Dipl.-Inform. Carsten Eilers

In Edge erlaubt eine Schwachstelle in der Scripting-Engine das Ausführen eingeschleusten Codes: CVE-2016-7189. Außer, dass die Schwachstelle bereits für Angriffe ausgenutzt wird, gibt es nicht viele Informationen im zugehörigen Security Bulletin MS16-119. Diese wenigen Informationen sind aber etwas merkwürdig:

"A remote code execution vulnerability exists when Microsoft Edge improperly handles objects in memory. An attacker who successfully exploited the vulnerability could obtain information to further compromise the user’s system."

Da bin ich ja mal gespannt, was da los ist.

Microsoft bedankt sich für die Meldung der Schwachstelle bei Natalie Silvanovich von Googles Project Zero. Allerdings soll es sich dabei um eine "Scripting Engine Information Disclosure Vulnerability" handeln. RCE-Schwachstellen in der Scripting-Engine hat Natalie Silvanovich auch gemeldet, aber die haben die CVE-IDs CVE-2016-7190 und CVE-2016-7194. Da scheint also irgend was nicht zu stimmen. Entweder ist die CVE-ID falsch oder die Beschreibung. Angesichts der merkwürdigen Beschreibung von Microsoft könnte es natürlich sein, dass die Schwachstelle erst als Informationsleck betrachtet wurde, und erst später erkannt wurde, dass sich darüber auch Code ausführen lässt. Leider sind die Einträge in der CVE-Datenbank zur Zeit noch leer, sonst wüssten wir jetzt vielleicht schon mehr.

RCE in der Microsoft Graphics Component

Die nächste bereits für Angriffe ausgenutzte Schwachstelle befindet sich in der Microsoft Graphics Component und betrifft dadurch Microsoft Windows, Microsoft Office, Skype for Business, Silverlight und Microsoft Lync. CVE-2016-3393 erlaubt die Ausführung eingeschleusten Codes durch z.B. präparierte Websites oder präparierte Dateien.

Mehr Informationen enthält das zugehörige Security Bulletin MS16-120 nicht. Microsoft bedankt sich für die Meldung der Schwachstelle bei Anton Ivanov von Kaspersky Lab, dort gibt es bisher keine weiterführenden Informationen.

RCE in Microsoft Office

Aller guten Dinge sind bekanntlich drei, und in diesem Fall gilt das auch für die schlechten Dinge: Die dritte bereits für Angriffe ausgenutzte RCE-Schwachstelle befindet sich in Microsoft Office: CVE-2016-7193 wird über präparierte RTF-Dateien ausgenutzt. Laut zugehörigem Security Bulletin MS16-121 wurde die Schwachstelle Microsoft vertraulich gemeldet, wird inzwischen aber bereits für Angriffe ausgenutzt. Und das in Verbindung mit weiteren Schwachstellen:

"Microsoft received information about this vulnerability through coordinated vulnerability disclosure. Microsoft is aware of limited attacks that use this vulnerability in conjunction with other vulnerabilities to gain code execution."

Dass eine vertrauliche gemeldete Schwachstelle parallel auch von Cyberkriminellen entdeckt und ausgenutzt wird ist ja schon des öfteren vorgekommen. Weshalb man sich mit den Beheben von Schwachstellen ja auch tunlichst beeilen sollte, damit so etwas nicht zu lange möglich ist. Aber das weiß Microsoft sehr gut und dürfte auch entsprechend gehandelt haben. Hoffentlich.

Microsoft bedankt sich für die Meldung der Schwachstelle beim "Austrian MilCERT", also dem CERT des österreichischen Militärs. Weitere Informationen gibt es noch nicht.

Informationsleck im Internet Explorer...

Im IE gibt es ein Informationsleck, das bereits für Angriffe ausgenutzt wird: CVE-2016-3298. Laut dem zugehörigen Security Bulletin MS16-118 kann eine bösartige Website darüber feststellen, ob bestimmte Dateien auf der Festplatte vorhanden sind oder nicht.

Microsoft bedankt sich für die Meldung der Schwachstelle bei Will Metcalf und Kafeine von Proofpoint. Weder im Threat Insight Blog von Proofpoint noch im Blog von Kafeine gibt es bisher weiterführende Informationen.

... und dem Microsoft Internet Messaging API

Die gleiche Schwachstelle befindet sich auch im Microsoft Internet Messaging API, was man im Security Bulletin MS16-126 erfährt. Um die Schwachstelle wirklich los zu werden, müssen Sie beide Updates installieren.

Keine 0-Day-Exploits für Adobe

Adobe hat ebenfalls drei Security Bulletins veröffentlicht, aber weder im Flash Player noch in Adobe Acrobat und Reader noch in der Creative Cloud Desktop Application wurden bereits ausgenutzte Schwachstellen behoben. So langsam wird das verdächtig. Es kann doch nicht sein, dass den Cyberkriminellen und Cyberkriegern die 0-Day-Exploits für den Flash Player ausgehen?

Das hat natürlich gewaltige Auswirkungen auf die Statistik! Bisher gab es dieses Jahr erst 5 0-Day-Exploits, aber davon gingen immerhin 4 auf das Konto des Flash Players. Mit den 3 neuen Exploits steht es jetzt 4:4. Auch im Vorjahr war der Flash Player für 9 der insgesamt 18 0-Day-Exploits verantwortlich. Da bin ich ja mal gespannt, wie das weitergeht.

Auch für den Adobe Reader hatten wir schon länger keinen 0-Day-Exploit mehr. Diesmal wurden 71(!) Schwachstellen in Acrobat und Reader behoben. Davon erlauben alle bis auf zwei das Ausführen von Code! Ich kann mir nicht vorstellen, dass da nicht auch die eine oder andere dabei ist, die parallel von Cyberkriminellen oder -kriegern entdeckt wurde. Nur scheinen die die nicht ausnutzen zu können. Also scheinen die Mitigations und die Sandbox die Angriffe über den Adobe Reader tatsächlich gestoppt zu haben. Den letzten 0-Day-Exploit hatten wir 2014! Prima!

Carsten Eilers