Skip to content

November-Patchday: Wieder mal ein 0-Day-Exploit für Windows unterwegs

Am November-Patchday hat Microsoft wieder mehrere 0-Day-Schwachstellen behoben. Darunter auch eine, die bereits ausgenutzt wird, um Code einzuschleusen.

Damit steht es beim "Wettstreit" um die meisten 0-Day-Exploits zwischen Adobe und dem Rest der Welt wieder unentschieden: Dieses Jahr wurden 10 0-Day-Exploits entdeckt, 5 davon gehen auf das Konto des Flash Players. Adobe hat zwar auch ein Security Bulletin für den Flash Player veröffentlicht, aber keine 0-Days zu melden. Die aktuelle 0-Day-Schwachstelle wurde ja bereits Ende Oktober außer der Reihe behoben.

Remote Code Execution in der Font-Library

Die Schwachstelle mit der CVE-ID CVE-2016-7256 ("Open Type Font Remote Code Execution Vulnerability") in der Microsoft Graphics Component (Security Bulletin MS16-132) erlaubt das Einschleusen und Ausführen von Code über präparierte eingebettete Fonts.

Die Schwachstelle kann über präparierte Webseiten oder Dateien ausgenutzt werden und wird bereits für Angriffe ausgenutzt.

Microsoft bedankt sich für die Meldung der Schwachstelle bei Kijong Son vom KrCERT/CC der Korean Internet & Security Agency (KISA). Die Angriffe wurden also vermutlich zuerst in Südkorea beobachtet. Mehr als das ist bisher nicht bekannt.

Informationsleck in Edge und IE

Die Schwachstelle mit der CVE-ID CVE-2016-7199 ist ein Informationsleck in Edge (Security Bulletin MS16-129) und Internet Explorer (Security Bulletin MS16-142).

Eine präparierte Webseite kann die Schwachstelle ausnutzen, um den Status des Browser-Fensters einer anderen Domain zu ermitteln. Die Schwachstelle ist bereits öffentlich bekannt, wird aber bisher nicht für Angriffe ausgenutzt.

Spoofing-Schwachstelle in Edge

Die Schwachstelle mit der CVE-ID CVE-2016-7209 erlaubt Spoofing-Angriffe in Edge (Security Bulletin MS16-129).

Ein Angreifer kann den Benutzer nach dem Klick auf einen URL (z.B. in einer E-Mail oder auf einer Webseite) auf eine Seite leiten, die sich als eine andere Website ausgibt. Auch diese Schwachstelle ist bereits öffentlich bekannt, wird aber bisher nicht für Angriffe ausgenutzt.

Privilegieneskalation im Windows-Kernel

Die Schwachstelle mit der CVE-ID CVE-2016-7255 im Windows-Kernel (Security Bulletin MS16-135) erlaubt das Ausführen beliebigen Codes im Kernel-Mode, kann aber nur von bereits laufenden Code ausgenutzt werden. Ein Angreifer muss den Rechner also bereits kompromittiert haben, bevor er die Schwachstelle ausnutzen kann.

Die Schwachstelle wird bereits für Angriffe ausgenutzt und ist auch schon öffentlich bekannt, Es handelt sich dabei um die von Google veröffentlichte Schwachstelle, die im Rahmen der Ende Oktober bekanntgewordenen Angriffe mit einem 0-Day-Exploit für den Flash Player zum Ausbruch aus der Sandbox verwendet wurde.

Microsoft hatte am 1. November angekündigt, die Schwachstelle am regulären Patchday zu schließen. Früher hielt man es nicht für nötig, da die Schwachstelle ja nur vom Exploit für die zu dem Zeitpunkt bereits behobene Schwachstelle im Flash Player ausgenutzt wurde. Und auch nur von einer Gruppe, die sich unter anderem auf militärische und wirtschaftliche Einrichtungen konzentriert.

Da hat Microsoft aber Glück gehabt, dass die Angreifer sich nicht die Mühe gemacht haben, um die Schwachstelle auch in Verbindung mit einer anderen Schwachstelle auszunutzen. Oder auf die Idee gekommen sind, sie an andere Cyberkriminelle zu verkaufen, die sie dann ihrerseits mit ihren Exploits ausnutzen. Das wäre ja immerhin möglich, auch wenn Microsoft sich das wohl nicht vorstellen kann.

Wenn man bedenkt, dass 0-Day-Exploits teuer sind, wäre eine Weitergabe doch eigentlich nur logisch. Die Angreifer (von Microsoft als Strontium-Gruppe bezeichnet) wussten ja durch die Veröffentlichung des Patches für den Flash Player, dass ihre Exploits aufgeflogen sind. Auch die noch nicht behobene Privilegieneskalation würde dann sicher demnächst behoben, der Exploit dadurch bald wertlos sein. Wieso sollten sie den Exploit dann nicht schnell noch verkaufen, bevor das allgemein bekannt wird, und damit noch schnell zusätzlich etwas Geld verdienen?

Im Gegensatz zu Microsoft bin ich auch nicht der Meinung, dass die Veröffentlichung der Schwachstelle (genauer: Der EXISTENZ der Schwachstelle und der laufenden Angriffe, Details hat Google ja gar nicht veröffentlicht) die Benutzer gefährdet hat. Ganz im Gegenteil, die hatten dadurch die Möglichkeit, ungefährdete Browser (Edge und Chrome) und Systeme (Windows 10) zu nutzen.

Wie sieht eigentlich die Rechtslage in den USA aus, wenn jemand Opfer eines Angriffs wird, der Microsoft bereits bekannt ist, vor dem man aber nicht gewarnt hat? Ich könnte mir angesichts der lohnenden Schadenersatzzahlungen in den USA vorstellen, dass sich da schnell ein Anwalt findet, der Microsoft verklagt. Denn hätte Microsoft vor den laufenden Angriffen gewarnt, hätte sein Mandant sich ja schützen können. Womit Microsoft Schuld am Erfolg des Angriffs ist. Danach könnte dann bei Microsoft ein tiefer Griff in die Portokasse nötig werden.

Und noch kurz der Vollständigkeit halber: Microsoft bedankt sich für die Meldung der Schwachstelle bei Neel Mehta und Billy Leonard von Googles Threat Analysis Group (was ja schon bekannt war) und Eike Hacquebord, Peter Pi und Brooks Li von Trend Micros Zero Day Initiative (ZDI).

Na, dann patchen wir mal wieder...

... bevor irgend wer auf die Idee kommt, die gerade behobenen Schwachstellen auszunutzen. Obwohl: Der Exploit-Wednesday oder -Thursday ist ja schon vor einigen Jahren aus der Mode gekommen. Also kann man eigentlich auch erst mal abwarten, ob es Probleme mit den Updates gibt. Das wäre ja nicht das erste Mal, und wenn man die nicht mehr einzeln auswählen kann muss man ja doppelt vorsichtig sein. Nicht, dass der Rechner danach absolut sicher ist. Weil er nicht mehr startet oder ins Internet kommt oder so was.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Die 0-Day-Exploits 2016 im Überblick

Vorschau anzeigen
Hier finden Sie eine Übersicht über die 2016 eingesetzten 0-Day-Exploits, die die Ausführung eingeschleusten Codes erlauben. Es gibt auch Übersichtsseiten für 2013, 2014 und 2015. Nummer

Dipl.-Inform. Carsten Eilers am : 0-Day-Exploit für Flash Player unterwegs - Adobe patcht außer der Reihe

Vorschau anzeigen
Adobe hat am 26. Oktober außer der Reihe ein Security Bulletin zu einer kritischen 0-Day-Schwachstelle im Flash Player veröffentlicht. Updates stehen für Windows, Mac OS X, Linux und Chrome OS bereit. Auch für den in Micr