Skip to content

Microsofts 0-Day-Schwachstellen, Ausgabe Oktober 2014, oder: 6 auf einen Streich

Der 14. Oktober war Microsofts monatlicher Patchday, und gleichzeitig eine Art 0-Day-Patchday. Denn es wurden sage und schreibe 6 0-Day-Schwachstellen behoben:

  • Je eine Schwachstelle im OLE Package Manager und im Kernel erlauben die Ausführung beliebigen Codes aus der Ferne und werden bereits im Rahmen vereinzelter, gezielter Angriffe ausgenutzt. Die Anzahl dieser 0-Exploits in 2014 ist damit auf 11 gestiegen.
  • Eine Schwachstelle im Kernel erlaubt eine lokale Privilegieneskalation und wird ebenfalls bereits im Rahmen von Angriffen ausgenutzt,
  • ebenso wie eine Schwachstelle im Internet Explorer, die zum Ausbruch aus der Sandbox genutzt wird.
  • Für eine Privilegieneskalation im Message Queuing Service wurde zwar ein Exploit veröffentlicht, bisher haben sich die Angreifer dafür aber nicht interessiert, ebenso wenig wie für eine
  • öffentlich gemeldete XSS-Schwachstelle im Microsoft ASP.NET Model View Controller (MVC).

CVE-2014-4114 ("Sandworm") - Codeausführung über präparierte Office-Dateien

Erste Berichte über die Schwachstelle mit der CVE-ID CVE-2014-4114 gab es schon vor der Veröffentlichung der Patches: iSIGHT Partners berichtete, dass man einen 0-Day-Exploit für alle von Microsoft unterstützten Versionen von Windows sowie Windows Server 2008 und 2012 entdeckt hat. Der Exploit wurde im Rahmen eines Cyber-Spionageangriffs eingesetzt, für den man bei iSIGHT Russland verantwortlich macht.

Ziel der Angriffe waren die NATO, Ukrainische und Westeuropäische Regierungsorganisationen, Unternehmen aus dem Energiesektor (vor allem in Polen), Europäische Telekommunikationsunternehmen und Akademische Einrichtungen in den USA. Die Angreifer wurden von iSIGHT "Sandworm Team" genannt, da es in ihrer Schadsoftware und den Command&Control-URLs Anspielungen auf die Dune-/Wüstenplanet-Romane von Frank Herbert gibt.

Die gleiche Angreifer-Gruppe wurde zuvor schon von F-Secure entdeckt und als "Quedach" bezeichnet. Von F-Secure wurde auch das von den Angreifern verwendete Exploit-Kit "BlackEnergy" untersucht, der 0-Day-Exploit aber nicht entdeckt. Der wurde aber auch von iSIGHT erst am 3. September entdeckt: Ein damit präparierte PowerPoint-Datei wurde im Rahmen von Spearphishing-Angriffen eingesetzt.

Ursache für die Schwachstelle ist eine unsichere Methode im OLE Package Manager von Windows Vista SP2 bis Windows 8.1 und Windows Server 2008 und 2012. Durch die Schwachstelle kann ein Package OLE Object auf beliebige externe Dateien wie zum Beispiel INF-Dateien verweisen, die herunter geladen und ausgeführt werden.

Im Laufe des Tages hat Microsoft dann die Patches samt Security Bulletin MS14-060 veröffentlicht, dass nur als Wichtig/Important eingestuft wird - obwohl es sich um eine "Remote Code Execution" handelt. Der Grund dafür: Die Schwachstelle kann nur ausgenutzt werden, wenn ein Benutzer eine präparierte Office-Datei öffnet. Da es ja nun wirklich kein größeres Problem ist, den Benutzer dazu zu bringen, würde ich diese Schwachstelle durchaus als kritisch einstufen. Zumal beim Einsatz des Exploits mit einer PowerPoint Show der eingeschleuste Code installiert werden kann, ohne dass eine Nachfrage durch die User Account Control (UAC) erfolgt.

Nach der Ankündigung von iSIGHT wurden auch von Symantec, Trend Micro und ESET (wo man sich ebenfalls bereits zuvor mit BlackEnergy beschäftigt hat) Analysen der Exploits veröffentlicht. ESET hat den 0-Day-Exploit am 2. September an Microsoft gemeldet, war also schneller als iSIGHT.

Ach ja, damit keine Irrtümer entstehen: Die Angreifer, die diese Schwachstelle zuerst ausgenutzt haben, werden von iSIGHT "Sandworm Team" genannt, und teilweise wurde für den Exploit daher der Name "Sandworm" übernommen. Es handelt sich aber um keinen Wurm, in sofern ist diese Übernahme des Namens äußerst ungünstig. Vor allem, da der Exploit im Rahmen des Exploit-Kits "BlackEnergy" eingesetzt wird und damit ein besserer Name zur Verfügung stand.

CVE-2014-4148 - Codeausführung über präparierte True Type Fonts

Die Schwachstelle mit der CVE-ID CVE-2014-4148 aus dem Security Bulletin MS14-058 befindet sich im Windows-Kernel und erlaubt die Ausführung beliebigen Codes, wenn ein entsprechend präparierter True Type Font gerendert wird. Ausgenutzt wird die Schwachstelle, die von FireEye entdeckt wurde, über Word-Dokumente mit eingebettetem Font. Während zwar sowohl 32- als auch 64-Bit-Versionen von Windows von der Schwachstelle betroffen sind, richten sich die Angriffe nur gegen die 32-Bit-Systeme. Der Exploit enthält angepassten Code für die folgenden Plattformen:

  • Windows 8.1/Windows Server 2012 R2
  • Windows 8/Windows Server 2012
  • Windows 7/Windows Server 2008 R2 (SP0 und SP1)
  • Windows XP SP3 (für das es bekanntlich von Microsoft keine kostenlosen Patches mehr gibt)

Der Exploit weist einige Besonderheiten auf, zum Beispiel beendet der Shellcode sich von selbst wenn das aktuelle Datum nach dem 31. Oktober 2014 liegt, und der eingeschleuste Schadcode ist sehr stark an das jeweilige Ziel angepasst.

Über das Ziel der Angriffe und seine Hintermänner liegen FireEye keine Informationen vor. Symantec hat nach der Veröffentlichung der Patches mit der Untersuchung der Angriffe begonnen und schreibt von Angriffen auf eine "international organization".

Kommen wir nun zu den weniger kritischen, aber für Angriffe ausgenutzten Schwachstellen, die "nur" das Erlangen höherer Benutzerrechte erlauben:

CVE-2014-4113 - Privilegieneskalation im Kernel

Die Privilegieneskalations-Schwachstelle mit der CVE-ID CVE-2014-4113 wird ebenfalls im Security Bulletin MS14-058 behandelt und wurde ebenso wie CVE-2014-4148 von FireEye "in the Wild" bei Angriffen entdeckt.

Auch hier gibt es keine Informationen über die Angriffsziele oder die Hintermänner der Angriffe. Es ist lediglich bekannt, dass die Schwachstelle nicht zusammen mit CVE-2014-4148 ausgenutzt wird, sondern in Verbindung mit anderen Schwachstellen zum Einschleusen von Code.

CVE-2014-4123 - Privilegieneskalation im Internet Explorer

Die Schwachstelle CVE-2014-4123 befindet sich im Internet Explorer und erlaubt Skripten die Ausführung mit erhöhten Privilegien. Das ist aber auch schon fast alles, was man im zugehörigen Bulletin MS14-056 dazu erfährt: Die Schwachstelle wird in Verbindung mit einer Remote-Code-Execution-Schwachstelle ausgenutzt, um höhere Benutzerrechte zu erlangen. Gemeldet wurde die Schwachstelle von James Forshaw von Context Information Security.

In Microsofts Security Research and Defense Blog erfährt man dann noch zusätzlich, dass die Schwachstelle "in the Wild" zum Ausbruch aus der Sandbox eingesetzt wird.

Kommen wir nun noch zu den zwei 0-Day-Schwachstellen, die bisher nicht für Angriffe ausgenutzt wurden.

CVE-2014-4971 - Privilegieneskalation im Message Queuing Service

CVE-2014-4971 ist eine Privilegieneskalations-Schwachstelle im Message Queuing Service und wird im Security Bulletin MS14-062 behandelt. Auch dies ist eine 0-Day-Schwachstelle, ein Exploit wurde zum Beispiel in der Exploit-DB veröffentlicht, und auf der Mailingliste Full Disclosure wurden im Juli 2014 Advisories zu den Schwachstellen in BthPan.sys (Bluetooth Personal Area Networking) und MQAC.sys (MQ Access Control) veröffentlicht. Betroffen sind Windows XP SP3 (für das es keine Patches gibt) und Windows Server 2003 SP2.

Im Gegensatz zu den anderen am 14. Oktober behobenen Schwachstellen, für die es 0-Day-Exploits gibt, wurde diese Schwachstelle aber zumindest bisher nicht im Rahmen von Angriffen ausgenutzt.

Die Tabelle mit der Einschätzung der Risiken in Microsofts Security Research and Defense Blog macht an dieser Stelle eine Lücke im Exploitability Index deutlich: Die "Max exploitability" für MS14-062 wird mit 1 angegeben, was für "Exploitation More Likely" steht. Das es bereits Exploitcode gibt, kommt damit nicht zum Ausdruck. Der Fall "Es gibt einen Exploit, aber keine Angriffe" ist nicht vorgesehen, die nächste Steigerung ist 0 = "Exploitation Detected", was in diesem Fall ja nicht zutrifft. Aber das ist ja generell ein Problem aller Kennzahlen, es gibt immer irgend etwas, was nicht ins Raster passt.

CVE-2014-4075 - XSS in Microsoft ASP.NET Model View Controller

Der Vollständigkeit halber sei auch noch die Schwachstelle CVE-2014-4075 erwähnt, eine XSS-Schwachstelle im Microsoft ASP.NET Model View Controller (MVC), die laut Security Bulletin MS14-059 ebenfalls vor der Veröffentlichung der Patches bekannt war. Es war also eine 0-Day-Schwachstelle, für die es keinen 0-Day-Exploit gibt.

In der Tabelle mit der Einschätzung der Risiken in Microsofts Security Research and Defense Blog weist für diese Schwachstelle einen Exploitability Index von 3 = "Exploitation Unlikely" auf. Das ist gut möglich, es gibt so viele XSS-Schwachstellen in anderen, weiter verbreiteten Webanwendungen, dass sich wohl kaum ein Angreifer ausgerechnet für den ASP.NET Model View Controller interessieren wird. Aber man hat ja schon die sprichwörtlichen Pferde vor der Apotheke rückwärts frühstücken sehen, man sollte mit der Installation des Patches also nicht zu lange warten.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Neues zu den 0-Day-Exploits, besonders bösartige Werbung und mehr

Vorschau anzeigen
Es gibt Neues zu den von Microsofts am Oktober-Patchday behobenen 0-Day-Schwachstellen, es wurde besonders bösartige Werbung entdeckt, und dann gibt es da noch ein paar widersprüchliche Meldungen. Ach so, und was die Nutzung von Fake-

Dipl.-Inform. Carsten Eilers am : Neuer 0-Day-Exploit für Windows umgeht(?) Patch

Vorschau anzeigen
Microsoft warnt vor einem 0-Day-Exploit (dem insgesamt 12. in diesem Jahr), der über präparierte PowerPoint-Dateien eine Schwachstelle in OLE ausnutzt, um Code auszuführen. Das klingt bekannt? Genau, so eine ähnliche Schwachs

Dipl.-Inform. Carsten Eilers am : Links, jede Menge Links. Und ganz wenig Kommentare.

Vorschau anzeigen
Da mir die Zeit heute etwas knapp geworden ist gibt es mal wieder nur jede Menge Links und ganz wenige Kommentare. Neues zu den aktuelle 0-Day-Exploits Los geht es mit den aktuellen 0-Day-Exploits für die OLE- Schwachstellen: F-Secure

Dipl.-Inform. Carsten Eilers am : Microsoft patcht 2. 0-Day-Schwachstelle in OLE

Vorschau anzeigen
Am November-Patchday hat Microsoft unter anderem die bereits für Angriffe ausgenutzte und am 21. Oktober bekannt gewordene 2. Schwachstelle in OLE behoben. Die OLE-Schwachstellen - Endlich dicht? Mit dem Security Bulletin MS14-064