Dipl.-Inform. Carsten Eilers

Eine nicht näher beschriebene Memory Corruption beim Öffnen präparierter Dateien (welche, hat Microsoft ebenfalls nicht verraten) durch Microsoft Office erlaubt die Ausführung beliebigen Codes. Die Schwachstelle hat die CVE-ID CVE-2015-1642 und wird im Security Bulletin MS15-081 behandelt.

Weitere Informationen gibt es zur Zeit nicht. Auch nicht über die Art der Angriffe, Microsoft verrät lediglich, dass welche beobachtet wurden. Ob es sich um gezielte Angriffe oder zum Beispiel ein Exploit-Kit handelt, wurde nicht verraten. Auffallend ist, dass Microsoft sich bei gleich 3 Stellen für die Meldung der Schwachstelle bedankt:

• "This vulnerability was discovered by Fortinet's FortiGuard Labs"
• "Yong Chuan Koh (@yongchuank) of MWR Labs (@mwrlabs)"
• "s3tm3m@gmail.com, working with VeriSign iDefense Labs"

Zumindest bisher gibt es von den Entdeckern aber auch keine Informationen übe Schwachstelle und/oder Angriffe.

Privilegieneskalation über USB-Devices

Die zweite 0-Day-Schwachstelle ist eine Privilegieneskalation im Mount Manager, der symbolische Links nicht korrekt verarbeitet. Die Schwachstelle mit der CVE-ID CVE-2015-1769 wird im Security Bulletin MS15-085 behandelt.

Über diese Schwachstelle ist ein bisschen mehr bekannt als über die in Office. Microsoft schreibt dazu im Security Bulletin:

"An elevation of privilege vulnerability exists when the Mount Manager component improperly processes symbolic links. An attacker who successfully exploited this vulnerability could write a malicious binary to disk and execute it.

To exploit the vulnerability, an attacker would have insert a malicious USB device into a target system. The security update addresses this vulnerability by removing the vulnerable code from the component.

Microsoft received information about this vulnerability through coordinated vulnerability disclosure. When this security bulletin was issued, Microsoft has reason to believe that this vulnerability has been used in targeted attacks against customers."

Geht da noch mehr als Privilegieneskalation?

Also ich würde das aufgrund der bisher vorliegenden (mageren) Informationen nicht unbedingt nur als Privilegieneskalation einstufen. Denn von einer Benutzeraktion außer dem Einstecken des USB-Devices steht da nichts. Ein Angreifer mit Zugriff auf ein Gerät kann dann wohl auch Code einschleusen, ohne angemeldet zu sein. Zum Beispiel bei einen Evil-Maid-Angriff oder einfach mal so im Vorbeigehen im Büro. Oder auch über einen Social-Engineering-Angriff, zum Beispiel durch einen als Werbung zugeschickten oder zufällig "verlorenen" USB-Stick.

Ich wüsste wirklich zu gerne, wo und wie die gezielten Angriffe statt fanden.

Update 12.8.;
Inzwischen wurde bestätigt, dass sich über die Schwachstelle ohne Zutun des Benutzers Code einschleusen lässt. Es reicht tatsächlich, dass ein präparierter USB-Stick angeschlossen wird. Vergleiche mit Stuxnet sind durchaus angebracht, auch der verbreitete sich über infizierte USB-Geräte über eine 0-Day-Schwachstelle.

In Microsofts Security Research & Defense Blog wird beschrieben, wie sich nach der Installation des Updates versuchte (und vergebliche, da die Schwachstelle ja behoben wurde) Angriffe erkennen lassen: Es gibt dann einen neuen Eventlog-Eintrag, mit dem die Angriffsversuche protokolliert werden. Das fällt aber eher in die Kategorie "Gut zu wissen", so lange dabei nicht gleichzeitig ein Roboterarm ausfährt, um den Angreifer fest zu halten. Viel wichtiger wäre es zu wissen, wie man erfolgreiche Angriffe vor der Installation des Updates erkennt.
Ende des Updates

Carsten Eilers