Microsofts erster Patchday 2015 bringt den ersten 0-Day-Exploit
Am ersten Patchday des Jahres 2015 hat Microsoft auch schon die erste für Angriffe genutzte Schwachstelle gemeldet: Ein lokal ausnutzbare Privilegieneskalation. Und zwei weitere 0-Day-Schwachstellen der gleichen Kategorie behoben. Und das sind nicht die einzigen 0-Day-Schwachstellen im noch so neuen Jahr 2015: Auch in mehreren Corel-Programmen wurden 0-Day-Schwachstellen gemeldet.
Schwachstelle und Proof-of-Concepts veröffentlicht, aber keine Angriffe
Das Security Bulletin MS15-001 ist für die Schwachstelle CVE-2015-0002 zuständig. Die befindet sich in der Microsoft Windows Application Compatibility Infrastructure (AppCompat) und erlaubt es einem bösartigen Benutzer (oder einen Angreifer, der das System über eine andere Schwachstelle kompromittiert hat) den Start privilegierter Programme.
Dies ist die erste der beiden Schwachstellen, die Google veröffentlicht hat, nachdem Microsoft nicht innerhalb von 90 Tagen einen Patch veröffentlichte. Die 90 Tage waren in diesem Fall am 29. Dezember abgelaufen und die Schwachstelle wurde automatisch veröffentlicht.
Die Schwachstelle war zwar vor der Veröffentlichung des Patch bekannt, es gab aber keine Angriffe darauf. Es handelt sich also um eine reine 0-Day-Schwachstelle, es existiert kein 0-Day-Exploit. Google hat lediglich einen Proof of Concept veröffentlicht. Den hätten Cyberkriminelle für ihre Zwecke verwenden können, sie haben es aber nicht. Vielleicht, weil alle noch im Winterurlaub waren. Vielleicht aber auch, weil sie gar keinen Bedarf dafür haben. Die wahren Gründe werden wir wohl nie erfahren.
Das gleiche gilt für eine weitere Privilegieneskalations-Schwachstelle:
CVE-2015-0004 wird im Security Bulletin MS15-003 behandelt. Wie schon bei der ersten von Google veröffentlichten Schwachstelle kann auch bei dieser ein Benutzer Administrator-Rechte erlangen. Google hat zwar die Schwachstelle samt Proof of Concept am 11. Januar nach Ablauf der 90-Tage-Frist veröffentlicht, es gibt aber keine Angriffe darauf. Übrigens war Google bekannt, dass die Schwachstelle am Januar-Patchday behoben wird. Trotzdem auf die 90 Tage zu bestehen und sie kurz vorher zu veröffentlichen hat zumindest ein gewisses Geschmäckle.
Bei Microsoft ist man auch dementsprechend sauer, aber Google folgt nur strikt den Regeln der Responsible Disclosure, bei denen die Entwickler eine feste Frist für die Korrektur einer Schwachstelle bekommen, nach deren Ablauf die Schwachstelle veröffentlicht wird. Bei Microsoft folgt man dagegen der selbst entworfenen Coordinated Vulnerability Disclosure (CVD) und gibt den Entwickler so viel Zeit, wie die wollen (von wenigen Ausnahmen mal abgesehen).
Darüber, was für die Nutzer der betroffenen Software besser ist, lässt sich prima streiten. Immerhin gab es schon mehrfach 0-Day-Exploits für (Microsoft-)Software, während man bei Microsoft noch dabei war, die vertraulich gemeldete Schwachstelle zu beheben. Hätten die Nutzer von den Schwachstellen gewusst, hätten sie sich vor den Angriffen schützen können.
Vertraulich gemeldet, kein PoC, dafür ein Exploit!
Ganz anders sieht es bei der im Security Bulletin MS15-004 beschriebenen Schwachstelle CVE-2015-0016 aus: Auch diese Schwachstelle erlaubt das Erlangen höherer Benutzerrechte, aber sie wurde Microsoft im Rahmen einer "coordinated vulnerability disclosure" vertraulich gemeldet und es gibt keinen PoC. Aber dafür wurden Microsoft vereinzelte Angriffe darüber gemeldet: "Microsoft is aware of limited attacks that use this vulnerability in conjunction with other vulnerabilities to gain elevation of privilege.", laut Übersichtsseite "in limited, targeted attacks as a sandbox bypass".
Gemeldet wurde die Schwachstelle von Symantec, man scheint also zumindest dort einen Schädling entdeckt zu haben, der die Schwachstelle ausnutzt. Zumindest bisher gibt es dort aber keine Informationen dazu. Und auch sonst nirgends. Dafür gibt es welche zu weiteren 0-Day-Schwachstellen:
0-Day-Schwachstellen in Corel-Software
Core Security hat 0-Day-Schwachstellen in mehreren Corel-Programmen veröffentlicht, nachdem Corel auf die Meldung der Schwachstellen nicht reagiert hat. In allen Fällen handelt es sich um DLL-Hijacking-Schwachstellen, die ausgenutzt werden können, um Schadcode einzuschleusen. Betroffen sind
- Corel DRAW X7 (CVE-2014-8393)
- Corel Photo-Paint X7 (CVE-2014-8393)
- Corel PaintShop Pro X7 (CVE-2014-8393)
- Corel CAD 2014 (CVE-2014-8394)
- Corel Painter 2015 (CVE-2014-8393, CVE-2014-8395)
- Corel PDF Fusion (CVE-2014-8393, CVE-2014-8396)
- Corel VideoStudio PRO X7 (CVE-2014-8397)
- Corel FastFlick (CVE-2014-8397, CVE-2014-8398)
Ich habe die Schwachstellen vorerst nicht in die Übersicht über die 0-Day-Schwachstellen 2015 aufgenommen. Erstens möchte ich die nicht mit reinen Schwachstellen beginnen, die womöglich sowieso nie ausgenutzt werden, und zweitens können die Schwachstellen offiziell nur lokal ausgenutzt werden. Oder indem ein Benutzer dazu gebracht wird, eine Archiv-Datei mit DLL und Corel-Datei zu entpacken und dann die Corel-Datei zu öffnen. Was aber auch wieder nicht so schwierig ist, wie Angriffe über präparierte Office-Dateien gezeigt haben. Aber die Übersicht mit 6 reinen 0-Day-Schwachstellen beginnen - nein, das muss nicht sein. Nachtragen kann ich die ja immer noch.
Trackbacks