Skip to content

Microsoft patcht außer der Reihe kritische 0-Day-Schwachstelle in Kerberos

Microsoft hat am 18. November außer der Reihe ein Security Bulletin veröffentlicht. Darin wird eine bereits im Rahmen von Angriffen ausgenutzte Schwachstelle in Kerberos beschrieben. Und dann gibt es noch eine 0-Day-Schwachstelle in der japanischen Textverarbeitung Ichitaro.

Die 0-Day-Schwachstelle in Kerberos

Das Security Bulletin MS14-068 war ursprünglich schon für die Veröffentlichung am November-Patchday vorgesehen, wurde dann aber ohne Angabe von Gründen verschoben. Vermutlich waren vor der Veröffentlich noch Tests des Patches nötig. Es ist übrigens noch ein weiteres ursprünglich zur Veröffentlichung vorgesehenes Bulletin offen: MS14-075. Aber das sei nur am Rande bemerkt.

MS14-068 wird für Server als kritisch eingestuft und schließt eine Privilegieneskalations-Schwachstelle in Kerberos mit der CVE-ID CVE-2014-6324. Unprivilegierte Domain-Benutzer können darüber die Rechte des Domain-Administrators erlangen.

Die Schwachstelle wurde Microsoft vertraulich gemeldet, es gibt aber "limited, targeted attacks" (die ausdrücklich keine Systeme mit Windows Server 2012 oder Server 2012 R2 betreffen). Gemeldet wurde die Schwachstelle vom Qualcomm Information Security & Risk Management Team, mit "special recognition for Tom Maddock".

Weiterführende Informationen gibt es in Microsofts Security Research & Defense Blog. Der Exploit richtet sich gegen Windows Server 2008 R2 und darunter. Das ist aber auch schon alles, was man über den Angriff erfährt, der Rest des Blogbeitrags dreht sich um die Schwachstelle und ihre Ausnutzung allgemein.

Eine Privilegieneskalation ist kritisch?

Das ist alles etwas merkwürdig - normalerweise wäre eine Privilegieneskalation nicht kritisch. Selbst eine Remote Code Execution über Office-Dateien stuft Microsoft im Allgemeinen nur als wichtig ein, da der Benutzer die Datei öffnen muss, bevor der Code ausgeführt wird. Dabei ist es ja nun wirklich kein Problem, einen Benutzer mittels Social Engineering zum Öffnen einer zum Beispiel per E-Mail zu geschickten oder auf einer Website bereit gestellten Datei zu bewegen. Und eine Privilegieneskalation, für die der Angreifer bereits die Rechte eines normalen Domain-Benutzers besitzen muss, ist kritisch?

OK, Code auf einem Windows-System einzuschleusen ist für einen Angreifer, der einen 0-Day-Exploit für die Privilegieneskalation verwendet, wohl auch keine größeres Problem. Da muss dann eben noch ein 0-Day-Exploit zur RCE her, und schon läuft der Angriff wie geschmiert. Aber darum geht es hier ja nicht.

Die hohe Einstufung lässt sich zumindest mit den bisher bekannten Fakten nur durch die möglichen Folgen erklären: Wenn der Angreifer sich die Rechte eines Domain-Administrators verschafft, kann er das lokale Netz damit im schlimmsten Fall so gründlich kompromittieren, dass es im Grunde neu eingerichtet werden muss, um wirklich sicher zu gehen, alles Spuren des Angriffs beseitigt zu haben. Denn der Domain-Admin kann die Identität jedes Domain-Benutzers annehmen, nach Belieben neue Benutzer anlegen, sich zu jeder Gruppe hinzufügen, Programme installieren und Daten lesen/ändern/löschen.

Ich bin mir nicht sicher, ob ich diese Schwachstelle in meine Übersicht über 0-Day-Exploits in 2014 aufnehmen soll oder nicht. Eigentlich nehme ich da nur Schwachstellen aus der Kategorie "Remote Code Execution" auf. Auch, wenn Microsoft sie nur als wichtig und nicht als kritisch einstuft. Ich werde diesen Exploit erst mal in die Tabelle aufnehmen, aber zumindest vorerst nicht mitzählen.

0-Day-Exploit und Patch für Ichitaro

Symantec hat vor einem 0-Day-Angriff auf eine Schwachstelle in der japanischen Textverarbeitung Ichitaro gewarnt. Die ausgenutzte Schwachstelle, CVE-2014-7247, wurde von den Entwicklern bereits geschlossen.

Der Exploit wird im Rahmen gezielter Angriffe per E-Mail an nicht näher genannte japanische Organisationen geschickt. Ich erwähne den Angriff hier nur der Vollständigkeit halber, damit ich ihn in die Übersicht über die 0-Day-Exploits in 2014 aufnehmen kann.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Drucksache: Entwickler Magazin 2.2015 - Stand das Internet 2014 in Flammen?

Vorschau anzeigen
Im Entwickler Magazin 2.15 ist ein Artikel über die "prominenten" Schwachstellen und Angriffe des Jahres 2014 erschienen. Also die, die mit Namen versehen wurden, was ja zuvor ziemlich selten passierte, 2014 aber fast üblich wurde. Au&

Dipl.-Inform. Carsten Eilers am : Neues eBook: "Websecurity - Jahresrückblick 2014"

Vorschau anzeigen
"Websecurity - Jahresrückblick 2014" ist als eBook bei entwickler.press erschienen. Im ersten Kapitel dreht sich alles um die Angriffe auf und Schwachstellne in SSL und TLS, im zweiten Kapitel geht es um die weiteren prominenten Angri

Dipl.-Inform. Carsten Eilers am : Drucksache: Windows Developer 11.16 - Angriffsziel Active Directory

Vorschau anzeigen
Im windows.developer 11.16 ist ein Artikel über Angriffe auf Active Directory erschienen. Active Directory, das ist ja nur ein Verzeichnisdienst. Also so was wie ein Telefonbuch für Windows-Rechner. Das kann ja eigentlich weder beso