Aktuelle MeldungenUnternehmen

Patchday April 2015: Patches für Windows und Office

ARKM.marketing
     

Wolfgang Kandek, CTO von Qualys

Mit dem April-Patchday setzt sich der diesjährige Trend zu umfangreichen Update-Paketen fort. Microsoft liefert diesen Monat satte elf Updates aus, die 26 Sicherheitslücken stopfen. Diese Lücken finden sich in Windows und Office und betreffen sowohl Server als auch Workstations. Zudem veröffentlicht Oracle sein vierteljährliches Critical Patch Update, das diesmal 100 Anfälligkeiten in mehr als 25 Software-Kategorien behebt, darunter Java, Oracle RDBMS und MySQL.

Quelle: Kafka Kommunikation GmbH & Co KG
Quelle: Kafka Kommunikation GmbH & Co KG

Rechnet man noch die Fixes für Adobe, Mozilla und Google Chrome hinzu, die im Anschluss an den PWN2OWN-Wettbewerb in Vancouver entwickelt wurden, so wird jeder abwehrbewusste IT-Sicherheitsexperte diesen Monat ein doppeltes Arbeitspensum auf sich zukommen sehen.

Für Microsoft gibt es elf Bulletins, MS15-032 bis MS15-042, vier davon kritisch. Doch die Prioritäten sind diesen Monat klar gesteckt:

Nummer eins ist MS15-033, das Office-Bulletin. Es behebt fünf Schwachstellen, die Remotecodeausführung (RCE) ermöglichen, darunter eine Zero-Day-Lücke. Diese Zero-Day-Lücke, CVE-2015-1641, wird in Word 2010 bereits in begrenztem Ausmaß aktiv angegriffen. Gleichermaßen betrifft die Schwachstelle auch Word 2007 und 2012 und sogar Word 2011 auf dem Mac. Dass Microsoft diesen Patch nur als „wichtig“ einstuft, liegt einzig daran, dass der Benutzer eine manipulierte Datei öffnen muss, damit die Lücke ausgenutzt werden kann. Das ist jedoch in den meisten Unternehmen eine sehr niedrige Sicherheitsbarriere, da das Öffnen von Word DOCX-Dateien nun einmal zu den Aufgaben von Mitarbeitern gehört und diese dem Format vertrauen. Ein Angreifer wird eine E-Mail schicken, die die manipulierte Datei als Anhang oder einen Link dazu enthält. Wenn diese Mail geschickt formuliert ist, sind Anklick-/Öffnungsraten von mehr als zehn Prozent garantiert.

Neben der Zero-Day-Lücke schließt dieses Update auch die beiden kritischen Sicherheitslücken CVE-2015-1649 und 1651. Beide sind RCE-Schwachstellen, die in Office 2007 und 2010 schon durch bloßes Ansehen einer E-Mail im Outlook-Vorschaufenster ausgenutzt werden können. Das Outlook-Vorschaufenster rendert RTF-Dateien automatisch und wurde bereits vor einem Jahr, im März 2014, mit einem Zero-Day-Exploit angegriffen. Damals wies Microsoft darauf hin, dass das Toolkit EMET vor den Angriffen schützt; diesmal gibt es keine Informationen zur Wirksamkeit von EMET.

Patch Nummer zwei ist MS15-034 für eine RCE-Schwachstelle in Servern. Das Update schließt die Lücke CVE-2015-1635 im HTTP-Stack bei Windows Server 2008 und 2012 und betrifft auch Windows 7 und 8. Ein Angreifer kann diese Sicherheitslücke nutzen, um unter dem IIS-Benutzerkonto Code auf Ihrem IIS-Webserver auszuführen. Danach würde er einen Exploit für eine zweite lokale Schwachstelle (EoP) verwenden, um seine Rechte zu erweitern, Administrator zu werden und dauerhaften Exploit-Code zu installieren. Da sich dieser Angriff einfach durchführen lässt, muss schnell gehandelt werden. Kann der Patch nicht sofort verteilt werden, ist es ratsam, sich die vorgeschlagene Problemumgehung mittels der IIS-Zwischenspeicherung anzusehen. Dies ist die wichtigste Schwachstelle für das Server-Team, wenn Windows-basierte Webserver im Internet betrieben werden.

Auf Platz drei rangiert APS15-06 für Adobe Flash. Adobe räumt ein, dass eine der betreffenden Sicherheitslücken (CVE-2015-3043) bereits aktiv missbraucht wird. Dieser Anfälligkeit sollte hohe Priorität gegeben werden, sofern nicht mit Google Chrome oder neueren Versionen von Internet Explorer gearbeitet wird, die Flash automatisch aktualisieren.

Auf Platz vier ist MS15-032, das kumulative Update für Internet Explorer. Diesen Monat behebt es zehn Schwachstellen, von denen neun als „kritisch“ gelten. Sämtliche Versionen des Internet Explorers sind betroffen, von IE6 unter Windows 2003 bis zu IE11 in der neuesten Windows-Version 8.1. Der Angreifer muss den Benutzer dazu bringen, eine bösartige Webseite zu öffnen. Das geschieht üblicherweise, indem der Angreifer Links via E-Mail verschickt oder eine Website unter seine Kontrolle bringt, die der Benutzer häufig ansurft. Die letztere Methode hat angesichts von Schwachstellen in einigen populären CMS-Systemen, die die Kontrolle von Hunderttausenden von Webservern ermöglichen, Aufwind bekommen, zum Beispiel bei der Angriffswelle SoakSoak (https://blog.sucuri.net/2014/12/revslider-vulnerability-leads-to-massive-wordpress-soaksoak-compromise.html).

Das letzte kritische Update ist MS15-035 für eine Sicherheitslücke im Grafikformat EMF. Auch hier braucht der Angreifer wieder User-Hilfe, um den Exploit ausführen zu können; in diesem Fall muss der Benutzer eine Bilddatei anzeigen lassen. Das kann auf vielfältige Weise geschehen: Mögliche Angriffsvektoren sind etwa der Besuch einer Website, das Öffnen einer E-Mail oder das Ansehen eines Fileshares. Allerdings beschränkt sich die Ausnutzung damit vorwiegend auf Deskop-/Laptop-Rechner. Zudem ist die Schwachstelle auf die älteren Windows-Versionen beschränkt, wie Windows 7, Vista, Server 2003 und 2008. Die neuesten Windows-Desktop-Versionen 8 und 8.1 sind nicht betroffen; Ähnliches gilt für Windows Server 2008 R2 und 2012.

Die restlichen Bulletins beheben weniger gravierende Sicherheitsprobleme in Windows, Sharepoint, .NET und Hyper-V. Diese Updates sollten im Lauf Ihres gewöhnlichen Patchzyklus eingespielt werden.

Oracle hat für sein Critical Patch Update im April 2014 bereits im Vorfeld zahlreiche Patches angekündigt. Oracle-Kunden sind sollten sich auf Updates vorbereiten, die 100 Anfälligkeiten beseitigen. Ein kritisches Update für Java auf Desktop-Computern sollte sich sofort angesehen werden. Ein Update für Outside-In ist ebenfalls dabei, was typischerweise zur Folge hat, dass einen Monat später auch Microsofts OWA aktualisiert wird. Das Server-Team sollte also schon einmal auf ein Update für den Exchange-Server vorbereitet werden.

Im vergangenen Monat fand im Rahmen der CanSecWest der Pwn2Own-Wettbewerb statt, bei dem Sicherheitsforscher ihre Exploits gegen gängige Browser- und Betriebssystem-Kombinationen einsetzen. Diesmal wurden sämtliche Kombinationen (Chrome, Firefox, IE unter Windows und Safari unter OS X) mit Erfolg angegriffen, und die Pwn2Own-Sponsoren zahlten Preisgelder in Höhe von mehr als 500.000 US-Dollar an die Gewinner aus; der erfolgreichste Teilnehmer heimste mehr als 120.000 Dollar ein. Die gefundenen Sicherheitslücken werden jetzt von den jeweiligen Produktanbietern behoben. Mozilla hat mittlerweile die Version 36.0.4 von Firefox herausgebracht, die beide CVEs schließt, und Google hat eine neue Chrome-Version veröffentlicht.

Das ist die erste Runde für diesen Monat, in der nächsten Runde richtet sich der Blick auf die Oracles-Patches. Qualys ist vom 20. bis 24. April 2015 auf der RSA Conference 2015 in San Francisco vertreten und präsentiert seine neuen Releases.

ARKM.marketing
 

Zeige mehr
Schaltfläche "Zurück zum Anfang"