein Grund mehr die Leute zum Wechsel zu bewegen (hoffentlich).

 

[olfbc]

"Umbenennen der Bibliothek (atmfd.dll) des Adobe Type Managers"
in was soll ich die Datei umbenennen?

Ist "SauBeitl.dll" Ok?
Oder lieber etwas nobler und ich nehme "Kretin.dll" ?

 

[keule79]

Zum Workaround: wo gibt es das auf Deutsch? Gerade für Otto Normalo wichtig!

https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/adv200006

 

[Farug]

@leipziger1979 - Ich nehme an das die Bibliothek atmfd.dll bei den neueren Versionen Bestandsteil der fontdrvhost.exe geworden ist - aber das ich nur eine Vermutung.

 

[andi_sco]

https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/adv200006

Danke für die Mühe

 

[keule79]

Danke für die Mühe

Gerne

 

[jemandanders]

Ich finde die Datei atmfd.dll gar nicht auf c:. Ich hoffe, dies ist nicht dem Bug der Windowssuche von vor ein paar Wochen zuzuschreiben. 😉

Ich finde atmfd.dll auf meinem Windows 10 Rechner nicht... muss dazu ein Adobe-Produkt installiert sein? Der Artikel erweckt irgendwie den Eindruck, als wäre das schon bei Windows 10 dabei.

@Bob.Dig: Nö, ich hatte mit "dir /a /s atmfd.dll" gesucht, das findet das unabhängig von der Windows Suche.

Edit: Als Shell auch als Admin gestartet.

Update: Auch auf meinem Arbeitsrechner mit Adobe Acrobat Reader 2017 ist die Datei nicht vorhanden.
Update 2: Auch auf meinem Rechner mit Adobe Acrobat DC findet sich die Datei nicht.

Wenn Ihr mal hier lesen würdet: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/adv200006
Dort steht auch weiter unten, das in Windows ab 1709 diese Datei nicht mehr installiert ist:

Rename ATMFD.DLL

Please note: ATMFD.DLL is not present in Windows 10 installalations starting with Windows 10, version 1709. Newer versions do not have this DLL. See the mitigation section for more information.

Hätte man evtl auch im Text dabei schreiben können.
Normalerweise liest man sich aber auch beim Hersteller die Infos durch. Meine Meinung.