[Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke

Dieses Thema im Forum "Netzwelt" wurde erstellt von raid-rush, 6. November 2011 .

Schlagworte:
  1. 6. November 2011
    Workaround für Sicherheitslücke im Windows-Kernel veröffentlicht, die auch der Duqu-Wurm benutz

    Die Lücke ist laut Microsoft in der Parsing-Engine (T2EMBED.DLL) der Win32k TrueType-Schriftart. Angreifer können diese Sicherheitslücke ausnutzen, um beliebigen Code im Kernel-Mode auszuführen.

    Ich empfehle wirklich jedem das zu Fixen, da der Patch im nächsten Patchday noch nicht enthalten ist.

    Es langt schon eine Email oder Webseite zu öffnen um sich mit manipuliertem TrueType-Font zu infizieren.

    Betroffen sind fast alle Windows Versionen:
    Code:
    Windows XP Service Pack 3
    Windows XP Professional x64 Edition Service Pack 2
    Windows Server 2003 Service Pack 2
    Windows Server 2003 x64 Edition Service Pack 2
    Windows Server 2003 with SP2 for Itanium-based Systems
    Windows Vista Service Pack 2
    Windows Vista x64 Edition Service Pack 2
    Windows Server 2008 for 32-bit Systems Service Pack 2**
    Windows Server 2008 for x64-based Systems Service Pack 2**
    Windows Server 2008 for Itanium-based Systems Service Pack 2
    Windows 7 for 32-bit Systems and Windows 7 for 32-bit Systems Service Pack 1
    Windows 7 for x64-based Systems and Windows 7 for x64-based Systems Service Pack 1
    Windows Server 2008 R2 for x64-based Systems and Windows Server 2008 R2 for x64-based Systems Service Pack 1**
    Windows Server 2008 R2 for Itanium-based Systems and Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
    
    Hier der T2EMBED.DLL Workaround für die Deutsche Version von Windows:


    Als Administrator (oder Nutzer mit admin Rechten) Folgende Befehle in der CMD (Start-> Ausführen -> "CMD" eingeben und enter) eingeben

    Windows XP & Windows Server 2003:

    32-bit systems :
    Code:
    Echo y| cacls "%windir%\system32\t2embed.dll" /E /P Jeder:N
    64-bit systems:
    Code:
    Echo y| cacls "%windir%\system32\t2embed.dll" /E /P Jeder:N
    Echo y| cacls "%windir%\syswow64\t2embed.dll" /E /P Jeder:N


    Windows Vista, Windows 7, Windows Server 2008, und Windows Server 2008 R2:

    32-bit:
    Code:
     Takeown.exe /f "%windir%\system32\t2embed.dll"
    
     Icacls.exe "%windir%\system32\t2embed.dll" /deny *S-1-1-0:(F)


    64-bit systeme:
    Code:
     Takeown.exe /f "%windir%\system32\t2embed.dll"
    
     Icacls.exe "%windir%\system32\t2embed.dll" /deny *S-1-1-0:(F)
    
     Takeown.exe /f "%windir%\syswow64\t2embed.dll"
    
     Icacls.exe "%windir%\syswow64\t2embed.dll" /deny *S-1-1-0:(F)


    Für die US und englischsprachigen Windows Versionen einfach "Jeder" durch "everyone" ersetzen.

    Weitere Informationen: Microsoft Security Advisory (2639658): Vulnerability in TrueType Font Parsing Could Allow Elevation of Privilege
     
  2. 6. November 2011
    AW: [Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke

    Funktioniert.

    Für alle, die nicht wissen, wie man unter Vista/7 eine Eingabeaufforderung mit Adminrechten öffnet:

    Unter START -> Alle Programme -> Zubehör
    Rechtsklick auf "Eingabeaufforderung" und "Als Administrator starten"
    Nach der optionalen UAC Bestätigung habt ihr nun ein "DOS"-Fenster mit Adminrechten.
     
  3. 6. November 2011
    AW: [Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke

    Vielleicht sollte man aus dem Thread erstmal einen "Sticky" machen.

    Funzt jedenfalls bestens.
     
  4. 6. November 2011
    AW: [Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke

    done, hat alles geklappt
    danke dir

    Windows 7 SP1 Enterprise x64
     
  5. 6. November 2011
    AW: [Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke

    Und was ist, wenn fehlermeldungen auftreten?



    C:\Users\...> Takeown.exe /f "%windir%\syswow64\t2embed.dll"+
    Fehler: Das System kann die angegebene Datei nicht finden.

    C:\Users\...> Icacls.exe "%windir%\syswow64\t2embed.dll" /deny *S-1-1-0:
    (F)
    C:\Windows\syswow64\t2embed.dll: Zugriff verweigert
    0 Dateien erfolgreich verarbeitet, bei 1 Dateien ist ein Verarbeitungsfehler auf
    getreten.
     
  6. 6. November 2011
    AW: [Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke

    Getestet und funktioniert

    Windows7 x64 Ultimate (Original) Service Pack 1

    hinter dem ersten befehl ist ein "+" ist das auch dabei? Ansonsten checken ob man wirklich als Admin drin ist und auch die CMD als Admin gestartet hat
     
  7. 6. November 2011
    AW: [Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke

    Gibts dazu auch irgendwie ne Quelle oder ne Seite mit weiteren Infos? Also wo die Lücke genauer beschrieben wird oder die dem normalen Durchschnittsuser sagt, was er da grad in seiner Console genau gemacht hat und warum der Fehler nun auf einmal "ausgeschaltet" ist?

    Edit:
    Die Befehle laufen ohne Fehler durch, oder die Sicherheitslücke ist definitiv dicht?
     
  8. 6. November 2011
    AW: [Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke

    Funktioniert einwandfrei, Danke dir für das Tut.
     
  9. 6. November 2011
    AW: [Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke

    schau dich hier mal um:

    Duqu: Microsoft bringt ersten Fix, Update später - WinFuture.de
    mit link zu microsoft: Microsoft Security Advisory (2639658): Vulnerability in TrueType Font Parsing Could Allow Elevation of Privilege

    Provisorisches Pflaster gegen Duqu-Wurm | heise Security
     
  10. 6. November 2011
    AW: [Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke

    Die Links von Crack sind auch nicht gerade tiefgründig schätze mal du suchst mehr nach solchen Infos:
    Du entziehst also dem User "Jeder" die Rechte auf die t2embed.dll zuzugreifen.

    Q: http://patch-info.de/categories/6-Windows-XP

    Grüße
     
  11. 6. November 2011
    AW: [Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke

    jo ging. kann man kopierten text auch in die cmd-konsole von xp einfügen? habs grad abgetippt gehabt. mit strg+v steht da nur ^V.
     
  12. 6. November 2011
    AW: [Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke

    stimmt, ^C und ^V gehen in der eingabeaufforderung nicht. kopier hier ausm forum eine zeile wie gewohnt mit ^C, im eingabefenster machst dann rechtsklick und benutzt einfügen.

    ^C und ^V stehen für ctrl+c und ctrl+v
     
  13. 6. November 2011
    AW: [Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke

    Danke, hab gleich mal davon Batches erstellt und auf USB Stick gezogen.
     
  14. 6. November 2011
    AW: [Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke

    Ich habs mit den Befehlen einzeln gemacht: Rechtsklick auf die Console | Einfügen.
    Denke die Leerzeichen am Anfang sind schlecht, wenn dus komplett kopierst.


    --
    Ansonsten erstmal danke für den Hinweis, wer weiss, wann ichs mitbekommen hätte, wenn ich RR nicht hätt *gg
    Danke auch Crack und Palme, habe jetzt grob verstanden, worums geht, auch wenn noch nen paar Sachen unklar sind^^

    "Jedem" ist jetzt der Zugriff auf die Datei verboten, den "Administratoren" jedoch nach wie vor nicht. Heisst das ich bin immernoch verwundbar, wenn ich mit einem Administratoraccount arbeite? Oder nutzt die Lücke niemals den aktiven Account sondern wasweissich?
    "System" hat ja auch noch Zugriff, also wirds wohl auch keine Lücke in irgendnem Service sein, der von "System" gestartet wurde.

    Außerdem würde mich interessieren, ob das Sperren des Zugriffs für mich irgendwelche konsequenzen hat. Kann ich jetzt keine TTFs mehr installieren/nutzen? (Weil wenn ichs könnte, könnte ich ja auch ne bösartige nehmen)?

    Oder nutzt die Lücke irgendne Methode zur RightElevation und nutzt daraufhin dann irgendnen "unbekannten" Account, sodass im Normalfall alles weiterhin klappt, nur eben die Lücke nicht mehr?

    Vllt hat ja wer detailierteres Wissen über die Lücke oder weiss, wo man detailierteres Wissen finden kann^^
     
  15. 6. November 2011
    AW: [Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke

    Der Workaround nimmt einfach die Zugriffsrechte auf die betroffene Datei.

    Wenn man jetzt eine Seite öffnet die eine TureType Font mitliefert, wird das evtl nicht funktioniern, was ja der fall sein sollte für den Schutz. Normal hat man alle verwendeten Fonts schon im Windows, spezielle Fonts werden nur selten benötigt und diese stellen derzeit das Risiko da manipuliert zu sein.


    Wenn der Browser mit Adminrechten läuft, wird der Schutz nicht viel bringen vermute ich.

    Das ist genau der knackpunkt, weil durch diese Lücke eben auch Systeme infiziert werden können die den browser NICHT als Admin betreiben.


    Wenn du Fonts hinzufügst als Admin sollte es keine Probleme geben da der ja noch alle rechte auf diese Datei hat.

    Falls Spezialprogramme doch Zugriff benötigen und nicht als Admin laufen, kann man es so rückgängig machen:




    Windows XP und Windows Server 2003:

    32-bit:
    Code:
    cacls "%windir%\system32\t2embed.dll" /E /R Jeder

    64-bit:
    Code:
    cacls "%windir%\system32\t2embed.dll" /E /R Jeder
    cacls "%windir%\syswow64\t2embed.dll" /E /R Jeder

    Windows Vista, Windows 7, Windows Server 2008 und Windows Server 2008 R2:

    32-bit:
    Code:
    Icacls.exe "%windir%\system32\t2embed.DLL" /remove:d *S-1-1-0

    64-bit:
    Code:
    Icacls.exe "%windir%\system32\t2embed.DLL" /remove:d *S-1-1-0
    Icacls.exe "%windir%\syswow64\t2embed.DLL" /remove:d *S-1-1-0
     
  16. 6. November 2011
    AW: [Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke

    Dank dir, alles ohne Fehler geklappt

    Win 7 Ulti 64 bit
     
  17. 6. November 2011
    AW: [Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke

    Okey, geht bei mir jetzt auch, doofes + danke Palme
     
  18. 6. November 2011
    AW: [Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke

    vielen dank für die info!
    werde es gleich aml durchführen!
     
  19. 6. November 2011
    AW: [Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke

    Hat alles perfekt funktioniert, danke!
    System: Win7 Professional 64bit
     
  20. 6. November 2011
    AW: [Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke

    Hab auch mal den Stopfstempel benutzt, danke fürs TUT

    Win 7 64bit Ultimate SP1
     
  21. 7. November 2011
    AW: [Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke

    bei mir ging auf einmal die office funktion "Save to PDF" nicht mehr, erst nach rückgängig machen war wieder alles beim alten...
     
  22. 7. November 2011
    AW: [Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke

    Habe die gleiche Erfahrung gemacht. Muss an dem Betapatch liegen...
     
  23. 7. November 2011
    AW: [Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke

    Funzt alles bestens - bedankt
     
  24. 7. November 2011
    AW: [Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke

    Dito.. Die Befehle haben alles wunderbar geklappt, aber das PDF Ding geht nimmer. Kann man das wieder reparieren?
     
  25. 7. November 2011
    AW: [Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke


    Microsoft Security Advisory: Vulnerability in TrueType font parsing could allow elevation of privileges


    Workaround von Microsoft, das ist KEIN patch.
     
  26. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.