Microsoft patcht 2. 0-Day-Schwachstelle in OLE
Am November-Patchday hat Microsoft unter anderem die bereits für Angriffe ausgenutzte und am 21. Oktober bekannt gewordene 2. Schwachstelle in OLE behoben.
Die OLE-Schwachstellen - Endlich dicht?
Mit dem Security Bulletin MS14-064 werden zwei Schwachstellen in OLE behoben: Zum einen die als CVE-2014-6352 bezeichnete Schwachstelle, die seit Ende Oktober für Angriffe ausgenutzt wird. Und zum anderen eine weitere Schwachstelle mit der CVE-ID CVE-2014-6332, die bisher nicht für Angriffe ausgenutzt wird.
Dann hoffe ich mal, dass mit den Patches für CVE-2014-6352 und die auch als "Sandworm" bezeichnete Schwachstelle CVE-2014-4114 wirklich das gesamte Problem behoben ist und nicht nur zwei Angriffsvektoren für eine Schwachstelle behoben wurden, für die es womöglich noch mehr gibt. Nicht, dass nächste Woche der nächste Exploit auftaucht, der den neuen Patch "umgeht".
Zumindest hat Microsoft dem teilweise vorgebeugt und PowerPoint 2007, 2010 und 2013 eine Reihe von "defense-in-depth fixes" verpasst, um die Angriffe über CVE-2014-6352 zu erschweren. Eigentlich sind die ja überflüssig, nachdem der Patch die Schwachstelle behebt - man scheint sich da bei Microsoft also selbst nicht so ganz sicher zu sein, dass die Sache mit den Patches erledigt ist.
Kein reines PowerPoint-/Office-Problem
Dann hoffen wir mal, dass die Cyberkriminellen nicht einfach auf ein anderes Office-Format ausweichen. Oder auf irgend welche anderen Dateien, denn das Problem ist nicht auf Office-Dateien beschränkt, wie einer Beschreibung von McAfee zu entnehmen ist. Dort hat man den Exploit für CVE-2014-6352 analysiert und zuvor bereits andere Möglichkeiten zum Umgehen des "Sandworm"-Patches entdeckt und samt PoC an Microsoft gemeldet.
Bei der Schwachstelle CVE-2014-6352 handelt es sich um einen Logikfehler im
Windows Packager COM Object (packager.dll), also einer
systemweiten Funktion die auch von anderen Anwendungen als den
Office-Programmen verwendet werden kann. Was dementsprechend auch Angriffe
über andere als die bisher genutzten PowerPoint- oder allgemeiner
Office-Dateien möglich macht.
Erster Exploit 2013 entdeckt - und übersehen?
Ein auf VirusTotal gefundener Exploit-Generator deutet laut McAfee darauf hin, dass die Schwachstelle CVE-2014-6352 seit Juni 2013 ausgenutzt wird. Es handelt sich also eindeutig nicht um einen neuen Angriff, um den Patch für die "Sandworm"-Schwachstelle zu umgehen, wie teilweise vermutet wurde, als der Exploit nach der Veröffentlichung des zugehörigen Security Bulletins am Oktober-Patchday entdeckt wurde.
Wobei ich mich gerade frage, wieso denn niemand 2013 den 0-Day-Exploit erkannt hat. VirusTotal leitet die eingereichten verdächtigen Dateien an die Antivirenhersteller weiter, damit die ihre Scanner anpassen können. Und keinem ist dabei aufgefallen, dass man da einen Generator für einen 0-Day-Exploit vor der Nase hat? Ich glaube, darüber möchte ich gar nicht weiter nachdenken. Es bestätigt nur mal wieder meine Meinung über die Leistung von Virenscannern und deren Entwicklern.
Obwohl, für eins sind die zu gebrauchen: Zeitleisten der Angriffe zu erstellen. Bei Trend Micro hat man auf der Grundlage öffentlicher Informationen und der internen Metadaten der eigenen Malware-Samples eine zu den Angriffen über die OLE-Schwachstellen veröffentlicht. Das hätte man vielleicht besser bleiben lassen sollen, denn die Antivirenhersteller kommen dabei nicht gut weg:
- Am 4. Oktober 2013(!) wurde ein erster Angriff über OLE auf SCADA-Systeme entdeckt,
- am 7. August 2014 die Angriffe des "Sandworm"-Team auf CVE-2014-4114, und
- diese am 2. September an Microsoft gemeldet.
Ich hoffe sehr, dass es bei den Antivirenherstellern niemals brennt. Bis die die Feuerwehr rufen haben schon die Bauarbeiten für den Wiederaufbau des völlig abgebrannten Gebäudes begonnen (bzw. in Deutschland wurden bis dahin zumindest die Baugenehmigung erteilt).
Kein Patchday ohne neuen 0-Day?
Anscheinend werden Patchdays mit Patches für bereits ausgenutzte, aber
noch nicht allgemein veröffentlichte 0-Day-Schwachstellen üblich.
Auch diesmal hat Microsoft eine Schwachstelle behoben, die bereits für
Angriffe ausgenutzt wird:
Die Schwachstelle mit der CVE-ID
CVE-2014-4077
befindet sich im Microsoft Input Method Editor (IME) (Japanese), erlaubt
das Erlangen höherer Benutzerrechte (Privilegieneskalation, Escalation of
Privileges / EoP) und wird in Security Bulletin
MS14-078
beschrieben.
Nutzt eine in einer Sandbox eingesperrte Anwendung die IME für Japanisch zum Öffnen einer präparierten Datei, kann der Angreifer darüber mit den Rechten des aktuellen Benutzers auf das System zugreifen. Gemeldet wurde die Schwachstelle von Vitaly Kamluk und Costin Raiu vom Kaspersky Lab, die noch keine eigenen Informationen dazu veröffentlicht haben.
Die Schwachstelle wird laut Security Bulletin im Rahmen vereinzelter Angriffe ausgenutzt, laut einem Eintrag im Security Research & Defense Blog in "one targeted attack in the wild to bypass Adobe Reader Sandbox via binary hijacking using malicious DIC file."
Trackbacks