Skip to content

0-Day-Exploit für Flash Player unterwegs, bei Microsoft nur 0-Day-Schwachstellen gepatcht

Adobe warnt mal wieder vor einem 0-Day-Exploit für den Flash Player, ein Update ist in Vorbereitung. Bei Microsoft sieht es dafür am Juni-Patchday besser aus: Es wurde zwar wieder eine Reihe von 0-Day-Schwachstellen behoben, aber für keine davon ist bereits ein Exploit in Umlauf.

Update 16.6.:
Adobe hat das Update veröffentlicht, siehe unten!
Ende des Updates

Der monatliche 0-Day-Exploit für den Flash Player

Bei Adobe gilt nach den 0-Day-Exploits im März, April und Mai mal wieder "Same Procedure than last Month": Es gibt ein Security Advisory zum Flash Player, weil ein 0-Day-Exploit im Rahmen gezielter Angriffe verwendet wird. Die Schwachstelle hat die CVE-ID CVE-2016-4171 und wurde von Anton Ivanov und Costin Raiu vom Kaspersky Lab gemeldet. Ein Update wurde für den 16. Juni angekündigt.

Update 15.6.:
Costin Raiu hat weitere Informationen veröffentlicht: Die Angriffe gehen von einer APT-Gruppe aus, die bei Kaspersky als "ScarCruft" bezeichnet wird. Sie richten sich gegen "high profile victims" und werden von Microsofts EMET gestoppt.
Ende des Updates vom 15.6.

Damit ist der Flash Player für 4 der bisher 5 in diesem Jahr veröffentlichten 0-Day-Exploits verantwortlich. 2015 waren es 9 von 18, 2014 4 von 14 und 2013 3 von 21. Oder als Tabelle:

Jahr Flash Player 0-Day-Exploits von insgesamt %
2016 4 5 80
2015 9 18 50
2014 4 14 28,57
2013 3 21 14,28

Wenn das so weiter geht schafft der Flash Player ja vielleicht nächstes Jahr sogar die 100%. So langsam sollte Adobe wirklich mal den Stecker ziehen und statt ständiger Updates einfach einen Uninstaller verteilen. Das Ding ist ja eine Gefahr für die Menschheit.

Die Übersichtsseite des Internet Storm Centers zu Microsofts Patchday führt ein Security Bulletin MS16-083 auf, dass den Flash Player betreffen soll. Microsoft selbst kennt dieses Bulletin zur Zeit noch nicht, das letzte veröffentliche Bulletin ist MS16-082.

Update 16.6.:
Adobe hat das Update veröffentlicht. Das zugehörige Security Bulletin führt außer der 0-Day-Schwachstelle noch 35 (In Worten: Fünfunddreißig!) weitere Schwachstellen auf. Bis auf eine einzige davon erlauben ALLE das Ausführen von Code.

Irgendwie fällt mir dazu kein höflicher Kommentar mehr ein. Sind die Entwickler bei Adobe wirklich ALLE dermaßen unfähig, oder ist das Absicht? So viele Schwachstelle wie der Flash Player schon hatte, kann man ja eigentlich nur noch mit Absicht erklären. Unfähigkeit alleine reicht dazu wohl nicht mehr aus.
Ich habe keine Lust zu zählen, wie viele Schwachstellen Adobe dieses Jahr bereits behoben hat. Und in den Jahren davor. Außerdem weiß ich ja sowieso nicht, wie lang der Code des Flash Players ist. Aber so langsam drängt sich mir der Verdacht auf, dass da bald mehr Schwachstellen behoben wurden als Codezeilen drin stecken. Gut, dass ich den Flash Player schon vor einiger Zeit deinstalliert habe.

Ach so: Auch Microsofts Bulletin MS16-083 wurde inzwischen veröffentlicht und stellt Patches für den in IE und Edge integrierten Flash Player bereit. Den werden Sie leider nicht so einfach los wie die Stand-Alone-Version, da hilft nur der gute alte Rat von Peter Lustig: Abschalten! Den Flash Player. Von mir aus auch den IE. Edge würde ich aber behalten, der ist ziemlich sicher. Mal abgesehen von den Schwachstellen im integrierten Flash Player. Aber den können Sie ja ausschalten!

Übrigens schmeißt Apple den Flash Player in Herbst aus Safari raus. Also das PlugIn, integriert war er da ja zum Glück nie. Und ich werde wohl nie verstehen, warum Microsoft Edge erst durch das Löschen alten Codes deutlich sicherer als den IE macht und danach den Flash Player integriert. Das kann man ja fast auch nur noch durch eine Verschwörungstheorie erklären. Wie viel die NSA wohl dafür bezahlt hat? OK, war nur ein Scherz. Hoffentlich.
Ende des Updates vom 16.6.

Memory Corruption in der Scripting-Engine von Edge

Das Security Bulletin MS16-068 ist für Edge zuständig und enthält eine bereits öffentlich bekannte Schwachstelle: CVE-2016-3222. Dabei handelt es sich um eine von mehreren Memory-Corruption-Schwachstellen in der Scripting Engine, die alle die Ausführung eingeschleusten Codes erlauben.

Microsoft bedankt sich für die Meldung der Schwachstelle bei "Shi Ji (@Puzzor) of VARAS@IIE working with Trend Micro’s Zero Day Initiative (ZDI)". Auf der Website der ZDI gibt es bisher keine Infos zu dieser Schwachstelle. Ich hatte zuerst vermutet, dass Microsoft mal wieder eine Frist verstreichen lassen hat und die ZDI die Schwachstelle deshalb vor der Veröffentlichung des Patches veröffentlicht hat, aber das scheint nicht der Fall zu sein. Evtl. wurde die Schwachstelle also parallel von einem nicht genannten Dritten entdeckt und veröffentlicht. Normalerweise bedankt sich Microsoft auch nicht bei den Entdeckern von Schwachstellen, wenn die sie vor der Veröffentlichung des Patches veröffentlicht haben.

Die Übersichtsseite des Internet Storm Centers gibt für MS16-068 an, dass es (mindestens) einen bekannten Exploit gibt. In Microsofts Bulletin steht aber nichts davon. Hoffen wir mal, dass man sich beim ISC nur verklickt oder verlesen hat.

Privilegieneskalation im Windows SMB Server

Das Security Bulletin MS16-075 für den Windows SMB Server beschreibt genau eine Schwachstelle, und die war bereits zuvor bekannt: CVE-2016-3225. Es handelt sich dabei um eine Privilegieneskalation, für deren Meldung sich Microsoft bei niemanden bedankt. Weitere Informationen liegen bisher nicht vor.

Privilegieneskalation im Web Proxy Auto Discovery (WPAD) Protokoll

Das Security Bulletin MS16-077 für Windows beschreibt zwei Schwachstellen im Web Proxy Auto Discovery (WPAD) Protokoll. Eine davon war bereits vor Veröffentlichung des Bulletins bekannt: CVE-2016-3236. Auch diese Schwachstelle erlaubt eine Privilegieneskalation, und auch für diese Schwachstelle bedankt sich Microsoft bei niemanden. Laut Beschreibung von Microsoft kann die Schwachstelle von einem Angreifer dazu genutzt werden, auf Netzwerktraffic zuzugreifen, für den ihm eigentlich die nötigen Zugriffsrechte fehlen.

DoS-Schwachstelle in der Suchfunktion

Das Security Bulletin MS16-082 für Windows beschreibt eine 0-Day-Schwachstelle in der Suchfunktion: CVE-2016-3230 erlaubt es einem lokalen Angreifer, einen Server durch Überlastung lahm zu legen. Irgendwie kein besonders verlockender Angriff: Erst loggt man sich irgendwo ein, und dann startet man ein Programm, das dann nichts weiter macht, als den Rechner lahm zu legen. Das wäre dann wohl entweder ein sehr dummer oder ein sehr gnädiger Angreifer, denn wenn er sich bereits auf dem Server einloggen kann, kann er i.A. auch viel schlimmere Angriffe starten wie zum Beispiel Daten ausspähen.

Dann mal los: Patchen!

Wirklich kritisch ist die Schwachstelle im Flash Player, aber für den gibt es ja noch keine Patch. Stattdessen sollten Sie den einfach löschen, mehr als Löcher aufreißen macht der ja sowieso nicht.

Bei den Microsoft-Patches können sie den Empfehlungen von Microsoft oder ISC folgen, keine der behobenen Schwachstellen wird bisher angegriffen. Und einige der bisher nicht veröffentlichten Schwachstellen wie zum Beispiel die im DNS-Server (MS16-071) sind deutlich kritischer als die oben aufgeführten 0-Day-Schwachstellen.

Präparierte DNS-Anfragen, die zur Ausführung von Code führen, sind deutlich gefährlicher als die gefährlichste 0-Day-Schwachstelle. Das ist die Memory Corruption in Edge, da die für Drive-by-Infektionen genutzt werden kann.

Dafür müssen Sie aber auf einer präparierten Seite landen, Was zwar nicht mehr auszuschließen ist, seitdem die Drive-by-Infektionen so oft über manipulierte Werbung verbreitet werden, aber immerhin noch eine Zufallskomponente enthält. Die Angriffe auf die DNS-Server können dagegen gezielt erfolgen. Da muss niemand warten, bis ein Opfer zufällig auf eine präparierte Seite kommt.

Wobei das zugegebenermaßen auch zwei verschiedene Baustellen sind: Auf der einen Seite DNS-Server, auf der anderen Clients mit Edge. Sofern nicht gerade ein Admin mit seinem Job spielt und auf dem DNS-Server im Internet surft ist die Edge-Schwachstelle für die DNS-Server ungefährlich. Und umgekehrt gilt natürlich das gleiche, oder kennen Sie Windows-Clients, die im Nebenjob als DNS-Server im Internet arbeiten?

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Die 0-Day-Exploits 2016 im Überblick

Vorschau anzeigen
Hier finden Sie eine Übersicht über die 2016 eingesetzten 0-Day-Exploits, die die Ausführung eingeschleusten Codes erlauben. Es gibt auch Übersichtsseiten für 2013, 2014 und 2015. Nummer