Microsofts Januar-Patchday 2016: Einige 0-Day-Schwachstellen, aber keine Exploits
Das Jahr 2016 beginnt halbwegs erfreulich: Microsoft hat am Januar-Patchday zwar einige bereits zuvor veröffentlichte Schwachstellen behoben, es gibt aber bisher keine Angriffe darauf. Wir haben es diesmal also ausschließlich mit 0-Day-Schwachstellen zu tun, die gefährlichen 0-Day-Exploits dafür sind uns erspart geblieben.
Zumindest bisher, denn in der Aufzählung vermisse ich ein Bulletin: Es gibt MS16-001 bis MS16-008 und MS16-010, das Bulletin MS16-009 fehlt aber. Da scheint Microsoft mal wieder einen Patch kurz vor der Veröffentlichung gestoppt zu haben, vermutlich weil er noch nicht fehlerfrei ist. Hoffen wir mal, dass der ebenfalls keinen 0-Day-Exploit betrifft.
Und nur der Vollständigkeit halber: Auch 2016 werde ich wieder eine Übersicht über die veröffentlichten 0-Day-Expoits und -Schwachstellen führen. Noch ist die aber sehr übersichtlich - es sind ja nur die drei unten aufgeführten 0-Day-Schwachstellen drin, die eine Remote Code Execution erlauben.
MS16-001 - Privilegieneskalation im Internet Explorer
Die erste 0-Day-Schwachstelle gibt es gleich im ersten Bulletin des Jahres: CVE-2016-0005 ist eine Privilegieneskalation im Internet Explorer. Cross-Domain Policies werden nicht korrekt umgesetzt, so dass ein Angreifer auf Daten einer Domain zugreifen und sie in eine andere einfügen kann. In Verbindung mit einer anderen Schwachstelle, über die im IE Code ausgeführt werden kann, könnte die Schwachstelle auch genutzt werden, um diesem Code höhere Rechte zu verschaffen.
Weitere Informationen zu dieser Schwachstelle gibt es bisher nicht. Zumindest keine, die mit der CVE-ID verknüpft sind, denn irgendwo veröffentlicht wurde die Schwachstelle ja.
MS16-004 - Remote Code Execution in Microsoft Office
Die nächste 0-Day-Schwachstelle ist deutlich gefährlicher: CVE-2016-0035 ist eine Remote Code Execution in Microsoft Office. Über eine entsprechend präparierte Office-Datei kann Code eingeschleust werden.
Welches Dateiformat bzw. welches Office-Programm betroffen ist, ist nicht bekannt, auch ansonsten gibt es keine weiteren Informationen über die Schwachstelle. Zumindest keine, die mit der CVE-ID verknüpft sind, denn veröffentlicht wurde die Schwachstelle ja.
Microsoft bedankt sich für die Meldung der Schwachstelle bei Steven Seeley von Source Incite, der sie über die Zero Day Initiative gemeldet hat. Bei der ZDI gibt es eine am 14. Dezember 2015 als 0-Day veröffentlichte Schwachstelle in Excel, bei der es sich um CVE-2016-0035 handeln könnte. Zumindest wurde die Schwachstelle ebenfalls von Steven Seeley entdeckt, es gibt keine CVE-ID und die Schwachstelle erlaubt das Einschleusen von Code. Das passt doch sehr gut. Etwas peinlich: Die ist mir 2015 im Vor-Weihnachts-Stress doch glatt entgangen.
Die nächste 0-Day-Schwachstelle befindet sich ebenfalls in Microsoft Office, und es gibt sogar minimal mehr Informationen: Betroffen ist Microsoft SharePoint.
CVE-2015-6117 erlaubt das Umgehen von Zugriffsbeschränkungen, da die Access Control Policy (ACP) Konfiguration nicht korrekt erzwungen wird. Auch zu dieser ja irgendwo veröffentlichten Schwachstelle gibt es keine weiteren Informationen, zumindest keine, die mit der CVE-ID verknüpft sind.
MS16-005 - Remote Code Execution in Windows Kernel-Mode Driver
Die nächste 0-Day-Schwachstelle gibt es mit CVE-2016-0009 in einem Treiber des Windows-Kernels. Die Schwachstelle kann zum Beispiel über eine präparierte Webseite zum Einschleusen von Code ausgenutzt werden.
Microsoft bedankt sich für die Meldung der Schwachstelle bei Kerem Gümrükcü, weitere Informationen gibt es nicht.
MS16-007 - Remote Code Execution in Windows
Die letzten beiden 0-Day-Schwachstellen des Januar-Patchdays befinden sich in Windows: CVE-2016-0016 und CVE-2016-0018 erlauben beide das Einschleusen von Code beim Laden einer DLL.
Laut Microsoft muss der Angreifer sich einloggen und eine präparierte Anwendung starten, um die Schwachstelle ausnutzen zu können. Das kommt mir etwas merkwürdig vor - wenn der Angreifer bereits ein präpariertes Programm starten kann, warum soll er dann noch eine Schwachstelle ausnutzen, die ihm das Einschleusen von Code erlaubt? Klingt irgendwie nicht besonders zielführend, oder? Und wieso ist diese Schwachstelle dann eine Remote Code Execution? Weil man sich auch Remote einloggen kann? Dann wäre auch jede Lokale Privilegieneskalation Remote!
Könnte es sein, dass das mal wieder eine der Schwachstellen ist, bei denen eine DLL aus dem aktuellen Verzeichnis geladen wird? Die könnte ein Angreifer nämlich aus der Ferne ausnutzen, indem er einen Benutzer dazu bringt, mit dem betroffenen Programm eine Datei aus einem Verzeichnis zu öffnen, in dem sich auch eine präparierte DLL befindet.
Dazu müsste er nur eine verlockende Datei plus DLL in ein Archiv packen und das seinem Opfer unterschieben. Das entpackt das Archiv, doppelklickt die Datei und das Programm lädt "seine" DLL aus dem aktuellen Verzeichnis (= dem, in den das Archiv entpackt wurde). Dabei wird dann statt der Original-DLL des Programms die des Angreifers geladen. Die dann Schadcode enthält.
Auch hier gibt es bisher keine weiterführenden Informationen, die über die CVE-ID zu finden sind. Microsoft bedankt sich für die Meldung von CVE-2016-0016 bei Steven Vittitoe von Google Project Zero und für die Meldung von CVE-2016-0018 bei parvez@greyhathacker.net.
Trackbacks