Eine Reihe von 0-Days und sofort ausnutzbaren Schwachstellen machen die Situation in diesem Monat laut dem Security-Experten Wolfgang Kandek erheblich kritischer als im letzten. [...]
Der Patchday April 2016 ist da und bereits im Vorfeld haben sich einige Dinge abgezeichnet: Letzte Woche musste Adobe seinen monatlichen Patch für Flash Player (APSB16-10) vorziehen, damit sich die Nutzer vor einer „in the wild“ ausgenutzten 0-Day-Lücke schützen konnten; und vor ein paar Wochen wurde die Sicherheitslücke „Badlock“ publik, die sowohl Windows als auch Samba unter Linux/Unix betrifft.
Jedoch scheint Badlock „zahmer“ zu sein als erwartet: Microsoft beseitigt die Lücke jetzt mit dem Bulletin MS16-047, das nur als „hoch“ bewertet wird. Hierbei handelt es sich um eine Man-in-the-Middle-Schwachstelle, die einem Angreifer ermöglicht, sich als ein anderer Nutzer bei Anwendungen anzumelden, die die Protokolle SAMR oder LSAD verwenden. Das SMB-Protokoll ist hingegen nicht anfällig. Betroffen sind sämtliche Windows-Versionen, von Vista bis hin zu Server 2012 R2.
Neben MS16-047 liefert Microsoft elf weitere Bulletins aus. Das erhöht die bisherige Gesamtzahl in diesem Jahr auf fast 50, wobei MS16-043 allerdings derzeit noch aussteht. Der Release stopft insgesamt 30 Sicherheitslecks, darunter auch 0-Day-Lücken. Das Bulletin MS16-039 enthält Fixes für eine Grafikkomponente von Windows und betrifft alle Versionen, von Vista bis Windows 10 und von Server 2008 bis 2012 R2. Auch die älteren Office-Versionen 2007 und 2010 sind betroffen, ebenso wie .NET, Skype und Lync. Die zwei 0-Days befinden sich im Windows-Teil und ermöglichen beide, die Berechtigungen von Standardnutzer auf Administrator zu erhöhen. Im realen Leben wird ein Angreifer die 0-Days mit einem Exploit für eine Schwachstelle kombinieren, mit der er auf den Rechner gelangt, zum Beispiel der Flash Player-Lücke aus APSB16-10, die Microsoft mit MS16-050 behebt. In einem solchen Szenario würde ein Nutzer eine gewöhnliche Website besuchen und mit einem Flash-Exploit angegriffen werden; anschließend würde der Angreifer mithilfe der Schwachstellen CVE-2016-0165/7 aus MS16-039 seine Rechte erhöhen. Um solchen Angriffen entgegenzuwirken, sollten diese Patches schnellstmöglich installiert werden: Sowohl MS16-050 für Flash (beziehungsweise APSB16-10, wenn Firefox verwendet wird) als auch MS16-039 führen heute die Prioritätsliste an.
Das nächste Update auf der Liste ist MS16-042, das vier Anfälligkeiten in Microsoft Office beseitigt. Microsoft stuft dieses Bulletin als kritisch ein, was nur der Fall ist, wenn eine Schwachstelle direkt ohne Benutzer-Interaktion angegriffen werden kann. Tatsächlich ermöglicht die Schwachstelle CVE-2016-0127 Remotecodeausführung (RCE). Sie befindet sich im Dateiformat RTF, das im Outlook-Vorschaufenster automatisch dargestellt wird und Angreifer in die Lage versetzt, mittels einer einfachen E-Mail aus der Ferne Schadcode auszuführen. Es empfiehlt sich dringend das Setup durch das Ächten von RTF E-Mails zu härten. Die Deaktivierung erfolgt über die Zugriffsschutzrichtlinie, die für Office 2007/2010 wie auch 2013 angewandt werden kann.
Microsoft Internet Explorer und Edge werden mit den kritischen Bulletins MS16-037 beziehungsweise MS16-038 gepatcht. Beide beheben sechs Schwachstellen, wobei Edge dabei sogar gravierendere Probleme als IE aufweist. Im Moment wird noch keine dieser Schwachstellen angegriffen, da sich die meisten Exploits jedoch gegen Browser richten, ist es sinnvoll, diese stets auf dem neuesten Stand zu halten. Hierbei sollte bedacht werden, dass Microsoft für jedes Betriebssystem nur noch die neueste Browser-Version patcht, sprich IE11 bei Windows 7 und höher, IE9 unter Vista und IE10 bei Windows Server 2012.
Die letzte kritische Sicherheitslücke befindet sich im XML Core Subsystem. Patches in diesem Bereich gab es schon seit gut einem Jahr nicht mehr. Mit einer neuen Version von msxml.dll beseitigt MS16-040 eine einzelne Anfälligkeit, nämlich CVE-2016-0147. Als Angriffsvektor dient hier eine Website, über die das bösartige XML-Format auf den Zielrechner gelangt.
Die restlichen Schwachstellen sind zwar als nicht kritisch eingestuft, können aber trotzdem recht erhebliche Auswirkungen haben und für Angreifer von Interesse sein. MS16-045 behebt beispielsweise Anfälligkeiten in Hyper-V, mit denen ein Angreifer über ein Gastbetriebssystem auf einem Host Code ausführen kann und die in einer Hosting-Umgebung, in der der Angreifer per se Zugriff auf die Systeme hat, durchaus kritisch sein könnten. Betroffen sind die Systeme Windows 8.1, Server 2012 und 2012 R2. MS16-041 adressiert eine einzelne Schwachstelle in .NET und MS16-049 eine DoS-Lücke in Windows 10-Systemen, die sich im HTTP.sys-Treiber befindet.
Adobe hat vergangene Woche zwar mit APSB16-10 bereits außer der Reihe Flash gepatcht, veröffentlichte heute aber Updates für Robohelp (APS16-12) und Creative Cloud Desktop (APSB16-11).
Fest steht: Eine Reihe von 0-Days und sofort ausnutzbaren Schwachstellen machen die Situation in diesem Monat erheblich kritischer als im letzten. Zudem ist damit zu rechnen, dass sich die Adobe Flash-Lücke verbreiten wird, weshalb Workarounds für die derzeit eingesetzten schadensbegrenzenden Maßnahmen implementiert werden sollten.
* Wolfgang Kandek ist CTO bei Qualys.
Be the first to comment