Dipl.-Inform. Carsten Eilers

Eine als kritisch eingestufte Schwachstelle in Microsoft Office mit der CVE-ID CVE-2015-2545 wird im Security Bulletin MS15-099 beschrieben. Die Schwachstelle erlaubt die Ausführung beliebigen Codes, wenn eine präparierte EPS-Datei verarbeitet wird. Die kann zum Beispiel als Grafik in einer Office-Datei enthalten sein.

Die Schwachstelle kann nicht automatisch über eine Webseite ausgenutzt werden, der Angreifer muss den Benutzer per Social Engineering zum Öffnen der präparierten Office-Datei bewegen. Die außer über Websites zum Beispiel auch per E-Mail verbreitet werden kann.

Als Workaround kann der Zugriff auf die Datei EPSIMP32.FLT für alle Benutzer über die Zugriffskontrolllisten verboten werden, was auch über ein FixIt-Tool durchgeführt werden kann. Da es aber bereits einen Patch gibt ist der Workaround wohl kaum noch nötig.

Die Schwachstelle wird bereits im Rahmen vereinzelter, gezielter Angriffe ausgenutzt. Weitere Informationen über die Schwachstelle liegen bisher nicht vor. Microsoft bedankt sich bei Genwei Jiang von FireEye, Inc., für die Meldung der Schwachstelle. Im Blog von FireEye gibt es bisher keine Informationen darüber.

Privilegien-Eskalations-Schwachstelle in Microsoft Graphics

Eine Schwachstelle in Microsoft Graphics erlaubt die Ausführung eingeschleusten Codes im Kernel-Mode und kann nur über eine präparierte Anwendung ausgenutzt werden.

Die Schwachstelle hat die CVE-ID CVE-2015-2546 und wird im Security Bulletin MS15-097 beschrieben. Microsoft stuft die Schwachstelle als Privilegieneskalation ein und kennt weder Mitigations noch Workarounds.

Die Schwachstelle ist bereits öffentlich bekannt und wird auch bereits für Angriffe ausgenutzt. Weitere Informationen dazu oder über die Schwachstelle allgemein liegen bisher nicht vor. Microsoft bedankt sich bei Wang Yu von FireEye, Inc., für die Meldung der Schwachstelle. Im Blog von FireEye gibt es auch zu dieser Schwachstelle bisher keine Informationen.

Weitere 0-Day-Schwachstellen, alle ohne Exploits

Das Bulletin MS15-097 enthält noch eine weitere 0-Day-Schwachstelle in Microsoft Graphics, die bisher aber nicht für Angriffe genutzt wird. Die als "Important" eingestufte Schwachstelle mit der CVE-ID CVE-2015-2529 erlaubt das Unterlaufen von ASLR. Microsoft bedankt sich bei Matt Tait von Googles Project Zero für die Meldung der Schwachstelle, weitere Informationen gibt es nicht.

Auch der Internet Explorer enthält eine 0-Day-Schwachstelle, die bisher aber nicht für Angriffe ausgenutzt wird: CVE-ID CVE-2015-2542 ist eine nicht näher beschriebene Memory Corruption, die die Ausführung eingeschleusten Codes erlaubt. Über die im Security Bulletin MS15-094 beschriebene und als "Important" eingestufte Schwachstelle gibt es bisher keine weiteren Informationen. Ach so: "Internet Explorer" und "Remote Code Execution" - sollte das nicht für eine Einstufung als kritisch reichen? Jedenfalls, wenn eine nur über präparierte Office-Dateien ausnutzbare Schwachstelle in Office inzwischen als kritisch gilt.

Eine weitere Remote Code Execution Schwachstelle gibt es im Windows Media Center. Der Angriff erfolgt über präparierte Link-Dateien (.mcl), die auf bösartigen Code verweisen. Dabei muss die .mcl-Datei auf dem lokalen System installiert sein. Die als "Important" eingestufte 0-Day-Schwachstelle hat die CVE-ID CVE-2015-2509 und wird im Security Bulletin MS15-100 behandelt. Microsoft bedankt sich bei Aaron Luo, Kenney Lu und Ziv Chang von TrendMicro für die Meldung der Schwachstelle, weitere Informationen gibt es nicht.

Die letzte 0-Day-Schwachstelle dieses Patchdays befindet sich in .NET und erlaubt die Ausführung von Code mit höheren Benutzerrechten. Da die Schwachstelle auch über präparierte Webseiten mit präparierter XBAP (XAML Browser Application) ausgenutzt werden kann, sieht mir das aber sehr nach einer Remote Code Execution aus. Die von Microsoft als "Important" eingestufte Schwachstelle mit der CVE-ID CVE-2015-2504 wird im Security Bulletin MS15-101 behandelt. Microsoft bedankt sich bei Yorick Koster von Securify B.V. für die Meldung der Schwachstelle, weitere Informationen gibt es nicht.

Na dann: Auf zum Patchen. Bevor die Cyberkriminellen anfangen, die Schwachstellen im großen Umfang zum Beispiel über Drive-by-Infektionen auszunutzen.