Skip to content

Microsofts März-Patchday 2017 bringt uns 18 Security Bulletins, 14 0-Day-Schwachstellen und 3 0-Day-Exploits

Am März-Patchday hat Microsoft die ausgefallenen Februar-Patches nachgeholt und damit nicht nur mal wieder besonders viele Security Bulletins (18 Stück!) auf einmal veröffentlicht, sondern auch etliche 0-Day-Schwachstellen mit und ohne Exploit bekannt gemacht: 14 Schwachstellen waren bereits vor der Veröffentlichung der Patches öffentlich bekannt, weitere 3 werden bereits für Angriffe ausgenutzt.

Internet Explorer: Fünf 0-Day-Schwachstellen plus ein 0-Day-Exploit

Das Security Bulletin MS17-006 ist für den Internet Explorer zuständig und hat es in sich: 5 0-Day-Schwachstellen sowie 1 Schwachstelle, die bereits mit einem 0-Day-Exploit für Angriffe ausgenutzt wird.

Die Schwachstellen im Überblick:

  • Eine 0-Day-Exploit gibt es für die folgende Schwachstelle:
    1. CVE-2017-0149, eine Memory-Corruption-Schwachstelle, die die Ausführung eingeschleusten Codes erlaubt. Außer, dass die Schwachstelle bereits ausgenutzt wird, liegen keine Informationen vor.
  • "Nur" zuvor öffentlich bekannt und damit 0-Day-Schwachstellen sind die folgenden Schwachstellen:
    1. CVE-2017-0008 ist ein Informationsleck, über das nicht genannte Informationen ausgespäht werden können, die die Kompromittierung des Systems erleichtern.
    2. CVE-2017-0037 ist eine Type-Confusion-Schwachstelle, über die sich eingeschleuster Code ausführen lässt.
      Diese Schwachstelle wurde von Googles Project Zero an Microsoft gemeldet und nach Ablauf der für die Beseitigung eingeräumten Frist von 90 Tagen am 23. Februar automatisch veröffentlicht.
      Sollte der Patch für diese Schwachstelle eigentlich für den Februar-Patchday vorgesehen gewesen sein, hat Microsoft sich die Veröffentlichung als 0-Day selbst zuzuschreiben. Man sollte dort eigentlich wissen, dass Google die Schwachstellen nach Ablauf der Frist veröffentlicht.
      Trotz allem hat sich Microsoft beim Entdecker Ivan Fratric und Googles Project Zero bedankt.
    3. CVE-2017-0012 ist eine Spoofing-Schwachstelle, ebenso wie
    4. CVE-2017-0033. Beide Schwachstellen treten beim Parsen von HTTP-Responses auf und erlauben es einem Angreifer, den Benutzer auf eine andere als die gewünschte Webseite umzuleiten.
    5. CVE-2017-0154 wird von Microsoft als Privilegieneskalation eingestuft. Cross-Domain Policies werden nicht korrekt durchgesetzt, so dass Informationen über Domain-Grenzen hinweg ausgespäht werden können.

Edge: Fünf 0-Day-Schwachstellen, aber kein Exploit

Für Edge ist das Bulletin MS17-007 zuständig, und hier sieht es etwas besser aus als beim IE: Es gibt zwar ebenfalls 5 0-Day-Schwachstellen (drei sind die gleichen wie im IE, zwei sind neu), aber keine bereits laufenden Angriffe:

  1. CVE-2017-0065 ist ein Informationsleck, über das nicht genannte Informationen ausgespäht werden können, die die Kompromittierung des Systems erleichtern.
    Microsoft bedankt sich für die Meldung der Schwachstelle bei Henri Aho, weitere Informationen liegen nicht vor.
  2. CVE-2017-0012 ist eine auch im IE vorkommende Spoofing-Schwachstelle, ebenso wie die ebenfalls auch im IE vorkommende Schwachstelle
  3. CVE-2017-0033. Beide Schwachstellen treten beim Parsen von HTTP-Responses auf und erlauben es einem Angreifer, den Benutzer auf eine andere als die gewünschte Webseite umzuleiten.
  4. CVE-2017-0069 ist eine weitere Spoofing-Schwachstelle, die nur Edge betrifft, aber die gleichen Folgen wie die anderen beiden Schwachstellen hat.
    Microsoft bedankt sich für die Meldung der Schwachstelle bei Jun Kokatsu, weitere Informationen liegen nicht vor.
  5. CVE-2017-0037 ist die ebenfalls auch im IE behobene Type-Confusion-Schwachstelle, über die sich eingeschleuster Code ausführen lässt.
    Also gilt hier das gleiche wie oben schon geschrieben.

Hyper-V: Eine 0-Day-Schwachstelle

Das Security Bulletin MS17-008 ist für Hyper-V zuständig und enthält eine 0-Day-Schwachstelle: CVE-2017-0097 erlaubt über eine nicht näher genannte Schwachstelle einem privilegierten Benutzer eines Gast-Systems DoS-Angriffe auf das Host-System.

Windows: Eine 0-Day-Schwachstelle

Das Security Bulletin MS17-012 beschreibt die Patches für und Schwachstellen in Windows und enthält eine 0-Day-Schwachstelle: CVE-2017-0016 ist eine DoS-Schwachstelle im Microsoft Server Message Block 2.0 und 3.0 (SMBv2/SMBv3) Client. Um sie auszunutzen, muss der Angreifer den Rechner dazu bringen, sich mit einem präparierten SMB-Server zu verbinden, z.B. über einen Redirector, eingeschleuste HTML-Header, Links etc.. Ursache der Schwachstelle ist eine Null-Dereferenzierung, weitere Informationen liegen nicht vor.

Microsoft Graphics Component: Ein 0-Day-Exploit

Für die Microsoft Graphics Component ist das Security Bulletin MS17-013 zuständig. Es enthält eine bereits für Angriffe ausgenutzte Schwachstelle: CVE-2017-0005 erlaubt das Ausführen von Code im Kernel-Mode. Zur Ausnutzung der Schwachstelle muss der Angreifer aber bereits Code auf dem Rechner ausführen können, es handelt sich daher "nur" um eine Privilegieneskalation.

Microsoft bedankt sich für die Meldung der Schwachstelle beim Lockheed Martin Computer Incident Response Team, weitere Informationen liegen nicht vor. Aber immerhin dürften wir damit wissen, WER angegriffen wurde: Lockheed Martin.

Microsoft Office: Eine 0-Day-Schwachstelle

Das für Microsoft Office zuständige Security Bulletin MS17-014 enthält eine 0-Day-Schwachstelle: Die nicht näher beschriebene Schwachstelle CVE-2017-0029 erlaubt DoS-Angriffe über präparierte Dokumente (über die auch nichts bekannt ist).

Microsoft bedankt sich für die Meldung der Schwachstelle bei David Wind von der XSEC infosec GmbH, weitere Informationen liegen nicht vor.

Windows Kernel: Eine 0-Day-Schwachstelle

Das Security Bulletin MS17-017 ist für die Schwachstellen im Windows Kernel zuständig. Sein Beitrag zur 0-Day-Sammlung im März: Eine 0-Day-Schwachstelle.

Die Schwachstelle CVE-2017-0050 erlaubt eine Privilegieneskalation, weil das Kernel API Rechte nicht korrekt erzwingt. Ein Angreifer, der ein präpariertes Programm starten kann, kann sich darüber höhere Benutzerrechte verschaffen.

Microsoft XML Core Services: Ein 0-Day-Exploit

Das Security Bulletin MS17-022 für die Microsoft XML Core Services bringt uns den nächsten/dritten/letzten 0-Day-Exploit: Die Schwachstelle CVE-2017-0022 erlaubt es, das Vorhandensein von Dateien auf der Festplatte zu prüfen. Die Schwachstelle wird bereits für Angriffe ausgenutzt, aber das wie/wo/wer... ist wie immer nicht bekannt.

Microsoft bedankt sich für die Meldung der Schwachstelle bei Brooks Li und Joseph C Chen von Trend Micro, weitere Informationen liegen nicht vor.

Allerdings kann sich das alles noch ändern - Microsofts Angaben widersprechen sich mal wieder teilweise: Auf der Übersichtsseite steht für diese Schwachstelle "1 - Exploitation More Likely", während im Security Bulletin "Exploited Yes" steht.

Fazit

Das sieht auf den ersten Blick sehr schlimm aus, aber das relativiert sich durch die Tatsache, dass von den 3 bereits für Angriffen ausgenutzten Schwachstellen nur die im IE das Ausführen von Code erlaubt.

Und dann gibt es noch eine gute Nachricht von Adobe: Da hat man zwar mal wieder einige Schwachstellen im Flash Player behoben, aber keine davon wird bereits für Angriffe ausgenutzt.

Die Statistik für dieses Jahr sieht damit weiterhin sehr gut aus: Bisher gab es einen 0-Day-Exploit (den aus diesem Monat) und zwei 0-Day-Schwachstellen (darunter die von Google veröffentlichte und nun gepatchte im IE/Edge).

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Die 0-Day-Exploits 2017 im Überblick

Vorschau anzeigen
Hier finden Sie eine Übersicht über die 2017 eingesetzten 0-Day-Exploits, die die Ausführung eingeschleusten Codes erlauben. Es gibt auch Übersichtsseiten für 2013, 2014, 2015 und 2016. N