#1 6. November 2011 Workaround für Sicherheitslücke im Windows-Kernel veröffentlicht, die auch der Duqu-Wurm benutz Die Lücke ist laut Microsoft in der Parsing-Engine (T2EMBED.DLL) der Win32k TrueType-Schriftart. Angreifer können diese Sicherheitslücke ausnutzen, um beliebigen Code im Kernel-Mode auszuführen. Ich empfehle wirklich jedem das zu Fixen, da der Patch im nächsten Patchday noch nicht enthalten ist. Es langt schon eine Email oder Webseite zu öffnen um sich mit manipuliertem TrueType-Font zu infizieren. Betroffen sind fast alle Windows Versionen: Code: Windows XP Service Pack 3 Windows XP Professional x64 Edition Service Pack 2 Windows Server 2003 Service Pack 2 Windows Server 2003 x64 Edition Service Pack 2 Windows Server 2003 with SP2 for Itanium-based Systems Windows Vista Service Pack 2 Windows Vista x64 Edition Service Pack 2 Windows Server 2008 for 32-bit Systems Service Pack 2** Windows Server 2008 for x64-based Systems Service Pack 2** Windows Server 2008 for Itanium-based Systems Service Pack 2 Windows 7 for 32-bit Systems and Windows 7 for 32-bit Systems Service Pack 1 Windows 7 for x64-based Systems and Windows 7 for x64-based Systems Service Pack 1 Windows Server 2008 R2 for x64-based Systems and Windows Server 2008 R2 for x64-based Systems Service Pack 1** Windows Server 2008 R2 for Itanium-based Systems and Windows Server 2008 R2 for Itanium-based Systems Service Pack 1 Hier der T2EMBED.DLL Workaround für die Deutsche Version von Windows: Als Administrator (oder Nutzer mit admin Rechten) Folgende Befehle in der CMD (Start-> Ausführen -> "CMD" eingeben und enter) eingeben Windows XP & Windows Server 2003: 32-bit systems : Code: Echo y| cacls "%windir%\system32\t2embed.dll" /E /P Jeder:N 64-bit systems: Code: Echo y| cacls "%windir%\system32\t2embed.dll" /E /P Jeder:N Echo y| cacls "%windir%\syswow64\t2embed.dll" /E /P Jeder:N Windows Vista, Windows 7, Windows Server 2008, und Windows Server 2008 R2: 32-bit: Code: Takeown.exe /f "%windir%\system32\t2embed.dll" Icacls.exe "%windir%\system32\t2embed.dll" /deny *S-1-1-0:(F) 64-bit systeme: Code: Takeown.exe /f "%windir%\system32\t2embed.dll" Icacls.exe "%windir%\system32\t2embed.dll" /deny *S-1-1-0:(F) Takeown.exe /f "%windir%\syswow64\t2embed.dll" Icacls.exe "%windir%\syswow64\t2embed.dll" /deny *S-1-1-0:(F) Für die US und englischsprachigen Windows Versionen einfach "Jeder" durch "everyone" ersetzen. Weitere Informationen: Microsoft Security Advisory (2639658): Vulnerability in TrueType Font Parsing Could Allow Elevation of Privilege + Multi-Zitat Zitieren
#2 6. November 2011 AW: [Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke Funktioniert. Für alle, die nicht wissen, wie man unter Vista/7 eine Eingabeaufforderung mit Adminrechten öffnet: Unter START -> Alle Programme -> Zubehör Rechtsklick auf "Eingabeaufforderung" und "Als Administrator starten" Nach der optionalen UAC Bestätigung habt ihr nun ein "DOS"-Fenster mit Adminrechten. + Multi-Zitat Zitieren
#3 6. November 2011 AW: [Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke Vielleicht sollte man aus dem Thread erstmal einen "Sticky" machen. Funzt jedenfalls bestens. + Multi-Zitat Zitieren
#4 6. November 2011 AW: [Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke done, hat alles geklappt danke dir Windows 7 SP1 Enterprise x64 + Multi-Zitat Zitieren
#5 6. November 2011 AW: [Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke Und was ist, wenn fehlermeldungen auftreten? C:\Users\...> Takeown.exe /f "%windir%\syswow64\t2embed.dll"+ Fehler: Das System kann die angegebene Datei nicht finden. C:\Users\...> Icacls.exe "%windir%\syswow64\t2embed.dll" /deny *S-1-1-0: (F) C:\Windows\syswow64\t2embed.dll: Zugriff verweigert 0 Dateien erfolgreich verarbeitet, bei 1 Dateien ist ein Verarbeitungsfehler auf getreten. + Multi-Zitat Zitieren
#6 6. November 2011 AW: [Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke Getestet und funktioniert Windows7 x64 Ultimate (Original) Service Pack 1 hinter dem ersten befehl ist ein "+" ist das auch dabei? Ansonsten checken ob man wirklich als Admin drin ist und auch die CMD als Admin gestartet hat + Multi-Zitat Zitieren
#7 6. November 2011 AW: [Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke Gibts dazu auch irgendwie ne Quelle oder ne Seite mit weiteren Infos? Also wo die Lücke genauer beschrieben wird oder die dem normalen Durchschnittsuser sagt, was er da grad in seiner Console genau gemacht hat und warum der Fehler nun auf einmal "ausgeschaltet" ist? Edit: Die Befehle laufen ohne Fehler durch, oder die Sicherheitslücke ist definitiv dicht? + Multi-Zitat Zitieren
#8 6. November 2011 AW: [Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke Funktioniert einwandfrei, Danke dir für das Tut. + Multi-Zitat Zitieren
#9 6. November 2011 AW: [Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke schau dich hier mal um: Duqu: Microsoft bringt ersten Fix, Update später - WinFuture.de mit link zu microsoft: Microsoft Security Advisory (2639658): Vulnerability in TrueType Font Parsing Could Allow Elevation of Privilege Provisorisches Pflaster gegen Duqu-Wurm | heise Security + Multi-Zitat Zitieren
#10 6. November 2011 AW: [Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke Die Links von Crack sind auch nicht gerade tiefgründig schätze mal du suchst mehr nach solchen Infos: Du entziehst also dem User "Jeder" die Rechte auf die t2embed.dll zuzugreifen. Q: http://patch-info.de/categories/6-Windows-XP Grüße + Multi-Zitat Zitieren
#11 6. November 2011 AW: [Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke jo ging. kann man kopierten text auch in die cmd-konsole von xp einfügen? habs grad abgetippt gehabt. mit strg+v steht da nur ^V. + Multi-Zitat Zitieren
#12 6. November 2011 AW: [Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke stimmt, ^C und ^V gehen in der eingabeaufforderung nicht. kopier hier ausm forum eine zeile wie gewohnt mit ^C, im eingabefenster machst dann rechtsklick und benutzt einfügen. ^C und ^V stehen für ctrl+c und ctrl+v + Multi-Zitat Zitieren
#13 6. November 2011 AW: [Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke Danke, hab gleich mal davon Batches erstellt und auf USB Stick gezogen. + Multi-Zitat Zitieren
#14 6. November 2011 AW: [Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke Ich habs mit den Befehlen einzeln gemacht: Rechtsklick auf die Console | Einfügen. Denke die Leerzeichen am Anfang sind schlecht, wenn dus komplett kopierst. -- Ansonsten erstmal danke für den Hinweis, wer weiss, wann ichs mitbekommen hätte, wenn ich RR nicht hätt *gg Danke auch Crack und Palme, habe jetzt grob verstanden, worums geht, auch wenn noch nen paar Sachen unklar sind^^ "Jedem" ist jetzt der Zugriff auf die Datei verboten, den "Administratoren" jedoch nach wie vor nicht. Heisst das ich bin immernoch verwundbar, wenn ich mit einem Administratoraccount arbeite? Oder nutzt die Lücke niemals den aktiven Account sondern wasweissich? "System" hat ja auch noch Zugriff, also wirds wohl auch keine Lücke in irgendnem Service sein, der von "System" gestartet wurde. Außerdem würde mich interessieren, ob das Sperren des Zugriffs für mich irgendwelche konsequenzen hat. Kann ich jetzt keine TTFs mehr installieren/nutzen? (Weil wenn ichs könnte, könnte ich ja auch ne bösartige nehmen)? Oder nutzt die Lücke irgendne Methode zur RightElevation und nutzt daraufhin dann irgendnen "unbekannten" Account, sodass im Normalfall alles weiterhin klappt, nur eben die Lücke nicht mehr? Vllt hat ja wer detailierteres Wissen über die Lücke oder weiss, wo man detailierteres Wissen finden kann^^ + Multi-Zitat Zitieren
#15 6. November 2011 AW: [Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke Der Workaround nimmt einfach die Zugriffsrechte auf die betroffene Datei. Wenn man jetzt eine Seite öffnet die eine TureType Font mitliefert, wird das evtl nicht funktioniern, was ja der fall sein sollte für den Schutz. Normal hat man alle verwendeten Fonts schon im Windows, spezielle Fonts werden nur selten benötigt und diese stellen derzeit das Risiko da manipuliert zu sein. Wenn der Browser mit Adminrechten läuft, wird der Schutz nicht viel bringen vermute ich. Das ist genau der knackpunkt, weil durch diese Lücke eben auch Systeme infiziert werden können die den browser NICHT als Admin betreiben. Wenn du Fonts hinzufügst als Admin sollte es keine Probleme geben da der ja noch alle rechte auf diese Datei hat. Falls Spezialprogramme doch Zugriff benötigen und nicht als Admin laufen, kann man es so rückgängig machen: Windows XP und Windows Server 2003: 32-bit: Code: cacls "%windir%\system32\t2embed.dll" /E /R Jeder 64-bit: Code: cacls "%windir%\system32\t2embed.dll" /E /R Jeder cacls "%windir%\syswow64\t2embed.dll" /E /R Jeder Windows Vista, Windows 7, Windows Server 2008 und Windows Server 2008 R2: 32-bit: Code: Icacls.exe "%windir%\system32\t2embed.DLL" /remove:d *S-1-1-0 64-bit: Code: Icacls.exe "%windir%\system32\t2embed.DLL" /remove:d *S-1-1-0 Icacls.exe "%windir%\syswow64\t2embed.DLL" /remove:d *S-1-1-0 + Multi-Zitat Zitieren
#16 6. November 2011 AW: [Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke Dank dir, alles ohne Fehler geklappt Win 7 Ulti 64 bit + Multi-Zitat Zitieren
#17 6. November 2011 AW: [Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke Okey, geht bei mir jetzt auch, doofes + danke Palme + Multi-Zitat Zitieren
#18 6. November 2011 AW: [Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke vielen dank für die info! werde es gleich aml durchführen! + Multi-Zitat Zitieren
#19 6. November 2011 AW: [Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke Hat alles perfekt funktioniert, danke! System: Win7 Professional 64bit + Multi-Zitat Zitieren
#20 6. November 2011 AW: [Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke Hab auch mal den Stopfstempel benutzt, danke fürs TUT Win 7 64bit Ultimate SP1 + Multi-Zitat Zitieren
#21 7. November 2011 AW: [Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke bei mir ging auf einmal die office funktion "Save to PDF" nicht mehr, erst nach rückgängig machen war wieder alles beim alten... + Multi-Zitat Zitieren
#22 7. November 2011 AW: [Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke Habe die gleiche Erfahrung gemacht. Muss an dem Betapatch liegen... + Multi-Zitat Zitieren
#23 7. November 2011 AW: [Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke Funzt alles bestens - bedankt + Multi-Zitat Zitieren
#24 7. November 2011 AW: [Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke Dito.. Die Befehle haben alles wunderbar geklappt, aber das PDF Ding geht nimmer. Kann man das wieder reparieren? + Multi-Zitat Zitieren
#25 7. November 2011 AW: [Workaround] Windows-Kernel: (T2EMBED.DLL) TrueType Lücke Microsoft Security Advisory: Vulnerability in TrueType font parsing could allow elevation of privileges Workaround von Microsoft, das ist KEIN patch. + Multi-Zitat Zitieren