Microsoft patcht, und wieder sind 0-Day-Schwachstellen dabei!
Auch am Februar-Patchday hat Microsoft wieder einige 0-Day-Schwachstellen behoben. Für eine davon gibt es sogar einen 0-Day-Exploit. Zum Glück werden davon aber nur Schutzmaßnahmen umgangen und kein Code ausgeführt. Obwohl auch das schon schlimm genug ist, immerhin wird damit ja das Ausführen von Code über eine andere Schwachstelle erst möglich.
CVE-2015-0071 - Ein 0-Day-Exploit für den IE
Der 0-Day-Exploit nutzt die Schwachstelle CVE-2015-0071 im Internet Explorer aus, um die Adress Space Layout Randomization (ASLR) zu unterlaufen. Weitere Informationen zum Angriff liegen bisher nicht vor.
Behoben wird die Schwachstelle durch die Patches zum Security Bulletin MS15-009. Die beheben auch die nächste 0-Day-Schwachstelle, für die es bisher keinen Exploit gibt:
CVE-2014-8967 - Eine 0-Day-Schwachstelle im IE ohne Exploit
Die zweite 0-Day-Schwachstelle im IE ist deutlich gefährlicher, denn sie erlaubt das Einschleusen von Code. Ihre CVE-ID ist CVE-2014-8967, sie wurde am 4. Dezember von der Zero Day Initiative veröffentlicht, nachdem Microsoft es nicht geschafft hat, sie innerhalb der zugestandenen 180 Tage zu patchen. Inzwischen ist die Schwachstelle also seit mehr als 2 Monaten öffentlich bekannt, einen Exploit dafür gibt es aber immer noch nicht. Entweder haben die Cyberkriminellen es nicht geschafft, einen zu entwickeln, oder sie haben es nicht für nötig gehalten.
Nebenbei bemerkt: SSL 3.0 im IE ist tot!
Die aktuellen Patches sperren sowohl das Fallback auf SSL 3.0 als auch SSL 3.0 selbst für den Protected Mode des IE 11, so dass Poodle-Angriffe darüber nicht mehr möglich sind. Am 14. April soll SSL 3.0 dann per Default im IE 11 blockiert werden.
CVE-2015-0010 - Eine 0-Day-Schwachstelle im Kernel, auch ohne Exploit
Die nächste 0-Day-Schwachstelle befindet sich im Kernel, genauer im
Cryptography Next Generation (CNG) Kernel-Mode Treiber
cng.sys. Sie hat die CVE-ID
CVE-2015-0010
und wird durch die Patches zum Security Bulletin
MS15-010
behoben.
Die Schwachstelle tritt bei der Prüfung und Durchsetzung von Impersonation-Levels auf. Sie kann von einem Angreifer ausgenutzt werden, um Zugriff auf eigentlich für ihn nicht zugängliche Informationen zu erlangen, wenn ein Benutzer ein entsprechend präpariertes Programm ausführt. Die Schwachstelle wurde von Googles Project Zero entdeckt und am 15. Januar 2015 automatisch veröffentlicht, nachdem Microsoft nicht innerhalb von 90 Tagen einen Patch veröffentlichen konnte. Einen Exploit gibt es bisher nicht.
CVE-2014-6362 - Eine 0-Day-Schwachstelle in MS Office, auch ohne Exploit
Die letzte am Februar-Patchday behobene 0-Day-Schwachstelle befindet sich in Microsoft Office und erlaubt das Unterlaufen der ASLR. Die Schwachstelle hat die CVE-ID CVE-2014-6362 und wird durch die Patches zum Security Bulletin MS15-013 behoben. Es gibt bisher keine Angriffe über die Schwachstelle, mehr ist aber auch nicht bekannt.
Die 0-Day-Schwachstellen im Überblick
| CVE-ID | Programm | Auswirkung | Exploit |
|---|---|---|---|
| CVE-2015-0071 | Internet Explorer | Unterlaufen von ASLR | ja |
| CVE-2014-8967 | Internet Explorer | Ausführen von Code | nein |
| CVE-2015-0010 | Kernel | Umgehen von Schutzmaßnahmen | nein |
| CVE-2014-6362 | Microsoft Office | Unterlaufen von ASLR | nein |
Patchen Sie frühzeitig - aber nicht zu früh!
Außerdem hat Microsoft natürlich eine Vielzahl weiterer Schwachstellen behoben, die bisher nicht bekannt waren und die auch nicht für Angriffe ausgenutzt werden. Was sich bekanntlich schnell ändern kann, nachdem nun die Patches verfügbar sind und analysiert werden können. Von daher: Installieren Sie die Updates besser zügig.
Aber Vorsicht: Mindestens eines der Updates macht Probleme! Vermutlich ist es daher besser, erst mal "die Cloud" (= alle Windows-Nutzer, die die Updates sofort installieren) das Ganze testen zu lassen und dann nur die Updates zu installieren, die keine Probleme machen. Zumindest eines hat Microsoft bereits zurückgezogen. Was mal wieder zeigt, dass die Patchqualität bei Microsoft in letzter Zeit nachgelassen hat.
Trackbacks