Skip to content

Microsofts November-Patchday: 4 0-Day-Schwachstellen, aber keine Exploits

Am November-Patchday hat Microsoft 4 0-Day-Schwachstellen behoben. Keine davon wird bisher ausgenutzt. Und keine davon ist auch nur im entferntesten kritisch. Noch besser sieht es bei Adobe aus: Im Flash Player wurden zwar 17 Schwachstelle behoben, aber keine davon wurde zuvor veröffentlicht oder wird bereits ausgenutzt. Was beim Flash Player nach bisher 8 0-Day-Exploits in diesem Jahr (von insgesamt 16) fast an ein Wunder grenzt.

MS15-115, Windows, KASLR umgehen

Im Security Bulletin MS15-115 zu Windows gibt es eine 0-Day-Schwachstelle: Die "Windows Kernel Memory Information Disclosure Vulnerability" mit der CVE-ID CVE-2015-6109 wurde bereits veröffentlicht. Ein Angreifer kann sich darüber die Basis-Adresse des Kernel-Treibers eines kompromittierten Prozesses verschaffen, mit deren Hilfe er dann die Kernel Address Space Layout Randomization (KASLR) unterlaufen kann.

MS15-116, Microsoft Office, Privilegien-Eskalation

Auch im Security Bulletin MS15-116 zu Microsoft Office gibt es eine 0-Day-Schwachstelle: CVE-2015-2503 erlaubt eine Privilegien-Eskalation. Beim Aufruf über ein COM-Control kann sich ein Angreifer erhöhte Rechte verschaffen und so aus der Sandbox des IE ausbrechen. Um die Schwachstelle ausnutzen zu können muss der Angreifer aber eine weitere Schwachstelle im IE ausnutzen, um Code einzuschleusen oder den Benutzer zum Download einer präparierten Anwendung zu bewegen. Wer letzteres schafft, kann den Benutzer dann aber auch gleich dazu bringen, die gewünschte Schadsoftware direkt zu installieren und ihr Admin-Rechte zu geben.

MS15-120, IPsec, DoS

Das Security Bulletin MS15-120 zu IPsec enthält nur eine Schwachstelle, und die wurde bereits zuvor veröffentlicht: CVE-2015-6111 erlaubt DoS-Angriffe. Ein Angreifer mit gültigen Zugangsdaten kann die Schwachstelle ausnutzen, um beim Aushandeln der Verschlüsselung den Server lahm zu legen.

MS15-121, Schannel, Triple Handshake Angriff durch MitM

Und auch im Security Bulletin MS15-121 gibt es nur eine (0-Day-)Schwachstelle: CVE-2015-6112. Ein MitM kann über einen Triple Handshake Angriff das Zertifikat des Benutzers missbrauchen, um sich gegenüber einem Server, der dieses Zertifikat akzeptiert, als der betreffende Benutzer auszugeben.

Das sieht doch gut aus!

Diese Jahr brachten Microsofts Security Bulletins ja bereits mehrmals 0-Day-Exploits in Microsoft-Produkten ans Licht der Öffentlichkeit. Im April (Microsoft Office), im Juli (2* Internet Explorer, 1* Microsoft Office), im August (Microsoft Office), außer der Reihe im August (Internet Explorer) und im September (Microsoft Office) wurden kritische Schwachstellen behoben, die bereits im Rahmen (meist vereinzelter, gezielter) Angriffe zum Einschleusen von Code ausgenutzt wurden. Die etlichen weiteren, weniger gefährlichen 0-Day-Exploits lasse ich hier mal außen vor.

Da ist ein Patchday ohne 0-Day-Exploit doch eine angenehme Überraschung. Um so mehr, da es zwar 0-Day-Schwachstellen gibt, die aber alle keine Codeausführung erlauben. Das sah im Juli (Windows Adobe Type Manager Library), September (Internet Explorer und ._NET) und Oktober (Internet Explorer) noch anders aus.

Über diese (beim Bekanntwerden auch gleichzeitig behobenen) 0-Day-Schwachstellen gab es übrigens bisher keine Angriffe. Die "staatlich gesponserten" Angreifer scheinen sich im Allgemeinen sowieso auf die selbst entdeckten Schwachstellen zu beschränken. Was verständlich ist, denn die können sie bedenkenlos ausnutzen, ohne mit installierten Patches rechnen zu müssen. Möglicherweise auf den angegriffenen Systemen bereits behobene Schwachstellen sind ja auch ziemlich störend, wenn man unbemerkt irgend wo eindringen will.

Aber auch die Cyberkriminellen scheinen dieses Jahr keine große Lust zu haben, neue Exploits für bereits gepatchte Schwachstellen zu entwickeln. Vor einigen Jahren sah das noch anders aus, da folgte auf den Patch-Tuesday meist ein Exploit-Wednesday mit Angriffen auf die gerade behobenen Schwachstellen. Aber anscheinend werden die Patches inzwischen auf vielen Systemen so schnell installiert, dass sich Angriffe darauf oder zumindest die Entwicklung eines eigenen Exploits dafür für die Cyberkriminellen nicht mehr lohnen.

Carsten Eilers

Trackbacks

Keine Trackbacks