- Anzeigen -


Sie sind hier: Home » Virenwarnung » Sicherheitslecks

Patchday April 2015: Patches für Windows & Office





Microsoft: Nummer eins ist MS15-033, das Office-Bulletin - Es behebt fünf Schwachstellen, die Remote Code-Ausführung (RCE) ermöglichen, darunter eine Zero-Day-Lücke
Auf Platz drei rangiert APS15-06 für Adobe Flash - Adobe räumt ein, dass eine der betreffenden Sicherheitslücken (CVE-2015-3043) bereits aktiv missbraucht wird

Von Wolfgang Kandek, CTO von Qualys

Mit dem April-Patchday setzt sich der diesjährige Trend zu umfangreichen Update-Paketen fort. Microsoft lieferte im April satte elf Updates aus, die 26 Sicherheitslücken stopfen. Diese Lücken finden sich in Windows und Office und betreffen sowohl Server als auch Workstations. Zudem veröffentlicht Oracle sein vierteljährliches Critical Patch Update, das diesmal 100 Anfälligkeiten in mehr als 25 Software-Kategorien behebt, darunter Java, Oracle RDBMS und MySQL.

Rechnet man noch die Fixes für Adobe, Mozilla und Google Chrome hinzu, die im Anschluss an den PWN2OWN-Wettbewerb in Vancouver entwickelt wurden, so wird jeder abwehrbewusste IT-Sicherheitsexperte diesen Monat ein doppeltes Arbeitspensum auf sich zukommen sehen.

Für Microsoft gibt es elf Bulletins, MS15-032 bis MS15-042, vier davon kritisch. Doch die Prioritäten sind diesen Monat klar gesteckt:

Nummer eins ist MS15-033, das Office-Bulletin. Es behebt fünf Schwachstellen, die Remote Code-Ausführung (RCE) ermöglichen, darunter eine Zero-Day-Lücke. Diese Zero-Day-Lücke, CVE-2015-1641, wird in Word 2010 bereits in begrenztem Ausmaß aktiv angegriffen. Gleichermaßen betrifft die Schwachstelle auch Word 2007 und 2012 und sogar Word 2011 auf dem Mac. Dass Microsoft diesen Patch nur als "wichtig" einstuft, liegt einzig daran, dass der Benutzer eine manipulierte Datei öffnen muss, damit die Lücke ausgenutzt werden kann. Das ist jedoch in den meisten Unternehmen eine sehr niedrige Sicherheitsbarriere, da das Öffnen von Word DOCX-Dateien nun einmal zu den Aufgaben von Mitarbeitern gehört und diese dem Format vertrauen. Ein Angreifer wird eine E-Mail schicken, die die manipulierte Datei als Anhang oder einen Link dazu enthält. Wenn diese Mail geschickt formuliert ist, sind Anklick-/Öffnungsraten von mehr als zehn Prozent garantiert.

Neben der Zero-Day-Lücke schließt dieses Update auch die beiden kritischen Sicherheitslücken CVE-2015-1649 und 1651. Beide sind RCE-Schwachstellen, die in Office 2007 und 2010 schon durch bloßes Ansehen einer E-Mail im Outlook-Vorschaufenster ausgenutzt werden können. Das Outlook-Vorschaufenster rendert RTF-Dateien automatisch und wurde bereits vor einem Jahr, im März 2014, mit einem Zero-Day-Exploit angegriffen. Damals wies Microsoft darauf hin, dass das Toolkit EMET vor den Angriffen schützt; diesmal gibt es keine Informationen zur Wirksamkeit von EMET.

Patch Nummer zwei ist MS15-034 für eine RCE-Schwachstelle in Servern. Das Update schließt die Lücke CVE-2015-1635 im HTTP-Stack bei Windows Server 2008 und 2012 und betrifft auch Windows 7 und 8. Ein Angreifer kann diese Sicherheitslücke nutzen, um unter dem IIS-Benutzerkonto Code auf Ihrem IIS-Webserver auszuführen. Danach würde er einen Exploit für eine zweite lokale Schwachstelle (EoP) verwenden, um seine Rechte zu erweitern, Administrator zu werden und dauerhaften Exploit-Code zu installieren. Da sich dieser Angriff einfach durchführen lässt, muss schnell gehandelt werden. Kann der Patch nicht sofort verteilt werden, ist es ratsam, sich die vorgeschlagene Problemumgehung mittels der IIS-Zwischenspeicherung anzusehen. Dies ist die wichtigste Schwachstelle für das Server-Team, wenn Windows-basierte Webserver im Internet betrieben werden.

Auf Platz drei rangiert APS15-06 für Adobe Flash. Adobe räumt ein, dass eine der betreffenden Sicherheitslücken (CVE-2015-3043) bereits aktiv missbraucht wird. Dieser Anfälligkeit sollte hohe Priorität gegeben werden, sofern nicht mit Google Chrome oder neueren Versionen von Internet Explorer gearbeitet wird, die Flash automatisch aktualisieren.

Auf Platz vier ist MS15-032, das kumulative Update für Internet Explorer. Diesen Monat behebt es zehn Schwachstellen, von denen neun als "kritisch" gelten. Sämtliche Versionen des Internet Explorers sind betroffen, von IE6 unter Windows 2003 bis zu IE11 in der neuesten Windows-Version 8.1. Der Angreifer muss den Benutzer dazu bringen, eine bösartige Webseite zu öffnen. Das geschieht üblicherweise, indem der Angreifer Links via E-Mail verschickt oder eine Website unter seine Kontrolle bringt, die der Benutzer häufig ansurft. Die letztere Methode hat angesichts von Schwachstellen in einigen populären CMS-Systemen, die die Kontrolle von Hunderttausenden von Webservern ermöglichen, Aufwind bekommen, zum Beispiel bei der Angriffswelle SoakSoak (https://blog.sucuri.net/2014/12/revslider-vulnerability-leads-to-massive-wordpress-soaksoak-compromise.html).

Das letzte kritische Update ist MS15-035 für eine Sicherheitslücke im Grafikformat EMF. Auch hier braucht der Angreifer wieder User-Hilfe, um den Exploit ausführen zu können; in diesem Fall muss der Benutzer eine Bilddatei anzeigen lassen. Das kann auf vielfältige Weise geschehen: Mögliche Angriffsvektoren sind etwa der Besuch einer Website, das Öffnen einer E-Mail oder das Ansehen eines Fileshares. Allerdings beschränkt sich die Ausnutzung damit vorwiegend auf Deskop-/Laptop-Rechner. Zudem ist die Schwachstelle auf die älteren Windows-Versionen beschränkt, wie Windows 7, Vista, Server 2003 und 2008. Die neuesten Windows-Desktop-Versionen 8 und 8.1 sind nicht betroffen; Ähnliches gilt für Windows Server 2008 R2 und 2012.

Die restlichen Bulletins beheben weniger gravierende Sicherheitsprobleme in Windows, Sharepoint, .NET und Hyper-V. Diese Updates sollten im Lauf ihres gewöhnlichen Patch-Zyklus eingespielt werden.

Oracle hat für sein Critical Patch Update im April 2014 bereits im Vorfeld zahlreiche Patches angekündigt. Oracle-Kunden sind sollten sich auf Updates vorbereiten, die 100 Anfälligkeiten beseitigen. Ein kritisches Update für Java auf Desktop-Computern sollte sich sofort angesehen werden. Ein Update für Outside-In ist ebenfalls dabei, was typischerweise zur Folge hat, dass einen Monat später auch Microsofts OWA aktualisiert wird. Das Server-Team sollte also schon einmal auf ein Update für den Exchange-Server vorbereitet werden.

Im vergangenen Monat fand im Rahmen der CanSecWest der Pwn2Own-Wettbewerb statt, bei dem Sicherheitsforscher ihre Exploits gegen gängige Browser- und Betriebssystem-Kombinationen einsetzen. Diesmal wurden sämtliche Kombinationen (Chrome, Firefox, IE unter Windows und Safari unter OS X) mit Erfolg angegriffen, und die Pwn2Own-Sponsoren zahlten Preisgelder in Höhe von mehr als 500.000 US-Dollar an die Gewinner aus; der erfolgreichste Teilnehmer heimste mehr als 120.000 Dollar ein. Die gefundenen Sicherheitslücken werden jetzt von den jeweiligen Produktanbietern behoben. Mozilla hat mittlerweile die Version 36.0.4 von Firefox herausgebracht, die beide CVEs schließt, und Google hat eine neue Chrome-Version veröffentlicht. (Qualys: ra)

Qualys: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Sicherheitslecks

  • 2018: Das große Softwaresterben

    Der Patch Tuesday im Dezember 2017 hat eine recht überschaubare Anzahl von Updates gebracht. Microsoft hat insgesamt 32 einzigartige CVEs (Common Vulnerabilities and Exposures) vermeldet - keine davon wurde veröffentlicht oder ausgenutzt. Adobe hat daneben ein Update für Flash Player herausgebracht, das eine moderate Schwachstelle auflöst. Allerdings wird dieses Update in der Priorität 2 eingestuft, weshalb Microsoft es im Rahmen des Patch Tuesday für den IE als kritisch eingestufte. Es ist mal wieder die richtige Jahreszeit, um sich um End-of-Life-Angelegenheiten zu kümmern. IT-Verantwortliche sollten also Ihre Planung für 2018 beginnen, indem sie sich einen Überblick verschaffen, welche Produkte im kommenden Jahr auf EoL umgestellt werden. Der Patch Tuesday im Dezember gibt dazu einige Hinweise: Der EoL von Windows 10 1607 ist vorläufig für März 2018 geplant.

  • Security-Leck in Messaging-Diensten

    Die Sicherheitsforscher von Check Point Software Technologies enthüllten eine neue Schwachstelle in den Online-Plattformen WhatsApp und Telegram, zwei der weltweit beliebtesten Messaging-Dienste. Angreifer, die diese Schwachstelle ausnutzten, konnten Nutzerkonten vollständig übernehmen und auf die persönlichen Gespräche und Gruppenunterhaltungen, Fotos, Videos und andere geteilten Dateien, Kontaktlisten und sonstige Daten zugreifen. "Durch diese neue Schwachstelle laufen Hunderte von Millionen WhatsApp- und Telegram-Web-Nutzer Gefahr, dass ihre Accounts vollständig übernommen werden", sagt Oded Vanunu, Leiter Product Vulnerability Research bei Check Point. "Ein Hacker kann durch einfaches Versenden eines harmlos aussehenden Fotos die Kontrolle über den Account erlangen, auf den Nachrichtenverlauf sowie auf alle Fotos, die je geteilt wurden, zugreifen und Nachrichten im Namen des Nutzers versenden."

  • Android-Passwort-Manager-Apps analysiert

    Das Fraunhofer-Institut für Informationstechnologie SIT hat gravierende Sicherheitslücken in Passwort-Apps für Android entdeckt. Bei vielen der beliebtesten Passwort-Manager konnten Cyberkriminelle leicht Zugriff auf die geschützten Informationen erhalten, beispielsweise, wenn sich der Angreifer im selben Netzwerk befindet. Die Hersteller wurden informiert und haben die Fehler mittlerweile behoben. Nutzer sollten jedoch sicherstellen, dass sie die aktuelle App-Version verwenden. Die Details ihrer Analysen stellen die Experten des Fraunhofer SIT im April auf der "Hack In The Box"-Konferenz in Amsterdam vor.

  • Backdoor in der Mac-Version von Skype

    Forscher des Trustwave SpiderLabs haben eine Art Backdoor in der Mac-Version von Skype entdeckt. Über diese Sicherheitslücke, die wahrscheinlich schon seit Jahren besteht, können - ohne dass Anwender dies bemerken - Drittprogramme mit Skype kommunizieren und damit Gespräche mitgeschnitten werden. Ein Update, das diese Sicherheitslücke schließt, ist bereits Ende Oktober erschienen. Trustwave empfiehlt allen Nutzer, das Update sofort zu installieren. Bei der Sicherheitslücke handelt es sich laut den Forschern des Trustwave SpiderLabs, das aus IT-Sicherheitsexperten und ethischen Hackern besteht, nicht um einen Hackerangriff, sondern um einen Programmierfehler. Dieser besteht wahrscheinlich schon seit etwa fünf Jahren.

  • 350 veröffentlichte Android-Schwachstellen

    Nach aktuellen Zahlen der Datenbank für IT-Angriffsanalysen (Vulnerability Data Base) des Hasso-Plattner-Instituts (HPI) haben die Software-Schwachstellen bei Android-Systemen einen neuen Höchststand erreicht. Die Infografik im Anhang zeigt die Entwicklung mittelschwerer und schwerer Schwachstellen ab 2014. Weitere Informationen entnehmen Sie bitte der nachfolgenden Pressemitteilung vom 22. August: 350 veröffentlichte Android-Schwachstellen hat die Datenbank für IT-Angriffsanalysen (Vulnerability Data Base) des Hasso-Plattner-Instituts (HPI) in den ersten acht Monaten dieses Jahres registriert. Damit hat sich deren Anzahl im Vergleich zum Vorjahr bereits mehr als verdoppelt. Bei rund 70 Prozent der ermittelten Sicherheitslücken handelt es sich um gravierende, sogenannte kritische Schwachstellen. Googles Smartphone-Betriebssystem Android ist in Deutschland mit deutlichem Vorsprung Marktführer.