Microsoft patcht außer der Reihe kritische 0-Day-Schwachstelle in Kerberos
Microsoft hat am 18. November außer der Reihe ein Security Bulletin veröffentlicht. Darin wird eine bereits im Rahmen von Angriffen ausgenutzte Schwachstelle in Kerberos beschrieben. Und dann gibt es noch eine 0-Day-Schwachstelle in der japanischen Textverarbeitung Ichitaro.
Die 0-Day-Schwachstelle in Kerberos
Das Security Bulletin MS14-068 war ursprünglich schon für die Veröffentlichung am November-Patchday vorgesehen, wurde dann aber ohne Angabe von Gründen verschoben. Vermutlich waren vor der Veröffentlich noch Tests des Patches nötig. Es ist übrigens noch ein weiteres ursprünglich zur Veröffentlichung vorgesehenes Bulletin offen: MS14-075. Aber das sei nur am Rande bemerkt.
MS14-068 wird für Server als kritisch eingestuft und schließt eine Privilegieneskalations-Schwachstelle in Kerberos mit der CVE-ID CVE-2014-6324. Unprivilegierte Domain-Benutzer können darüber die Rechte des Domain-Administrators erlangen.
Die Schwachstelle wurde Microsoft vertraulich gemeldet, es gibt aber "limited, targeted attacks" (die ausdrücklich keine Systeme mit Windows Server 2012 oder Server 2012 R2 betreffen). Gemeldet wurde die Schwachstelle vom Qualcomm Information Security & Risk Management Team, mit "special recognition for Tom Maddock".
Weiterführende Informationen gibt es in Microsofts Security Research & Defense Blog. Der Exploit richtet sich gegen Windows Server 2008 R2 und darunter. Das ist aber auch schon alles, was man über den Angriff erfährt, der Rest des Blogbeitrags dreht sich um die Schwachstelle und ihre Ausnutzung allgemein.
Eine Privilegieneskalation ist kritisch?
Das ist alles etwas merkwürdig - normalerweise wäre eine Privilegieneskalation nicht kritisch. Selbst eine Remote Code Execution über Office-Dateien stuft Microsoft im Allgemeinen nur als wichtig ein, da der Benutzer die Datei öffnen muss, bevor der Code ausgeführt wird. Dabei ist es ja nun wirklich kein Problem, einen Benutzer mittels Social Engineering zum Öffnen einer zum Beispiel per E-Mail zu geschickten oder auf einer Website bereit gestellten Datei zu bewegen. Und eine Privilegieneskalation, für die der Angreifer bereits die Rechte eines normalen Domain-Benutzers besitzen muss, ist kritisch?
OK, Code auf einem Windows-System einzuschleusen ist für einen Angreifer, der einen 0-Day-Exploit für die Privilegieneskalation verwendet, wohl auch keine größeres Problem. Da muss dann eben noch ein 0-Day-Exploit zur RCE her, und schon läuft der Angriff wie geschmiert. Aber darum geht es hier ja nicht.
Die hohe Einstufung lässt sich zumindest mit den bisher bekannten Fakten nur durch die möglichen Folgen erklären: Wenn der Angreifer sich die Rechte eines Domain-Administrators verschafft, kann er das lokale Netz damit im schlimmsten Fall so gründlich kompromittieren, dass es im Grunde neu eingerichtet werden muss, um wirklich sicher zu gehen, alles Spuren des Angriffs beseitigt zu haben. Denn der Domain-Admin kann die Identität jedes Domain-Benutzers annehmen, nach Belieben neue Benutzer anlegen, sich zu jeder Gruppe hinzufügen, Programme installieren und Daten lesen/ändern/löschen.
Ich bin mir nicht sicher, ob ich diese Schwachstelle in meine Übersicht über 0-Day-Exploits in 2014 aufnehmen soll oder nicht. Eigentlich nehme ich da nur Schwachstellen aus der Kategorie "Remote Code Execution" auf. Auch, wenn Microsoft sie nur als wichtig und nicht als kritisch einstuft. Ich werde diesen Exploit erst mal in die Tabelle aufnehmen, aber zumindest vorerst nicht mitzählen.
0-Day-Exploit und Patch für Ichitaro
Symantec hat vor einem 0-Day-Angriff auf eine Schwachstelle in der japanischen Textverarbeitung Ichitaro gewarnt. Die ausgenutzte Schwachstelle, CVE-2014-7247, wurde von den Entwicklern bereits geschlossen.
Der Exploit wird im Rahmen gezielter Angriffe per E-Mail an nicht näher genannte japanische Organisationen geschickt. Ich erwähne den Angriff hier nur der Vollständigkeit halber, damit ich ihn in die Übersicht über die 0-Day-Exploits in 2014 aufnehmen kann.
Trackbacks
Dipl.-Inform. Carsten Eilers am : Drucksache: Entwickler Magazin 2.2015 - Stand das Internet 2014 in Flammen?
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Neues eBook: "Websecurity - Jahresrückblick 2014"
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Drucksache: Windows Developer 11.16 - Angriffsziel Active Directory
Vorschau anzeigen