Microsoft schloss aktiv ausgenutzte Sicherheitslücke erst nach zwei Jahren
Die Sicherheitslücke CVE-2020-1464 war Microsoft offenbar seit 2018 bekannt, wurde schon damals für Angriffe ausgenutzt – und doch erst jetzt geschlossen.
(Bild: Oleg Troino/Shutterstock.com)
Letzte Woche Dienstag hat Microsoft im Zuge des monatlichen "Patch Tuesday" insgesamt 120 Sicherheitslücken aus seinen Produkten beseitigt – darunter auch CVE-2020-1464, eine lokal ausnutzbare Spoofing-Schwachstelle in mehreren Windows-Versionen. Das erregte die Aufmerksamkeit mehrerer Sicherheitsforscher: Ihren Berichten zufolge wird die Lücke schon seit mindestens August 2018 aktiv ausgenutzt. Auch Microsoft sei bereits zu diesem Zeitpunkt informiert worden, habe damals aber erklärt, keinen Patch veröffentlichen zu wollen. Warum, ist bis heute unklar.
"GlueBall"-Exploits seit 2018
Auf der Online-Plattform Medium hat der Sicherheitsforscher Tal Be'ery die Geschichte hinter CVE-2020-1464 zusammengefasst. Demnach wurden erste aktive Exploits der Lücke, die Be'ery und seine Kollegen als "GlueBall" bezeichnen, im August 2018 von Bernardo Quintero, Mitbegründer des Malware-Prüfdiensts VirusTotal, entdeckt. Quintero soll Microsoft daraufhin sofort informiert haben; außerdem lud er am 22. August ein GlueBall-Sample bei VirusTotal hoch.
Im Januar 2019 erläuterte Quintero technische Details zu GlueBall im VirusTotal-Blog. "Kurz gesagt könnte ein Angreifer eine schädliche JAR-an eine MSI-Datei anhängen, welche von einem vertrauenswürdigen Softwareentwickler (...) digital signiert wurde", schrieb er. Anschließend könne man das derart "zusammengeklebte" Resultat mit einer .jar-Endung versehen, um letztlich eine ausführbare (Malware-)Datei mit einer von Microsoft als gültig eingestuften Signatur zu erhalten. JAR-Dateien sind ausführbare Archive mit Java-Code.
Auf Quinteros Blogeintrag folgten laut Be'ery noch ähnliche Beiträge, die sich mit dem Verstecken von Schadcode mittels GlueBall befassten. Dann geriet die Lücke offenbar eine Weile in Vergessenheit – bis Forscher wie auch Angreifer sie im Juni 2020 unverändert wieder hervorkramten.
Kehrtwende nach rund zwei Jahren
Am Ende von Quinteros Blogpost von Januar 2019 heißt es: "Microsoft hat entschieden, dieses Problem in den aktuellen Windows-Versionen nicht zu beheben und hat zugestimmt, dass wir öffentlich über unsere Erkenntnisse zu dem Thema bloggen dürfen".
Dass Microsoft sich rund zwei Jahre nach Quinteros erstem Hinweis schließlich doch zum Patchen entschied und die Sicherheitslücke im Advisory zu CVE-2020-1464 gar als "Important" einstufte, dürfte mit den neuerlichen "GlueBall"-Exploits zusammenhängen. Anfang August hatte zudem die US-Behörde CISA in einem Security Advisory vor aktiven Angriffen auf die Lücke gewarnt. Gegenüber IT-Security-Blogger Brian Krebs, der die "GlueBall"-Story ebenfalls in seinem Blog thematisierte, wich Microsoft der Frage nach der Kehrtwende aus und verwies lediglich darauf, dass ja nun eine Aktualisierung verfügbar sei.
heise Security hat das verfügbare Update gegen CVE-2020-1464 in einer Meldung zum Microsoft-Patchday thematisiert:
(ovw)