Eine Sicherheitslücke die bereits seit 2018 bekannt ist, wurde nun geschlossen. Diese Lücke wurde von den beiden Entdeckern mit GlueBall bezeichnet und bekam von Microsoft die Einstufung “Important”, nachdem diese 2 Jahre lang ignoriert wurde.
GlueBall-Exploit bereits 2018 gemeldet
Die Geschichte rund um GlueBall (CVE-2020-1464) wurde von dem Sicherheitsforscher Tal Be’ery bereits auf der Online-Plattform Medium zusammengefasst. Das erste Sample zu dieser Sicherheitslücke wurde bereits am 08.05.2018 auf der Plattform VirusTotal hochgeladen.
Der Mitbegründer des Malware-Prüfdiensts VirusTotal, Bernardo Quintero, entdeckte die GlueBall Sicherheitslücke bereits im August 2018. Unmittelbar nachdem dieser die Lücke gefunden hat, meldete er diese an Microsoft.
Langes Schweigen um CVE-2020-1464
Nachdem Quintero die Sicherheitslücke gemeldet hat, passierte bis Januar 2019 nichts, doch am 15. Januar 2019 veröffentlichte Quintero einen Blogbeitrag der die Sicherheitslücke GlueBall technisch erklärt. Es geht darum, dass Angreifer eine schädliche JAR- an eine MSI-Datei anhängen können. Wichtig ist, dass die MSI-Datei von einem vertrauenswürdigen Softwareentwickler signiert wurde, damit diese von dem Betriebssystem akzeptiert wird.
Nachdem diese zusammengesetzte Datei mit einer .jar-Endung versehen wird, hat der Angreifer eine Malware-Datei, welche signiert worden ist. Eine JAR-Datei ist ein Archiv (vergleichbar mit .zip), welches ausführbaren Java-Code beinhaltet.
Am Ende dieses Blogbeitrags schrieb Bernardo Quintero, dass er die Erlaubnis seitens Microsoft hat, über dieses Thema zu berichten. Microsoft habe sich entschieden dieses Problem vorerst nicht zu beheben.
Diesem Blogbeitrag folgten noch weitere Beiträge von Be’ery und anderen IT-Sicherheitsexperten, bis dieses Sicherheitslücke offenbar in Vergessenheit geriet und erst im Juni 2020 wieder ins Rampenlicht getreten ist.
Juni 2020 – Rückkehr von GlueBall
Einige Forscher stellten mit ersetzen fest, dass die seit langem bekannte Sicherheitslücke GlueBall immer noch im Juni 2020 vorhanden ist. Neues Aufsehen bekam die Sicherheitslücke durch einen GlueBall-Exploit der durch einen Blogbeitrag auf der Seite Securityinbits öffentlich gestellt wurde.
Dieser Beitrag gewann schnell an Popularität, sodass bekannte IT-Sicherheitsforscher wie bspw. Brian Krebs, einen eigenen Blogbeitrag zu diesem Thema verfassten.
Schließlich entschied Microsoft sich dazu die Sicherheitslücke zu schließen und diese sogar als “Important” einzustufen. Auf Rückfragen von diversen IT-Sicherheitsexperten, warum diese Behebung ca. 2 Jahre gedauert hat, antwortete Microsoft nicht. Warum die Lücke nun geschlossen wurde kann also nur vermutet werden, allerdings wird der neue Trubel der seit Juni entstanden ist dazu beigetragen haben.
