Microsoft hat im Rahmen des monatlichen "Patch Tuesday" in der letzten Woche insgesamt 120 Sicherheitslücken in seinen Produkten beseitigt. Zu den geschlossenen Lücken gehört auch eine lokal ausnutzbare Spoofing-Schwachstelle, CVE-2020-1464, welche laut Sicherheitsforschern bereits mindestens seit August 2018 aktiv ausgenutzt wird.

Der Sicherheitsforscher Tal Be'ery hat auf der Online-Plattform Medium eine Zusammenfassung zur Geschichte hinter CVE-2020-1464 veröffentlicht. Laut Be'ery wurden erste aktive Exploits der Lücke im August 2018 von Bernardo Quintero, Mitbegründer des Malware-Prüfdiensts VirusTotal, entdeckt. Microsoft soll sofort von Quintero informiert worden sein.

Weiterhin erläuterte Quintero im VirusTotal-Blog im Januar 2019 technische Details zur Sicherheitslücke. Angreifer können demnach eine schädliche JAR-Datei an eine von einem vertrauenswürdigen Softwareentwickler signierte MSI-Datei anhängen. Die resultierende ausführbare Malware-Datei werde von Microsoft als gültig eingestuft. Die Lücke geriet nach der Veröffentlichung einiger ähnlicher Beiträge zunächst in Vergessenheit, bis sie von Forschern und Angreifern im Juni 2020 erneut entdeckt wurde.

Die Schließung der Sicherheitslücke sowie die Einstufung als "Important" im Advisory etwa zwei Jahre nach Quinteros erstem Hinweis dürfte mit einigen neuerlichen Exploits zusammenhängen. Die US Behörde CISA hatte außerdem in einem Security Advisory vor der Lücke gewarnt.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE