Offensive Services

GlueBall Sicherheitslücke wurde erst nach 2 Jahren geschlossen!

Aktualisiert am

Eine Sicherheitslücke die bereits seit 2018 bekannt ist, wurde nun geschlossen. Diese Lücke wurde von den beiden Entdeckern mit GlueBall bezeichnet und bekam von Microsoft die Einstufung “Important”, nachdem diese 2 Jahre lang ignoriert wurde.

GlueBall-Exploit bereits 2018 gemeldet

Die Geschichte rund um GlueBall (CVE-2020-1464) wurde von dem Sicherheitsforscher Tal Be’ery bereits auf der Online-Plattform Medium zusammengefasst. Das erste Sample zu dieser Sicherheitslücke wurde bereits am 08.05.2018 auf der Plattform VirusTotal hochgeladen.

Das erste GlueBall Beispiel auf VirusTotal

Der Mitbegründer des Malware-Prüfdiensts VirusTotal, Bernardo Quintero, entdeckte die GlueBall Sicherheitslücke bereits im August 2018. Unmittelbar nachdem dieser die Lücke gefunden hat, meldete er diese an Microsoft.

Langes Schweigen um CVE-2020-1464

Nachdem Quintero die Sicherheitslücke gemeldet hat, passierte bis Januar 2019 nichts, doch am 15. Januar 2019 veröffentlichte Quintero einen Blogbeitrag der die Sicherheitslücke GlueBall technisch erklärt. Es geht darum, dass Angreifer eine schädliche JAR- an eine MSI-Datei anhängen können. Wichtig ist, dass die MSI-Datei von einem vertrauenswürdigen Softwareentwickler signiert wurde, damit diese von dem Betriebssystem akzeptiert wird.

Nachdem diese zusammengesetzte Datei mit einer .jar-Endung versehen wird, hat der Angreifer eine Malware-Datei, welche signiert worden ist. Eine JAR-Datei ist ein Archiv (vergleichbar mit .zip), welches ausführbaren Java-Code beinhaltet.

Am Ende dieses Blogbeitrags schrieb Bernardo Quintero, dass er die Erlaubnis seitens Microsoft hat, über dieses Thema zu berichten. Microsoft habe sich entschieden dieses Problem vorerst nicht zu beheben.

Diesem Blogbeitrag folgten noch weitere Beiträge von Be’ery und anderen IT-Sicherheitsexperten, bis dieses Sicherheitslücke offenbar in Vergessenheit geriet und erst im Juni 2020 wieder ins Rampenlicht getreten ist.

Juni 2020 – Rückkehr von GlueBall

Einige Forscher stellten mit ersetzen fest, dass die seit langem bekannte Sicherheitslücke GlueBall immer noch im Juni 2020 vorhanden ist. Neues Aufsehen bekam die Sicherheitslücke durch einen GlueBall-Exploit der durch einen Blogbeitrag auf der Seite Securityinbits öffentlich gestellt wurde.

Dieser Beitrag gewann schnell an Popularität, sodass bekannte IT-Sicherheitsforscher wie bspw. Brian Krebs, einen eigenen Blogbeitrag zu diesem Thema verfassten.

Schließlich entschied Microsoft sich dazu die Sicherheitslücke zu schließen und diese sogar als “Important” einzustufen. Auf Rückfragen von diversen IT-Sicherheitsexperten, warum diese Behebung ca. 2 Jahre gedauert hat, antwortete Microsoft nicht. Warum die Lücke nun geschlossen wurde kann also nur vermutet werden, allerdings wird der neue Trubel der seit Juni entstanden ist dazu beigetragen haben.

Foto des Autors

Vincent Reckendrees

Hallo, ich bin Vincent Reckendrees und leite das Team Offensive Services bei der AWARE7 GmbH. In meinem Bachelor und Master Studium habe ich mich auf IT-Sicherheit spezialisiert und BSI zertifizierter IS-Penetrationstester. Meine Leidenschaft gilt Reverse Engineering, Hardware- und Web-Sicherheit. Als Experte für Penetrationstests finde ich Schwachstellen in Systemen und Netzwerken und nutze sie, um realistische Cyberangriffe zu simulieren und Sicherheitsmaßnahmen zu verbessern. Durch Reverse Engineering entdecke ich Fehler und Verbesserungsmöglichkeiten in Software und Hardware. Meine Fähigkeiten in Hardware- und Web-Sicherheit ermöglichen es mir, physische Geräte und Online-Plattformen vor einer Vielzahl von Cyberbedrohungen zu schützen und ihre Integrität und Zuverlässigkeit zu gewährleisten.