Microsoft: Ein 0-Day-Exploit und eine 0-Day-Schwachstelle am September Patchday
Am September-Patchday hat Microsoft eine bereits ausgenutzte und eine bereits öffentlich bekannte Schwachstelle behoben. Besondere Gefahr geht von beiden nicht aus, und da auch Adobe keine 0-Days gemeldet hat ist es diesmal ein sehr ruhiger Patchday!
Angriff über Informationsleck im IE
Der 0-Day-Exploit betrifft den Internet Explorer. Im Security Bulletin MS16-104 werden einige Schwachstellen im IE beschrieben, aber nur eine davon wird bereits für Angriffe ausgenutzt. Die Schwachstelle mit der CVE-ID CVE-2016-3351 ist ein nicht näher beschriebenes Informationsleck. Vermutlich lassen sich darüber Informationen über den Speicheraufbau ermitteln, die dann beim Aushebeln von Mitigations wie der ASLR helfen.
Die Schwachstelle ist auch in Edge enthalten (Security Bulletin MS16-105), dort wird sie aber nicht ausgenutzt.
Microsoft bedankt sich für die Meldung der Schwachstelle bei Kafeine und Brooks Li von Trend Micro. Weder im Blog von Kafeine noch in dem von Trend Micro gibt es bisher Informationen über die Schwachstelle.
Informationsleck im Single Sign-On
Die zweite 0-Day-Schwachstelle des September-Patchday wird in Security Bulletin MS16-110 beschrieben und betrifft Windows: CVE-2016-3352 ist ein Informationsleck beim Single Sign-On.
Windows prüft während einer Microsoft Account (MSA) Login-Session die Requests des NT LAN Manager (NTLM) Single Sign-On (SSO) nicht korrekt. Ein Angreifer kann sein Opfer auf eine präparierte Webseite oder einen präparierten SMB- oder UNC-Pfad locken oder ein Dokument unterschieben, dass heimlich NTLM SSO Validation Request verschickt, um nicht näher beschriebene Informationen zu sammeln. Die können dann genutzt werden, um den Hashwert des NTLM-Passworts über einen Brute-Force-Angriff zu brechen.
Microsoft bedankt sich für die Meldung der Schwachstelle bei niemandem.
Das sieht doch mal wieder gut aus!
Weder 0-Day-Exploits noch 0-Day-Schwachstellen, die eine Remote Code Execution erlauben - das ist doch ein sehr erfreuliches Ergebnis des aktuellen Patchdays. Nur: Kein 0-Day-Exploit für den Flash Player, und das nach Juli und August schon zum dritten Mal - das ist doch irgendwie verdächtig, oder?
Die Cyberkriminellen haben ihre Geschäfte bestimmt nicht aufgegeben, und die "Staatlich gesponserten" Angreifer ganz bestimmt auch nicht. Was machen die also die ganze Zeit, wenn sie keine 0-Days verwenden? Sommerferien? Alle? Das kann ich mir irgendwie nicht vorstellen.
Vielleicht sehe ich ja nur zu schwarz, aber ich fürchte, da kommt noch was. Wenn nicht diesen Monat, dann eben im nächsten. Oder im übernächsten. Oder im Dezember, dann womöglich noch "zwischen den Jahren". Lange wird das nicht so ruhig weitergehen.
Trackbacks