Dipl.-Inform. Carsten Eilers

Beide bereits über 0-Day-Exploits ausgenutzte Schwachstellen befinden sich im Kernel-Mode-Treiber der "Microsoft Graphics Component" und erlauben eine Privilegieneskalation. Ihre CVE-IDs sind CVE-2016-0165 und CVE-2016-0167, das zugehörige Security Bulletin ist MS16-039. Beide Patches werden von Microsoft als "Important" eingestuft.

CVE-2016-0165 wurde von Anton Ivanov von Kaspersky Lab gemeldet, CVE-2016-0167 von Dhanesh Kizhakkinan von FireEye. Weitere Informationen gibt es bisher nicht.

Update 10. Mai 2016
FireEye hat Details zum Angriff mit CVE-2016-0167 veröffentlicht. Die Angreifer nutzten die Schwachstelle, um sich auf bereits kompromittierten Systemen SYSTEM-Rechte zu verschaffen, mit denen sie dann Kreditkartendaten ausspähen konnten.
Ende des Updates

Microsoft liefert die Flash-Player-Updates nach

Das als kritisch eingestufte Security Bulletin MS16-050 liefert die aktuellen Adobe-Patches für die in Internet Explorer 10 und 11 sowie Microsoft Edge enthaltene Version des Flash Players. Und die sind wirklich kritisch, denn die aktuelle 0-Day-Schwachstelle wird von Exploit-Kits und damit für Drive-by-Infektionen ausgenutzt. Details dazu habe ich im Artikel über die Flash-Schwachstelle ergänzt.

Die 0-Day-Schwachstellen ohne Exploit

Remote Code Execution im Internet Explorer

Die Schwachstelle mit der CVE-ID CVE-2016-0160 gehört zu einer Klasse von Schwachstellen, die man in aktuellen Microsoft-Produkten eigentlich nicht mehr erwarten sollte: Unsichere Suchpfade beim Laden einer DLL. In diesem Fall durch den IE 11. Und zwar nur in dem, was bedeutet, dass da jemand vor kurzem einen ziemlichen Uralt-Fehler gemacht hat. Und das hat keiner gemerkt. Peinlich, oder?

Das zugehörige Security Bulletin ist MS16-03, und der Patch wird als "Important" eingestuft, obwohl die Schwachstelle das Ausführen von Code aus der Ferne erlaubt. Allerdings muss der Angreifer seinem Opfer dazu erstmal eine präparierte DLL unterschieben und es dann dazu bewegen, im Verzeichnis mit der DLL den IE zu starten. Was sich vermutlich mit etwas Social Engineering in Verbindung mit einer Link-Datei durchaus erreichen lässt.

Gemeldet wurde die Schwachstelle von Sandro Poppi, weitere Informationen gibt es nicht.

Remote Code Execution im .NET Framework

Die Schwachstelle mit der CVE-ID CVE-2016-0148 fällt in die gleiche Kategorie, auch wenn sie im zugehörigen, als "Important" eingestuften Security Bulletin MS16-041 etwas anders beschrieben wird. Dort steht nämlich, dass der Angreifer Zugriff auf das angegriffene System haben muss, um dort eine bösartige Anwendung zu starten.

Ähhhh, wie bitte? Wer bereits Zugriff auf ein hat und dort Programme starten kann, kann sowieso machen was er will. Dann braucht er keine "Remote Code Execution" mehr. Da scheint bei der Beschreibung was schief gegangen zu sein. Schon um einen Benutzer eine bösartige Anwendung unterzuschieben braucht man keine Schwachstelle. Wie bitte passen "Unzureichende Prüfung beim Laden einer Bibliothek", "Remote Code Execution" und "Starten einer bösartigen App nach Zugriff auf das System" zusammen? Wenn ich das dritte schon kann, brauche ich das erste nicht mehr, und das zweite habe ich bereits erreicht.

Also ich vermute mal, dass das hier der übliche "Wir laden eine DLL aus dem aktuellen Verzeichnis"-Fehler ist, der Angriff erfolgt dann über eine eingeschleuste DLL und dem Start eines betroffenen Programms aus dem Verzeichnis mit der DLL. Was sich wie im Fall des IE mit etwas Social Engineering erreichen lassen dürfte. Ohne dass der Angreifer bereits Zugriff auf das System haben muss.

Gemeldet wurde die Schwachstelle von Yorick Koster of Securify B.V., und dort im Blog gibt es einen interessanten Artikel von ihm aus dem February 2016: ".NET Framework 4.6 allows side loading of Windows API Set DLL". Ob es da wohl einen Zusammenhang zur aktuellen Schwachstelle gibt? In der Tat ist dass der Fall. Denn darin beschreibt er eben diese Schwachstelle, und als Angriffsmöglichkeit wird das Laden einer Office-Datei von einem Netzwerklaufwerk unter der Kontrolle des Angreifers genannt. Bei aktiviertem WebDAV Mini-Redirector ist der Angriff auch aus dem Internet möglich. Soviel zum "der Angreifer muss Zugriff auf das System haben".

Privilegieneskalation im Windows Secondary Logon Service

Die Schwachstelle CVE-2016-0135 im Windows Secondary Logon Service erlaubt das Ausführen von Code mit Administrator-Rechten. Dazu muss der Angreifer aber bereits in der Lage sein, seinen Code auf dem angegriffenen System auszuführen.

Entdeckt wurde die im Security Bulletin MS16-046 beschriebene Schwachstelle von Brian Martin von Tenable Network Security, weitere Informationen gibt es nicht. Ach so: Microsoft stuft den Patch als "Important" ein.

BadLock - Keine kritische Schwachstelle, sondern nur Marketinggetöse

Am April-Patchday wurde auch die als "BadLock" bekannt gewordene Schwachstelle in Samba und Windows behoben. Die wurde schon vor einiger Zeit mit einer eigenen Website angekündigt, aber das war nur Marketinggetöse ohne technischen Hintergrund. Der wäre bei all dem Getöse auch etwas peinlich gewesen, denn es sind "nur" MitM- und DoS-Angriffe möglich. Und dafür einen Namen und eine Website? Was kommt als nächstes - Pressekonferenzen und Sondersendungen im TV für XSS-Schwachstellen in WordPress?

Erst so tun, als hätte man eine Remote Code Execution oder sonst was schlimmes in Samba entdeckt und dann sowas liefern - damit tut man der Sicherheit insgesamt keinen Gefallen. Erst die Pferde scheu machen als stünde der Stall im Flammen, und dann klappert nur die Hintertür - das geht nach hinten los. Was ist, wenn die Öffentlichkeit nach so viel Wind um fast nichts die nächste, wirklich kritische Schwachstelle mit Namen und Website nicht mehr ernst nimmt? Ist ja eh alle nur Marketinggetöse?

Also: Die Schwachstelle CVE-2016-0128 in den "SAM and LSAD Remote Protocols", beschrieben im als "Important" eingestuften Security Bulletin MS16-047, ist keine 0-Day-Schwachstelle (außer dem Namen war vorher ja fast nichts bekannt) und daher hier nicht wirklich von Interesse. Daher nur der Vollständigkeit halber:
Die Schwachstelle erlaubt es einen MitM, sich als Benutzer auszugeben. Das ist natürlich unschön, aber man möchte was sagen "Schön, wenn der MitM nicht noch mehr macht", denn der kann ja den gesamten Netzwerkverkehr nach Belieben manipulieren. Und SMB-Traffic unverschlüsselt über Netze zu leiten, in denen mit MitM-Angriffen gerechnet werden muss (insbesondere also dem Internet) ist sowieso eine schlechte Idee. Auch ohne Schwachstelle.

Für Samba sind die BadLock-Schwachstellen etwas schlimmer, aber immer noch kein Grund, in Panik auszubrechen. Oder sie gar auszulösen. Mir kam das ja von Anfang an etwas komisch vor, weshalb ich auch hier im Blog gar nicht erst darauf eingegangen bin. Eigentlich schade, denn sonst hätte ich jetzt schreiben können "DA, habe ich es nicht von Anfang an vermutet?".

Da fehlt doch ein Bulletin?

Ein Blick in die Übersicht der April-Bulletins zeigt, dass ein Bulletin fehlt: Es wurden die Bulletins MS16-037 bis MS16-042 und MS16-044 bis MS16-050 veröffentlicht, MS16-043 fehlt also. Vermutlich gab es da mal wieder Probleme mit der Qualität eines Patches, so dass das Bulletin nicht veröffentlicht werden konnte. Hoffen wir mal, dass darin keine kritische, bereits über 0-Day-Exploits ausgenutzte Schwachstelle enthalten ist, sonst gibt es womöglich bald einen außerplanmäßigen Patch.

Carsten Eilers