Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

GlueBall Sicherheitslücke wurde erst nach 2 Jahren geschlossen!

M.Sc. Jan Hörnemann

Eine Sicherheitslücke die bereits seit 2018 bekannt ist, wurde nun geschlossen. Diese Lücke wurde von den beiden Entdeckern mit GlueBall bezeichnet und bekam von Microsoft die Einstufung „Important“, nachdem diese 2 Jahre lang ignoriert wurde.

GlueBall-Exploit bereits 2018 gemeldet

Die Geschichte rund um GlueBall (CVE-2020-1464) wurde von dem Sicherheitsforscher Tal Be’ery bereits auf der Online-Plattform Medium zusammengefasst. Das erste Sample zu dieser Sicherheitslücke wurde bereits am 08.05.2018 auf der Plattform VirusTotal hochgeladen.

Das erste GlueBall Beispiel auf VirusTotal

Der Mitbegründer des Malware-Prüfdiensts VirusTotal, Bernardo Quintero, entdeckte die GlueBall Sicherheitslücke bereits im August 2018. Unmittelbar nachdem dieser die Lücke gefunden hat, meldete er diese an Microsoft.

Langes Schweigen um CVE-2020-1464

Nachdem Quintero die Sicherheitslücke gemeldet hat, passierte bis Januar 2019 nichts, doch am 15. Januar 2019 veröffentlichte Quintero einen Blogbeitrag der die Sicherheitslücke GlueBall technisch erklärt. Es geht darum, dass Angreifer eine schädliche JAR- an eine MSI-Datei anhängen können. Wichtig ist, dass die MSI-Datei von einem vertrauenswürdigen Softwareentwickler signiert wurde, damit diese von dem Betriebssystem akzeptiert wird.

Nachdem diese zusammengesetzte Datei mit einer .jar-Endung versehen wird, hat der Angreifer eine Malware-Datei, welche signiert worden ist. Eine JAR-Datei ist ein Archiv (vergleichbar mit .zip), welches ausführbaren Java-Code beinhaltet.

Am Ende dieses Blogbeitrags schrieb Bernardo Quintero, dass er die Erlaubnis seitens Microsoft hat, über dieses Thema zu berichten. Microsoft habe sich entschieden dieses Problem vorerst nicht zu beheben.

Diesem Blogbeitrag folgten noch weitere Beiträge von Be’ery und anderen IT-Sicherheitsexperten, bis dieses Sicherheitslücke offenbar in Vergessenheit geriet und erst im Juni 2020 wieder ins Rampenlicht getreten ist.


Erkennen Sie zuverlässig Phishing E-Mails?

Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!


Juni 2020 – Rückkehr von GlueBall

Einige Forscher stellten mit ersetzen fest, dass die seit langem bekannte Sicherheitslücke GlueBall immer noch im Juni 2020 vorhanden ist. Neues Aufsehen bekam die Sicherheitslücke durch einen GlueBall-Exploit der durch einen Blogbeitrag auf der Seite Securityinbits öffentlich gestellt wurde.

Dieser Beitrag gewann schnell an Popularität, sodass bekannte IT-Sicherheitsforscher wie bspw. Brian Krebs, einen eigenen Blogbeitrag zu diesem Thema verfassten.

Schließlich entschied Microsoft sich dazu die Sicherheitslücke zu schließen und diese sogar als „Important“ einzustufen. Auf Rückfragen von diversen IT-Sicherheitsexperten, warum diese Behebung ca. 2 Jahre gedauert hat, antwortete Microsoft nicht. Warum die Lücke nun geschlossen wurde kann also nur vermutet werden, allerdings wird der neue Trubel der seit Juni entstanden ist dazu beigetragen haben.


Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.


Foto des Autors

M.Sc. Jan Hörnemann

Hallo liebe/r Leser/in, mein Name ist Jan Hörnemann. Ich bin TeleTrust Information Security Professional (T.I.S.P.) und beschäftigte mich seit 2016 nahezu tagtäglich mit Themen rund um die Informationssicherheit. Der CeHv10 war meine erste praktische Zertifizierung in dem Bereich. Durch den Abschluss Master of Science in dem Fachbereich Internet-Sicherheit habe ich viele verschiedene Aspekte kennengelernt und versuche diese sowohl in Live Hacking Shows als auch in unserem Blog zu vermitteln. Darüber hinaus bin ich als Informationssicherheitsbeauftragter tätig und vom TÜV für diese Tätigkeit qualifiziert worden (ISB nach ISO 27001)