Überarbeitungen

  • 1.0: 28. Februar 2020, Erstfassung

 

Zusammenfassung

Veritas System Recovery ist von der Microsoft Windows CryptoAPI-Sicherheitslücke CVE-2020-0601 betroffen.

 

Problem Beschreibung Schweregrad Korrigierte Version

 

1

Veritas System Recovery ist von der Microsoft Windows CryptoAPI-Sicherheitslücke CVE-2020-0601 betroffen. Diese bezieht sich auf die Überprüfung von ECC-Codesignaturzertifikaten.

Kritisch

K.A.

 

Probleme

Im Februar 2020 veröffentlichte Microsoft eine Sicherheitsempfehlung für ein kritisches Problem in der Windows CryptoAPI. Diese konnte ein Angreifer ausnutzen, "indem er mithilfe eines gefälschten Codesignaturzertifikats eine schädliche ausführbare Datei signiert und vorgibt, dass die Datei von einer vertrauenswürdigen, autorisierten Quelle stammt". Da Veritas System Recovery (VSR) in manchen Fällen Codesignaturzertifikate überprüft, könnte die Lösung von dieser Sicherheitslücke betroffen sein. Zu diesen Fällen gehören:

  • Erstinstallation des Produkts
  • Installation eines Updates des Produkts
  • Physisch-virtuelle Vorgänge mit VMware ESX-Server

 

Betroffene Versionen

Alle VSR-Versionen, die auf einer anfälligen Windows-Version ausgeführt werden, sind betroffen. Ungepatchte Versionen von Windows 10, Windows Server 2016 und 2019 sind anfällig. Alle anderen Versionen von Windows sind nicht vom Problem betroffen.

 

Behebung

Das Problem kann ausschließlich behoben werden, indem Sie das Windows-Update von Microsoft installieren, das diese Sicherheitslücke beseitigt. Es wird kein Update für VSR zum Beheben dieses Problems bereitgestellt, da diese Sicherheitslücke in Microsoft Windows und nicht VSR vorliegt.

 

Gegenmaßnahmen

Bei allen drei Instanzen, die von der Sicherheitslücke betroffen sind, können Sie das Problem mindern, indem Sie bestimmte Aufgaben vermeiden:

  • Führen Sie keine Erstinstallation von VSR auf einem System durch, bevor das Windows-Update installiert wurde.
  • Installieren Sie kein Update von VSR auf einem System, bevor das Windows-Update installiert wurde.
  • Führen Sie keinen P2V-Vorgang auf einem ESX-System aus, bevor das Windows-Update auf dem geschützten System installiert wurde.

Benutzer können Backups und Nicht-P2V-Wiederherstellungen auf anfälligen Systemen ausführen, ohne einem Risiko durch die Sicherheitslücke ausgesetzt zu sein.

 

Referenzen