0-Day-Exploits für Adobe Reader, Acrobat und IE - Ausgabe August 2014
Es ist mal wieder soweit: Es gibt neue 0-Day-Exploits. Zum einen für Adobe Reader und Acrobat, dort ist der Ausbruch aus der Sandbox und dadurch die Ausführung beliebigen Codes möglich. Das ist in diesem Jahr der neunte 0-Day-Exploit zur Ausführung von Code insgesamt und der erste für Adobe Reader und Acrobat.
Und im Internet Explorer erlaubt eine Schwachstelle eine Privilegieneskalation. Dadurch kann zwar kein Code eingeschleust werden, aber bereits über eine andere Schwachstelle eingeschleuster Code kann sich darüber höhere Benutzerrechte verschaffen.
Die 0-Day-Schwachstelle in Adobe Reader und Acrobat
Adobe hat am 12. August außer der Reihe (die nächsten regulären Updates für Adobe Reader und Acrobat sind erst im September fällig) ein Security Bulletin für die Windows-Versionen von Adobe Reader und Acrobat veröffentlicht. Die darin beschriebene (oder eher erwähnte, beschrieben wird ja nicht viel) Schwachstelle mit der CVE-ID CVE-2014-0546 erlaubt den Ausbruch aus der Sandbox. Das klingt erst mal nicht besonders schlimm, ist es aber. Denn es bedeutet letztendlich, dass die Angreifer dadurch beliebigen Code auf dem angegriffenen Rechner ausführen können.
Adobe schreibt über die Schwachstelle:
"Adobe is aware of evidence that indicates an exploit in the wild is being used in limited, isolated attacks targeting Adobe Reader users on Windows."
Auch das klingt erst mal harmlos. Ist es aber nicht unbedingt. Zum einen nicht, wenn man zu den Opfern der "limited, isolated attacks" gehört. Zum anderen nicht, wenn man sich sicher fühlt, das Update erst mal nicht installiert und der Exploit Cyberkriminellen in die Hände fällt, die ihn im Rahmen von Drive-by-Infektionen verwenden. Denn die können jeden Web-Nutzer treffen. Also: Zögern Sie nicht und installieren sie das Update schnellstmöglich.
Was ist über die Angriffe bekannt?
Adobe bedankt sich im Security Bulletin bei Costin Raiu und Vitaly Kamluk von Kaspersky Labs. Costin Raiu hat in Kasperskys Blog Securelist lediglich bestätigt, dass es Angriffe gibt, sie "very rare" sind und noch untersucht werden. Details werden daher zumindest vorerst nicht veröffentlicht. Details zur Schwachstelle oder zum Exploit hätte man ja nicht veröffentlichen müssen, aber zumindest ein Hinweis, wer angegriffen wird, wäre doch ziemlich hilfreich gewesen.
Die 0-Day-Schwachstelle im Internet Explorer
Wie üblich hat Microsoft am Patchday mal wieder ein "Cumulative Security Update" für den Internet Explorer veröffentlicht: Man patcht gleich eine ganze Reihe von Schwachstellen auf einmal. Im zugehörigen Security Bulletin MS14-051 werden eine bereits veröffentlichte und 25 vertraulich gemeldete Schwachstellen behandelt. Interessant ist hier die Schwachstelle mit der CVE-ID CVE-2014-2817. Die wird laut FAQ bereits für Angriffe ausgenutzt, es gibt also einen 0-Day-Exploit, auch wenn man das nicht so formuliert.
Die Schwachstelle erlaubt das Erlangen höherer Benutzerrechte, Microsoft schreibt von "potentially allowing script to be run with elevated privileges". Es kann darüber also kein bösartiger Code eingeschleust werden, aber über eine andere Schwachstelle eingeschleuster Code kann sich über diese Schwachstelle höhere Benutzerrechte verschaffen: Während der eingeschleuste Code sehr wahrscheinlich nur auf einem "low integrity level" mit sehr eingeschränkten Rechten läuft, kann er sich über diese Schwachstelle die Rechte des aktuellen Benutzers verschaffen.
Was ist über die Angriffe bekannt?
Microsoft bedankt sich bei James Forshaw von Context Information Security für die Meldung der Schwachstelle. Im dortigen Blog gibt es zumindest zur Zeit noch keine Informationen über die Schwachstellen.
In einem Eintrag im Security Research & Defense Blog gibt es eine minimale zusätzliche Information: Als "Likely first 30 days impact" für das Bulletin MS14-051 ist angegeben
"Exploitation of CVE-2014-2817 detected in the wild.
Used as a sandbox escape."
Die Schwachstelle wird also verwendet, um aus der Sandbox des Internet Explorers auszubrechen. Im Adobe Reader und Acrobat war die Folge des Ausbruchs aus der Sandbox die Ausführung beliebigen Codes, hier ist es "nur" die Ausführung des sowieso schon eingeschleusten Codes mit höheren Benutzerrechten. Hoffen wir mal, dass es dabei bleibt und die Schwachstelle nicht auch direkt zum Einschleusen von Code ausgenutzt werden kann.
Was ist sonst noch bemerkenswert?
Microsoft hat seinen Exploitability Index angepasst, der an gibt, wie wahrscheinlich es ist, dass die Schwachstelle ausgenutzt, also ein Exploit veröffentlicht, wird. Bisher ging der Index von 1 bis 3, nun ist die 0 für bereits bekannte Angriffe hinzu gekommen.
Leider hat Microsoft bei dieser Gelegenheit auch die Beschreibung der Zahlenwerte geändert, meines Erachtens teilweise zum schlechteren. Das ist aber nicht all zu schlimm, da es meist zusätzliche Erklärungen gibt, zum Beispiel in der regelmäßig im Security Research & Defense Blog veröffentlichten Übersicht "Assessing risk for the [Monat und Jahr] security updates".
| Exploitability Index | Kurzbeschreibung |
|---|---|
| 0 | "Exploitation Detected" |
| 1 | "Exploitation More Likely" (früher: "Exploit code likely") |
| 2 | "Exploitation Less Likely" (früher: "Exploit code would be difficult to build") |
| 3 | "Exploitation Unlikely" (früher: "Exploit code unlikely") |
Das Security Bulletin MS14-051 ist das erste Bulletin, dass einen maximalen Exploitability Index von 0 hat, da es für CVE-2014-2817 ja bereits einen Exploit gibt.Dass der maximale Exploitability Index den kleinsten numerischen Wert hat ist auch irgendwie ungeschickt.
Trackbacks