- Anzeigen -


Sie sind hier: Home » Virenwarnung » Sicherheitslecks

Patchday April 2015: Patches für Windows & Office





Microsoft: Nummer eins ist MS15-033, das Office-Bulletin - Es behebt fünf Schwachstellen, die Remote Code-Ausführung (RCE) ermöglichen, darunter eine Zero-Day-Lücke
Auf Platz drei rangiert APS15-06 für Adobe Flash - Adobe räumt ein, dass eine der betreffenden Sicherheitslücken (CVE-2015-3043) bereits aktiv missbraucht wird

Von Wolfgang Kandek, CTO von Qualys

Mit dem April-Patchday setzt sich der diesjährige Trend zu umfangreichen Update-Paketen fort. Microsoft lieferte im April satte elf Updates aus, die 26 Sicherheitslücken stopfen. Diese Lücken finden sich in Windows und Office und betreffen sowohl Server als auch Workstations. Zudem veröffentlicht Oracle sein vierteljährliches Critical Patch Update, das diesmal 100 Anfälligkeiten in mehr als 25 Software-Kategorien behebt, darunter Java, Oracle RDBMS und MySQL.

Rechnet man noch die Fixes für Adobe, Mozilla und Google Chrome hinzu, die im Anschluss an den PWN2OWN-Wettbewerb in Vancouver entwickelt wurden, so wird jeder abwehrbewusste IT-Sicherheitsexperte diesen Monat ein doppeltes Arbeitspensum auf sich zukommen sehen.

Für Microsoft gibt es elf Bulletins, MS15-032 bis MS15-042, vier davon kritisch. Doch die Prioritäten sind diesen Monat klar gesteckt:

Nummer eins ist MS15-033, das Office-Bulletin. Es behebt fünf Schwachstellen, die Remote Code-Ausführung (RCE) ermöglichen, darunter eine Zero-Day-Lücke. Diese Zero-Day-Lücke, CVE-2015-1641, wird in Word 2010 bereits in begrenztem Ausmaß aktiv angegriffen. Gleichermaßen betrifft die Schwachstelle auch Word 2007 und 2012 und sogar Word 2011 auf dem Mac. Dass Microsoft diesen Patch nur als "wichtig" einstuft, liegt einzig daran, dass der Benutzer eine manipulierte Datei öffnen muss, damit die Lücke ausgenutzt werden kann. Das ist jedoch in den meisten Unternehmen eine sehr niedrige Sicherheitsbarriere, da das Öffnen von Word DOCX-Dateien nun einmal zu den Aufgaben von Mitarbeitern gehört und diese dem Format vertrauen. Ein Angreifer wird eine E-Mail schicken, die die manipulierte Datei als Anhang oder einen Link dazu enthält. Wenn diese Mail geschickt formuliert ist, sind Anklick-/Öffnungsraten von mehr als zehn Prozent garantiert.

Neben der Zero-Day-Lücke schließt dieses Update auch die beiden kritischen Sicherheitslücken CVE-2015-1649 und 1651. Beide sind RCE-Schwachstellen, die in Office 2007 und 2010 schon durch bloßes Ansehen einer E-Mail im Outlook-Vorschaufenster ausgenutzt werden können. Das Outlook-Vorschaufenster rendert RTF-Dateien automatisch und wurde bereits vor einem Jahr, im März 2014, mit einem Zero-Day-Exploit angegriffen. Damals wies Microsoft darauf hin, dass das Toolkit EMET vor den Angriffen schützt; diesmal gibt es keine Informationen zur Wirksamkeit von EMET.

Patch Nummer zwei ist MS15-034 für eine RCE-Schwachstelle in Servern. Das Update schließt die Lücke CVE-2015-1635 im HTTP-Stack bei Windows Server 2008 und 2012 und betrifft auch Windows 7 und 8. Ein Angreifer kann diese Sicherheitslücke nutzen, um unter dem IIS-Benutzerkonto Code auf Ihrem IIS-Webserver auszuführen. Danach würde er einen Exploit für eine zweite lokale Schwachstelle (EoP) verwenden, um seine Rechte zu erweitern, Administrator zu werden und dauerhaften Exploit-Code zu installieren. Da sich dieser Angriff einfach durchführen lässt, muss schnell gehandelt werden. Kann der Patch nicht sofort verteilt werden, ist es ratsam, sich die vorgeschlagene Problemumgehung mittels der IIS-Zwischenspeicherung anzusehen. Dies ist die wichtigste Schwachstelle für das Server-Team, wenn Windows-basierte Webserver im Internet betrieben werden.

Auf Platz drei rangiert APS15-06 für Adobe Flash. Adobe räumt ein, dass eine der betreffenden Sicherheitslücken (CVE-2015-3043) bereits aktiv missbraucht wird. Dieser Anfälligkeit sollte hohe Priorität gegeben werden, sofern nicht mit Google Chrome oder neueren Versionen von Internet Explorer gearbeitet wird, die Flash automatisch aktualisieren.

Auf Platz vier ist MS15-032, das kumulative Update für Internet Explorer. Diesen Monat behebt es zehn Schwachstellen, von denen neun als "kritisch" gelten. Sämtliche Versionen des Internet Explorers sind betroffen, von IE6 unter Windows 2003 bis zu IE11 in der neuesten Windows-Version 8.1. Der Angreifer muss den Benutzer dazu bringen, eine bösartige Webseite zu öffnen. Das geschieht üblicherweise, indem der Angreifer Links via E-Mail verschickt oder eine Website unter seine Kontrolle bringt, die der Benutzer häufig ansurft. Die letztere Methode hat angesichts von Schwachstellen in einigen populären CMS-Systemen, die die Kontrolle von Hunderttausenden von Webservern ermöglichen, Aufwind bekommen, zum Beispiel bei der Angriffswelle SoakSoak (https://blog.sucuri.net/2014/12/revslider-vulnerability-leads-to-massive-wordpress-soaksoak-compromise.html).

Das letzte kritische Update ist MS15-035 für eine Sicherheitslücke im Grafikformat EMF. Auch hier braucht der Angreifer wieder User-Hilfe, um den Exploit ausführen zu können; in diesem Fall muss der Benutzer eine Bilddatei anzeigen lassen. Das kann auf vielfältige Weise geschehen: Mögliche Angriffsvektoren sind etwa der Besuch einer Website, das Öffnen einer E-Mail oder das Ansehen eines Fileshares. Allerdings beschränkt sich die Ausnutzung damit vorwiegend auf Deskop-/Laptop-Rechner. Zudem ist die Schwachstelle auf die älteren Windows-Versionen beschränkt, wie Windows 7, Vista, Server 2003 und 2008. Die neuesten Windows-Desktop-Versionen 8 und 8.1 sind nicht betroffen; Ähnliches gilt für Windows Server 2008 R2 und 2012.

Die restlichen Bulletins beheben weniger gravierende Sicherheitsprobleme in Windows, Sharepoint, .NET und Hyper-V. Diese Updates sollten im Lauf ihres gewöhnlichen Patch-Zyklus eingespielt werden.

Oracle hat für sein Critical Patch Update im April 2014 bereits im Vorfeld zahlreiche Patches angekündigt. Oracle-Kunden sind sollten sich auf Updates vorbereiten, die 100 Anfälligkeiten beseitigen. Ein kritisches Update für Java auf Desktop-Computern sollte sich sofort angesehen werden. Ein Update für Outside-In ist ebenfalls dabei, was typischerweise zur Folge hat, dass einen Monat später auch Microsofts OWA aktualisiert wird. Das Server-Team sollte also schon einmal auf ein Update für den Exchange-Server vorbereitet werden.

Im vergangenen Monat fand im Rahmen der CanSecWest der Pwn2Own-Wettbewerb statt, bei dem Sicherheitsforscher ihre Exploits gegen gängige Browser- und Betriebssystem-Kombinationen einsetzen. Diesmal wurden sämtliche Kombinationen (Chrome, Firefox, IE unter Windows und Safari unter OS X) mit Erfolg angegriffen, und die Pwn2Own-Sponsoren zahlten Preisgelder in Höhe von mehr als 500.000 US-Dollar an die Gewinner aus; der erfolgreichste Teilnehmer heimste mehr als 120.000 Dollar ein. Die gefundenen Sicherheitslücken werden jetzt von den jeweiligen Produktanbietern behoben. Mozilla hat mittlerweile die Version 36.0.4 von Firefox herausgebracht, die beide CVEs schließt, und Google hat eine neue Chrome-Version veröffentlicht. (Qualys: ra)

Qualys: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Sicherheitslecks

  • 1.8 Milliarden WhatsApp-Nutzer betroffen

    Das Research-Team von Check Point Software Technologies veröffentlicht Details zu FakesApps, einem Schwachpunkt in WhatsApp. Dabei gelang es Check Point, WhatsApp-Nachrichten von Usern zu manipulieren. Im Rahmen der Untersuchung wurden drei Angriffsmöglichkeiten gezeigt: >> Die Veränderung einer gesendeten Antwort, sodass dem Absender falsche Worte in den Mund gelegt werden. >> Abgabe einer gefälschten Antwort in einem Gruppenchat. Die zitierte Person muss dabei nicht einmal in der Gruppe Mitglied sein. >> Versendung einer persönlichen Nachricht in einem Gruppenchat, die für den Empfänger wie eine Gruppennachricht an alle Mitglieder aussieht - jedoch nur für ihn sichtbar ist. Wenn diese Person auf die gefälschte Nachricht antwortet, ist seine Antwort aber für alle Gruppenmitglieder sichtbar.

  • Lücke in den Zugangssystemen

    Forscher der finnischen Sicherheitsfirma F-Secure haben eine massive Lücke in den Zugangssystemen weltweit operierender Hotelketten entdeckt, das von Angreifern kompromittiert werden kann, um sich Zugang zu allen Räumen zu verschaffen. Die Schwachstelle wurde in der Software des Schließsystems Vision by VingCard gefunden, eine Lösung, die weltweit Millionen Zimmern in hochrangigen Hotels sichert. Hersteller Assa Abloy hat inzwischen Software-Updates mit Sicherheits-Bugfixes veröffentlicht, um das Problem zu beheben. Die Sicherheitsexperten nutzten bei ihrem Angriff gewöhnliche elektronische Schlüsselkarten des Hotels. Diese waren teilweise längst abgelaufen, ausgemustert oder dienten lediglich dem Zugang zu Garagen oder Abstellräumen. Anhand der Informationen auf dem Schlüssel konnten die Experten jedoch einen Hauptschlüssel mit Zugangsberechtigungen generieren, um so jeden Raum im Gebäude öffnen zu können. Der Angriff blieb völlig unbemerkt und lies auch keine Spuren zurück.

  • Risikobasiertes Management der Schwachstellen

    Spectre und Meltdown dominieren auf Grund ihres massiven Ausmaßes seit Wochen die Schlagzeilen. Doch die Prozessor-Schwachstellen sind nicht unbedingt die einzige Gefahr für Unternehmen. Secunia Research von Flexera veröffentlichte bereits mehr als 35 Vulnerability Advisories zu Spectre/Meltdown. Davon wurden die meisten als "mäßig kritisch" bewertet, mit Kritikalitätswerten von 1 bis 3 bei max. 5 Punkten. Die mögliche Schlussfolgerung: Trotz aller Sicherheitsrisiken durch Spectre und Meltdown, stellen weitere kritische, nicht gepatchte Schwachstellen im Umfeld eine weit gefährlichere und unmittelbare Bedrohung dar.

  • Sicherheitslücken: Sabotage einer Tankstelle

    Die Sicherheitsexperten von Kaspersky Lab haben im Rahmen einer Untersuchung eine Reihe unbekannter Schwachstellen in einer Steuereinheit gefunden, die von Tankstellen weltweit eingesetzt wird. Die Sicherheitslücken betreffen ein Embedded-System, von dem derzeit über tausend Einheiten installiert und online sind. Über die Schwachstellen wären Hacker in der Lage, via Fernzugriff die Kontrolle über betroffene Systeme zu erlangen. Kaspersky Lab hat den Hersteller umgehend nach Entdeckung der Schwachstellen über die Gefahr informiert.

  • Was sind Meltdown und Spectre?

    Nach den ersten Berichten über die bekannt gewordenen Schwachstellen in Mikroprozessoren, arbeiten die betroffenen Chiphersteller mit Hochdruck an einer industrieweiten Lösung. Mit täglich neuen Details und Meldungen von Seiten der Sicherheitsexperten und Unternehmen bleibt die Lage unübersichtlich. Digital Shadows hat die wichtigsten Fragen und Antworten zusammengestellt. Die Meltdown und Spectre getauften Sicherheitslücken ermöglichen es Angreifern, auf Systemspeicherinformationen im Kernel, dem privilegiertesten Bereich moderner Betriebssysteme, zuzugreifen. Der Kernel verwaltet Prozesse wie das Starten und Beenden von Anwenderprogrammen, Sicherheitseinstellungen, Speicherverwaltung und die Steuerung von Hardware wie Speicher- und Netzlaufwerken.