Skip to content

Die 0-Day-Schwachstelle in Windows XP oder Microsofts Workaround - was ist gefährlicher?

Es gibt mal wieder eine 0-Day-Schwachstelle, diesmal in Windows XP und Server 2003. Im Vergleich zu den 0-Day-Exploits die bisher aufgetaucht sind, ist die aber relativ Harmlos: Sie erlaubt "nur" das Erlangen von Admin-Rechten und wird in Verbindung mit einer anderen, älteren Schwachstelle ausgenutzt. Zumindest unter Windows XP, wo die meisten Benutzer sowieso als Admin arbeiten, erscheint mit der von Microsoft vorgeschlagene Workaround als viel gefährlicher als die Schwachstelle, denn der schaltet nicht nur die Schwachstelle, sondern auch VPNs aus.

Angriffsziel Adobe Reader

Der Angriff auf die neue Schwachstelle wurde von FireEye entdeckt: Der Exploit für die Privilegieneskalation über die 0-Day-Schwachstelle CVE-2013-5065 kommt zum Einsatz, nachdem über eine bereits gepatchte Schwachstelle im Adobe Reader Schadcode eingeschleust wurde. Der Angriff richtet sich gegen Windows XP SP3 und dient dazu, eine Backdoor zu installieren.

Laut Symantec laufen die Angriffe seit Anfang November.

Microsoft warnt - Betriebsblind und Kurzsichtig wie fast immer

Microsoft hat ein Security Advisory veröffentlicht: Die Schwachstelle betrifft Windows XP und Server 2003 und erlaubt die Ausführung von Code im Kernel Mode. Leider gibt Microsoft mal wieder eine viel zu kurzsichtige Entwarnung:

"Mitigating Factors:
An attacker must have valid logon credentials and be able to log on locally to exploit this vulnerability. The vulnerability could not be exploited remotely or by anonymous users"

und

"How could an attacker exploit the vulnerability?
To exploit this vulnerability, an attacker would first have to log on to the system. An attacker could then run a specially crafted application that could exploit the vulnerability and take complete control over the affected system."

Nein, der Angreifer muss keine gültigen Zugangsdaten haben. Und er muss sich auch nicht auf dem anzugreifenden Rechner einloggen. Es reicht, wenn er einen Benutzer dazu bringt, seinen Code auszuführen. Oder eine andere Schwachstelle ausnutzt, um Schadcode einzuschleusen. Was ja bei den von FireEye beobachteten Angriffen passiert.

Ich muss mal etwas Dampf ablassen...

Wann lernen die bei Microsoft endlich mal, nicht immer alles runter zu spielen? Ja, es stimmt: Die Schwachstelle kann nicht aus der Ferne ausgenutzt werden. Über eingeschleusten Schadcode aber durchaus. Und der kann auch aus der Ferne eingeschleust werden. Aber das Konzept der Drive-by-Infektionen oder Social-Engineering-Angriffe per E-Mail werden die bei Microsoft wohl nie begreifen. Denn was muss ich da in der Ankündigung des Security Advisories mal wieder lesen?

"We also encourage folks to exercise caution when visiting websites and avoid clicking suspicious links, or opening email messages from unfamiliar senders."

Drive-by-Infektionen finden inzwischen fast immer über kompromittierte harmlose Websites statt. Aber das wird Microsoft vielleicht nicht mal dann einsehen, wenn die selbst mal das Opfer werden. Und woran erkennt man einen "suspicious link"? Steht da "Achtung Schadsoftware" dran? Jeder Link ist potentiell verdächtig, denn er könnte ja zu einer für eine Drive-by-Infektion präparierte Seite einer harmlosen Website führen. Dann dürfte man sicherheitshalber gar keine Links mehr anklicken. Zumindest der letzte Rat ist ja sogar noch halbwegs brauchbar. Nur haben die Cyberkriminellen sich darauf längst eingestellt. Die Zeiten, wo die einfach eine E-Mail mit PDF-Datei samt Exploit darin als Anhang geschickt haben, sind schon seit längerem vorbei. Zumindest bei gezielten Angriffen gehört dazu auch ein passender, plausibler Absender und etwas Social Engineering damit der Empfänger den Anhang auch öffnet.

Wieder zu den Fakten:

Was mich etwas wundert sind die Angriffsziele: Windows XP SP3. Unter Windows XP arbeiten die meisten Benutzer doch sowieso mit Admin-Rechten und die Privilegieneskalation wird gar nicht benötigt. Haben die Angreifer es bei den gezielten Angriffen also auf etwas besser geschützte Systeme abgesehen, auf denen die normalen Benutzer mit eingeschränkten Rechten arbeiten? Dann sollten die potentiellen Opfer schnell zu ermitteln sein, denn sicher konfigurierte XP-Systeme dürfte es nicht mehr viele geben. Die meisten sollten angesichts des nahenden Support-Endes für XP im April nächstens Jahres inzwischen längst durch Windows 7 oder andere sichere Systeme ersetzt sein.

Die Privilegieneskalation wäre beim ebenfalls betroffenen Windows Server 2003 nötig, da dort die normalen Benutzer und öffentlich zugänglichen Dienste mit eingeschränkten Rechten arbeiten, aber der Exploit hat es ja ausdrücklich auf XP abgesehen. Gibt es vielleicht auch einen Angriff auf Windows Server 2003?

Microsofts Workaround gefährdet Ihre Sicherheit!

Der von Microsoft vorgeschlagene Workaround hat es auch in sich: Das betroffene Kernel-Modul NDPROXY soll durch einen funktionslosen Dummy ersetzt werden. Danach funktionieren die davon bereitgestellten Funktionen des Windows Telephony Application Programming Interfaces (TAPI) natürlich nicht mehr. Betroffen sind unter anderem: "Remote Access Service (RAS), dial-up networking, and virtual private networking (VPN)". Bravo, VPN still zu legen erhöht natürlich ganz gewaltig die Sicherheit.

Eigentlich ist jeder Workaround besser als ein unsicheres System. Aber zumindest unter Windows XP, wo die meisten Benutzer sowieso als Admin arbeiten, erscheint mir der von Microsoft vorgeschlagene Workaround als viel gefährlicher als die Schwachstelle.

Update 14.1.2014:
Microsoft hat die Schwachstelle behoben, siehe das Security Bulletin MS14-002. Damit hat sich der Workaround und damit die Möglichkeit, Systeme gezielt unsicher zu machen, endlich erledigt.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Der 0-Day-Patchday am 10.12.2013: 4x Microsoft, 1x Adobe

Vorschau anzeigen
Wie angekündigt hat Microsoft am Dezember-Patchday am 10.12. einen Patch für die 0-Day-Schwachstelle in MS Graphics veröffentlicht. Außerdem wurden von Microsoft drei weitere 0-Day-Schwachstellen behoben, die bisher nicht &ou

Dipl.-Inform. Carsten Eilers am : Kommentare zu spammenden Kühlschränken, neugierigen Geschäften und mehr

Vorschau anzeigen
Heute gibt es mal wieder eine bunte Mischung an Kommentaren. Los geht es mit einer Aktualisierung zum "Standpunkt" der vorigen Woche zum "Internet der Dinge": "Wenn der Kühlschrank spammt... ... hat der Hersteller die Sicherheit verpe