Skip to content

Die Rückkehr des Exploit-Thursday

Microsoft veröffentlicht am Dienstag seine Patches, und die Cyberkriminellen am Mittwoch oder Donnerstag die Exploits für die soeben behobenen Schwachstellen - vor einigen Jahren war das fast üblich. Jetzt ist es wohl wieder soweit - gehen den Cyberkriminellen die 0-Day-Exploits aus?

Microsofts Juni-Patchday...

Am 14. war Microsofts Juni-Patchday, von den veröffentlichten Security Bulletins ist hier nur eins von Interesse: Das "Cumulative Security Update for Internet Explorer", MS11-050. Darin wird auch die Schwachstelle mit der CVE-ID CVE-2011-1255 behandelt, die in der CVE-Datenbank folgendermaßen beschrieben wird:

"The Timed Interactive Multimedia Extensions (aka HTML+TIME) implementation in Microsoft Internet Explorer 6 through 8 does not properly handle objects in memory, which allows remote attackers to execute arbitrary code by accessing an object that (1) was not properly initialized or (2) is deleted, aka "Time Element Memory Corruption Vulnerability.""

Die Schwachstelle wurde Microsoft vertraulich über iDefense gemeldet, und beim Erscheinen des Security Bulletins war kein Exploit dafür bekannt. Was, nebenbei bemerkt, beides auch für alle anderen Schwachstellen in diesem Bulletin gilt. Dem Bulletin wurde von Microsoft eine Deployment Priority von 1 und ein Exploitability Index von 1 zugewiesen. Bei einem Exploitability-Index von 1 erwartet Microsoft funktionsfähigen Exploit-Code in den nächsten 30 Tagen. Diesmal ging das deutlich schneller,

... und der Exploit-Thursday

Am 17. meldete Symantec dann einen Exploit für die Schwachstelle CVE-2011-1255 "in the Wild", der als Trojan.Shixploit bezeichnet wird. Der Beschreibung zu Folge wird die Schwachstelle ausgenutzt, um im Rahmen einer Drive-by-Infektion Schadcode nachzuladen, bisher aber nur im Rahmen gezielter Angriffe.

Zwischen-Fazit

Was lernen wir daraus?

  1. Sobald ein Patch verfügbar ist, sollte er installiert werden. Denn mit Angriffen auf die gerade geschlossene Schwachstelle ist in Kürze zu rechnen.
  2. Die Cyberkriminellen sind immer noch (oder schon wieder?) daran interessiert, auch für eigentlich behobene Schwachstellen Exploits zu entwickeln. Warum? Weil sie wissen, dass sich sehr viele Benutzer nicht an Punkt 1 halten und Patches gar nicht oder erst sehr spät installieren. Und da sich die Exploit-Entwicklung anhand eines veröffentlichten Patches sogar automatisieren lässt, ist es für die Cyberkriminellen viel einfacher, einen Exploit für eine gepatchte Schwachstelle zu entwickeln als erst mühsam nach einer neuen Schwachstelle zu suchen.

Und noch ein Exploit...

Auch für eine weitere der im Bulletin MS11-050 aufgeführten Schwachstellen gibt es einen Exploit, allerdings nicht "in the wild", sondern im Form eines Proof-of-Concepts. Die Microsoft ebenfalls vertraulich (über die Zero Day Initiative) gemeldete Schwachstelle CVE-2011-1260 wurde unabhängig davon von "d0c_s4vage" entdeckt, der auch einen PoC dafür entwickelte.

Zwischen-Fazit, zum zweiten

Nur, weil eine Schwachstelle vertraulich an die betroffenen Entwickler gemeldet wurde, bedeutet dass noch lange nicht, dass sie nicht auch Dritten bekannt ist. Das hatte ich ja schon des öfteren erwähnt, z.B. auch Anfang Januar, als Michal Zalewski eine von ihm zuvor vertraulich an Microsoft gemeldete Schwachstelle veröffentlichte, weil er davon ausgehen musste, dass sie Dritten bekannt war.

Das bekannteste Beispiel für eine vertraulich gemeldete und doch für einen Angriff ausgenutzte Schwachstelle dürfte die im Rahmen der "Operation Aurora", dem gezielten Angriff auf Google und weitere Unternehmen, ausgenutzte 0-Day-Schwachstelle im IE sein. Diese im Dezember 2009 im Rahmen der Angriffe ausgenutzte Schwachstelle war Microsoft bereits seit Anfang September 2009 bekannt.

Diese Lektion ist natürlich vor allem für Entwickler wichtig, die Patches möglichst schnell entwickeln müssen und sich nicht auf dem vermeintlich sanften Ruhekissen der "vertraulichen Meldung" ausruhen dürfen.

Adobes Juni-Patchday...

Schon als Adobe Microsofts Patchday einfach "kaperte", hielt ich das für eine schlechte Idee. Inzwischen hat Adobe seine Veröffentlichungen ausgeweitet (ursprünglich galt der Patchday nur für Adobe Reader und Acrobat), am aktuellen Patchday am 14. Juni wurden Updates für ColdFusion, LiveCycle Data Services und Co., Adobe Reader und Acrobat, Shockwave Player und Flash Player veröffentlicht. Von denen interessiert hier nur das Update für den Flash Player, mit dem nur eine Schwachstelle geschlossen wird: CVE-2011-2110. Die Schwachstelle wird laut Adobe bereits "in the Wild" im Rahmen gezielter Angriffe ausgenutzt.

... und der Exploit-Thursday

Sowohl Websense als auch die Shadowserver Foundation berichteten am 17. Juni, dass die Schwachstelle bereits im Rahmen von Drive-by-Infektionen ausgenutzt wird, wobei die Shadowserver Foundation die ersten Exploits bis zum 9. Juni zurückverfolgen konnte. Streng genommen fand bei Adobe der Exploit-Thursday also vor dem Patch-Tuesday statt. Da Adobe vor dem Patchday keine Warnung vor der 0-Day-Schwachstelle veröffentlicht hat, dürfte die Veröffentlichung des Updates bereits geplant und keine Reaktion auf die laufenden Angriffe gewesen sein. Andererseits wurden am 9. Juni lediglich die "quarterly Adobe Reader and Acrobat updates scheduled for Tuesday, June 14, 2011" angekündigt, die weiteren Updates wurden nicht in voraus angekündigt.

Zwischen-Fazit, zum dritten

Außer den MS-Updates müssen Sie auch die oft parallel veröffentlichten Adobe-Updates schnell installieren. Wie bitte, das trauen Sie sich nicht, weil ja evtl. die Updates von Microsoft und die von Adobe nicht zusammen funktionieren? Das kann ich verstehen, sogar sehr gut. Mir ist bei dem Gedanken auch nicht gerade wohl zu Mute. Aber ich habe eine Lösung für das Problem gefunden: Ich verwende keine Adobe-Produkte mehr. Fast - zum Onlinebanking muss ich jetzt auf einem Rechner gezwungenermaßen den Flash Player installieren (aber das ist eine andere Geschichte). Aber ansonsten surfe ich ohne Flash Player viel entspannter, aber das hatte ich ja schon mal erwähnt. Und auch zum PDF betrachten gibt es viele brauchbare Alternativen.

Falls Sie auch noch Oracle-Produkte einsetzen, tun Sie mir aufrichtig leid, denn dann müssen Sie noch ein weitere Patchflut über sich ergehen lassen. Zum Glück betrifft mich das nur noch am Rande, in Form der Java-Updates. Aber da ich Java im Browser normalerweise ausgeschaltet habe können die notfalls auch ein paar Tage warten.

Fazit

So gut die Argumente für einen festen Patchtermin und/oder -rythmus auch sein mögen - wenn alle am gleichen Tag patchen, ist das extrem kontraproduktiv.

Carsten Eilers

Trackbacks

Keine Trackbacks