Dipl.-Inform. Carsten Eilers

Die Anfang November bekannt gewordene 0-Day-Schwachstelle in Microsoft Graphics (CVE-ID CVE-2013-3906) wird mit den Patches zum Security Bulletin MS13-096 behoben. Weitere neue Informationen gibt es hierzu nicht.

Das ist aber nicht die einzige 0-Day-Schwachstelle, die von Microsoft am Patchday behoben wurde. Es gibt noch mehr, und darunter auch noch eine kritische:

0-Day-Schwachstelle in WinVerifyTrust

Das Security Bulletin MS13-098 betrifft eine Schwachstelle bei der Prüfung von Signaturen durch die Funktion in WinVerifyTrust: Eine manipulierte Signatur wird nicht als falsch erkannt, so dass ein Angreifer über eine manipulierte signierte Programmdatei eigenen Code ausführen kann. Die Schwachstelle hat die CVE-ID CVE-2013-3900 und wird laut Microsofts FAQ-Einträgen bereits im Rahmen gezielter Angriffe ausgenutzt:

"When this security bulletin was issued, had Microsoft received any reports that this vulnerability was being exploited?
Yes. Microsoft is aware of targeted attacks that attempt to exploit this vulnerability."

Also ein klarer Fall von einer 0-Day-Schwachstelle. Die 20. in 2013. Für den Angriff muss das Opfer dazu gebracht werden, ein Programm zu starten. Zum Beispiel ein Installationsprogramm für ein legitimes Programm, das manipuliert wurde. Das dürfte keine unüberwindbare Hürde sein. Außerdem sind laut Microsoft auch Angriffe über präparierte Webseiten, also Drive-by-Infektionen, möglich.

Entdeckt wurde die Schwachstelle von Kingsoft Internet Security Software Co. Ltd, ein Eintrag im Security Research & Defense Blog von Microsoft liefert ein paar Hintergrundinformationen zu Authenticode. Weitere Informationen liegen nicht vor.

Kommen wir zu den "nur" als wichtig eingestuften Security Bulletins zu 0-Day-Schwachstellen:

Informationsleck in Microsoft Office

Das Security Bulletin MS13-104 betrifft Microsoft Office 2013: Eine Schwachstelle (CVE-2013-5054) führt dazu, dass beim Öffnen einer Office-Datei von einer Webseite Authentifizierungstoken ausgespäht werden können, über die dann auf SharePoint- oder anderer Microsoft-Office-Server zugegriffen werden kann.

Auch diese Schwachstelle wird bereits im Rahmen gezielter Angriffe ausgenutzt:

"When this security bulletin was issued, had Microsoft received any reports that this vulnerability was being exploited?
Yes. Microsoft is aware of limited, targeted attacks that attempt to exploit this vulnerability."

Also mal wieder eine 0-Day-Schwachstelle, aber zumindest kann darüber kein Code eingeschleust werden. Daher habe ich sie auch nicht in der Übersicht aufgenommen.

Die Schwachstelle wurde von Noam Liran von Adallom an Microsoft gemeldet, der in einem Blogbeitrag mehr dazu verrät: Der Exploit wurde "in the wild" entdeckt und nutzt aus, dass viele Office-Benutzer gar nicht wissen, wie sich Office 2013 Desktop durch seine Integration mit Office 365 in manchen Situationen verhält und das mitunter Dateien gar nicht lokal vorliegen sondern von einem Server geladen werden. Die Benutzer denken, sie öffnen eine lokale Datei, während die tatsächlich von einem Server geladen wird. Wobei Office dann die Authentifizierungstoken mit schickt, die in diesem Fall gar nicht für den (bösartigen) Server gedacht sind (stark vereinfacht ausgedrückt, für Details siehe Noam Lirans Text).

Weitere Informationen, zum Beispiel über das Ziel der Angriffe oder ähnliches, liegen noch nicht vor.

Auch das nächste Security Bulletin betrifft eine 0-Day-Schwachstelle und wird ebenfalls als wichtig eingestuft:

Schwachstelle in Office-Komponente erlaubt Umgehen von ASLR

Das Security Bulletin MS13-106 betrifft Microsoft Office 2007 und 2010: Die DLL HXDS.DLL kann missbraucht werden, um die Address Space Layout Randomization (ASLR) zu umgehen (CVE-2013-5057)

Auch diese Schwachstelle wird bereits im Rahmen gezielter Angriffe ausgenutzt:

"When this security bulletin was issued, had Microsoft received any reports that this vulnerability was being exploited?
Yes. Microsoft is aware of limited, targeted attacks that attempt to exploit this vulnerability."

Ein Eintrag im Security Research & Defense Blog von Microsoft liefert ein paar Hintergrundinformationen zur Schwachstelle. Sie wurde zum Beispiel im Rahmen der Angriffe auf die IE-0-Day-Schwachstellen CVE-2013-3893 aus dem September und CVE-2013-3897 aus dem Oktober ausgenutzt. Da über die Schwachstelle selbst kein Code eingeschleust werden kann habe ich sie natürlich ebenfalls nicht in die Übersicht aufgenommen.

Dafür wurde die nächste 0-Day-Schwachstelle aufgenommen. Denn dies war zwar die letzte 0-Day-Schwachstelle von diesem Patchday, aber nur soweit es Microsoft betrifft. Denn auch Adobe musste mal wieder eine 0-Day-Schwachstelle beheben:

0-Day-Schwachstelle im Flash Player

Auch bei Adobe war am 10. Dezember 2013 Patchday, und das Security Bulletin für den Flash Player enthält folgende interessante Information:

"Adobe is aware of reports that an exploit designed to trick the user into opening a Microsoft Word document with malicious Flash (.swf) content exists for CVE-2013-5331"

Oder anders ausgedrückt: Die Schwachstelle mit der CVE-ID CVE-2013-5331 ist eine 0-Day-Schwachstelle. Die 21. in diesem Jahr. Gemeldet wurde sie von David D. Rude II von den iDefense Labs, weitere Informationen liegen nicht vor.

Die Schwachstelle wurde zwar bisher nur über Word-Dateien ausgenutzt (was schlimm genug ist), aber ich wüsste nicht, was gegen einen Angriff über präparierte Webseiten spricht. Mit anderen Worten: Drive-by-Infektionen sollten kein Problem sein.

Details zur 0-Day-Schwachstelle in Windows XP

Es gibt ein paar neue Informationen zur aktuellen 0-Day-Privilegieneskalations-Schwachstelle in Windows XP und Server 2003 (CVE-2013-5065): McAfee hat den Exploit analysiert, und auch von FireEye gibt es weitere Details. Was fehlt, ist ein Patch. Der dürfte frühestens am nächsten Patchday im Januar erscheinen.

Update 14.1.2014:
Microsoft hat die Schwachstelle behoben, siehe das Security Bulletin MS14-002.

Carsten Eilers