Microsoft patcht mehrere 0-Day-Schwachstellen
Microsoft hat am Mai-Patchday mehrere Schwachstellen gepatcht, die bereits im Rahmen von Angriffen ausgenutzt wurden. Mit anderen Worten: Es gab mal wieder einige 0-Day-Exploits, über die man die Öffentlichkeit lieber nicht informiert hat. Was zumindest in einem Fall nicht gerade nett ist:
Mal wieder ein 0-Day-Exploit für den IE
Im Internet Explorer wurden zwei kritische Schwachstelle behoben, die die Ausführung beliebigen Codes erlauben. Zu einer davon, CVE-2014-1815, steht im zugehörigen Security Bulletin MS14-029 in der FAQ:
"Microsoft is aware of limited attacks that attempt to exploit this vulnerability in Internet Explorer."
Es gibt also einen 0-Day-Exploit für diese Schwachstelle. Das ist der achte in diesem Jahr insgesamt, der vierte für den IE. Im Gegensatz zur am 1. Mai außer der Reihe behobenen 0-Day-Schwachstelle im IE hat man es bei dieser nicht für nötig gehalten, die Benutzer zu warnen.
Was ist über die Schwachstelle bekannt?
Bisher ist wenig bekannt:
Betroffen sind alle Versionen des IE von 6 bis 11. Vermutlich auch die für Windows XP. Da das bekanntlich nicht mehr unterstützt wird, wird es auch nicht aufgeführt.
Microsoft bedankt sich bei Clément Lecigne vom Google Security Team für die Meldung der Schwachstelle. Das bedeutet aber nicht automatisch, dass sich die Angriffe gegen Google richteten, die Schwachstelle kann von Clément Lecigne auch unabhängig von den Angriffen entdeckt worden sein.
Bisher haben die Antivirenhersteller keine Informationen veröffentlicht.
Außer dieser kritischen Schwachstelle wurden weitere Schwachstellen behoben, die bereits für Angriffe ausgenutzt werden. Sie erlauben allerdings nicht die Ausführung eingeschleusten Codes, sondern erleichtern diese Angriffe nur bzw. erlauben einem Angreifer, sich nach dem Eindringen in einen Rechner höhere Benutzerrechte zu verschaffen:
Umgehen von ASLR dank Microsoft Common Control Library
Das Security Bulletin MS14-024 beschreibt eine weitere Schwachstelle, die bereits im Rahmen von Angriffen ausgenutzt wurde: CVE-2014-1809. Die Schwachstelle befindet sich in den mit Microsoft Office 2007, 2010, 2013 und2013 RT ausgelieferten Microsoft Common Control (MSCOMCTL) Libraries und erlaubt das Umgehen von Schutzmaßnahmen.
Ruft ein Benutzer eine entsprechend präparierte Webseite mit dem IE auf, kann über eine COM-Komponente die Address Space Layout Randomization (ASLR) umgangen werden. In Word kann die Schwachstelle zum Beispiel über präparierte RTF-Dokumente ausgenutzt werden.
Laut einem Eintrag in Microsofts Security Research & Defense Blog wurde die Schwachstelle unter anderem im Rahmen der Angriffe über die im März 2014 gemeldete 0-Day-Schwachstelle in Word ausgenutzt.
Höhere Benutzerrechte dank Group Policy Preferences
Das Security Bulletin MS14-025 beschreibt eine Schwachstelle in den Group Policy Preferences in allen unterstützten Windows-Versionen (Vista, Server 2008, 7, Server 2008 R2, 8, 8.1, Server 2012 und Server 2012 R2), die das Erlangen höherer Benutzerrechte erlaubt und die bereits im Rahmen gezielter Angriffe ausgenutzt wurde: CVE-2014-1812.
Die Schwachstelle kann ausgenutzt werden, wenn die Active Directory Group Policy Preferences verwendet werden, um Passwörter über die Domain zu verteilen. Ein Angreifer in lokalen Netz kann die Passwörter abfangen und entschlüsseln. Hintergründe liefert dieser KB-Artikel.
Höhere Benutzerrechte dank ShellExecute-API
Das Security Bulletin MS14-027 beschreibt eine weitere Schwachstelle in allen unterstützten Windows-Versionen, die das Erlangen höherer Benutzerrechte erlaubt und die bereits im Rahmen vereinzelter Angriffe ausgenutzt wurde: CVE-2014-1807.
Um die Schwachstelle auszunutzen muss Code ausgeführt werden, der das ShellExecute-API verwendet. Microsoft führt als "Mitigating Factor" auf:
"An attacker must have valid logon credentials and be able to log on locally to exploit this vulnerability."
Das scheint mir etwas zu optimistisch zu sein. Vermutlich reicht es ja wohl aus, wenn der Angreifer Code mit den Rechten eines normalen Benutzers ausführen kann. Zum Beispiel über die 0-Day-Schwachstelle im IE.
Laut einem Eintrag in Microsofts Security Research & Defense Blog wird die Schwachstelle von einigen Schädlingsfamilien ausgenutzt:
- Backdoor:Win32/Koceg
- Backdoor:Win32/Optixpro.T
- Backdoor:Win32/Small
- Backdoor:Win32/Xtrat
- PWS:Win32/Zbot
- Rogue:Win32/Elepater
- Rogue:Win32/FakeRean
- Trojan:Win32/Dynamer!dtc
- Trojan:Win32/Malagent
- Trojan:Win32/Malex.gen
- Trojan:Win32/Meredrop
- Trojan:Win32/Otran
- Trojan:Win32/Rimod
- Trojan:Win32/Sisron
- TrojanDropper:Win32/Sirefef
- TrojanSpy:Win32/Juzkapy
- VirTool:MSIL/Injector
- VirTool:Win32/Obfuscator
- Virus:Win32/Neshta
- Worm:Win32/Autorun
- Worm:Win32/Fasong
- Worm:Win32/Ludbaruma
- Worm:Win32/Rahiwi
Und das nennt Microsoft im Bulletin "limited attacks that attempt to exploit this vulnerability"? So besonders limitiert sieht das gar nicht aus.
Trackbacks
Dipl.-Inform. Carsten Eilers am : 0-Day-Exploit oder 0-Day-Schwachstelle - was ist denn da der Unterschied?
Vorschau anzeigen