0-Day-Exploit für Flash Player unterwegs, bei Microsoft nur 0-Day-Schwachstellen gepatcht
Adobe warnt mal wieder vor einem 0-Day-Exploit für den Flash Player, ein Update ist in Vorbereitung. Bei Microsoft sieht es dafür am Juni-Patchday besser aus: Es wurde zwar wieder eine Reihe von 0-Day-Schwachstellen behoben, aber für keine davon ist bereits ein Exploit in Umlauf.
Update 16.6.:
Adobe hat das Update veröffentlicht,
siehe unten!
Ende des Updates
Der monatliche 0-Day-Exploit für den Flash Player
Bei Adobe gilt nach den 0-Day-Exploits im März, April und Mai mal wieder "Same Procedure than last Month": Es gibt ein Security Advisory zum Flash Player, weil ein 0-Day-Exploit im Rahmen gezielter Angriffe verwendet wird. Die Schwachstelle hat die CVE-ID CVE-2016-4171 und wurde von Anton Ivanov und Costin Raiu vom Kaspersky Lab gemeldet. Ein Update wurde für den 16. Juni angekündigt.
Update 15.6.:
Costin Raiu hat
weitere Informationen
veröffentlicht: Die Angriffe gehen von einer
APT-Gruppe
aus, die bei Kaspersky als "ScarCruft" bezeichnet wird. Sie richten sich
gegen "high profile victims" und werden von Microsofts EMET
gestoppt.
Ende des Updates vom 15.6.
Damit ist der Flash Player für 4 der bisher 5 in diesem Jahr veröffentlichten 0-Day-Exploits verantwortlich. 2015 waren es 9 von 18, 2014 4 von 14 und 2013 3 von 21. Oder als Tabelle:
Jahr | Flash Player 0-Day-Exploits | von insgesamt | % |
---|---|---|---|
2016 | 4 | 5 | 80 |
2015 | 9 | 18 | 50 |
2014 | 4 | 14 | 28,57 |
2013 | 3 | 21 | 14,28 |
Wenn das so weiter geht schafft der Flash Player ja vielleicht nächstes Jahr sogar die 100%. So langsam sollte Adobe wirklich mal den Stecker ziehen und statt ständiger Updates einfach einen Uninstaller verteilen. Das Ding ist ja eine Gefahr für die Menschheit.
Die Übersichtsseite des Internet Storm Centers zu Microsofts Patchday führt ein Security Bulletin MS16-083 auf, dass den Flash Player betreffen soll. Microsoft selbst kennt dieses Bulletin zur Zeit noch nicht, das letzte veröffentliche Bulletin ist MS16-082.
Update 16.6.:
Adobe hat das Update
veröffentlicht.
Das zugehörige
Security Bulletin
führt außer der 0-Day-Schwachstelle noch 35 (In Worten:
Fünfunddreißig!) weitere Schwachstellen auf. Bis auf eine
einzige davon erlauben ALLE das Ausführen von Code.
Irgendwie fällt mir dazu kein höflicher Kommentar mehr ein. Sind
die Entwickler bei Adobe wirklich ALLE dermaßen unfähig, oder
ist das Absicht? So viele Schwachstelle wie der Flash Player schon hatte,
kann man ja eigentlich nur noch mit Absicht erklären. Unfähigkeit
alleine reicht dazu wohl nicht mehr aus.
Ich habe keine Lust zu zählen, wie viele Schwachstellen Adobe dieses
Jahr bereits behoben hat. Und in den Jahren davor. Außerdem weiß ich ja
sowieso nicht, wie lang der Code des Flash Players ist. Aber so langsam
drängt sich mir der Verdacht auf, dass da bald mehr Schwachstellen
behoben wurden als Codezeilen drin stecken. Gut, dass ich den Flash Player
schon vor einiger Zeit deinstalliert habe.
Ach so: Auch Microsofts Bulletin
MS16-083
wurde inzwischen veröffentlicht und stellt Patches für den in IE
und Edge integrierten Flash Player bereit. Den werden Sie leider nicht so
einfach los wie die Stand-Alone-Version, da hilft nur der gute alte Rat von
Peter Lustig: Abschalten! Den Flash Player. Von mir aus auch den IE. Edge
würde ich aber behalten, der ist
ziemlich sicher.
Mal abgesehen von den Schwachstellen im integrierten Flash Player. Aber
den können Sie ja ausschalten!
Übrigens schmeißt Apple den Flash Player in Herbst aus Safari
raus. Also das PlugIn, integriert war er da ja zum Glück nie. Und
ich werde wohl nie verstehen, warum Microsoft Edge erst durch das
Löschen alten Codes deutlich sicherer als den IE macht und danach den
Flash Player integriert. Das kann man ja fast auch nur noch durch eine
Verschwörungstheorie erklären. Wie viel die NSA wohl dafür
bezahlt hat? OK, war nur ein Scherz. Hoffentlich.
Ende des Updates vom 16.6.
Memory Corruption in der Scripting-Engine von Edge
Das Security Bulletin MS16-068 ist für Edge zuständig und enthält eine bereits öffentlich bekannte Schwachstelle: CVE-2016-3222. Dabei handelt es sich um eine von mehreren Memory-Corruption-Schwachstellen in der Scripting Engine, die alle die Ausführung eingeschleusten Codes erlauben.
Microsoft bedankt sich für die Meldung der Schwachstelle bei "Shi Ji (@Puzzor) of VARAS@IIE working with Trend Micro’s Zero Day Initiative (ZDI)". Auf der Website der ZDI gibt es bisher keine Infos zu dieser Schwachstelle. Ich hatte zuerst vermutet, dass Microsoft mal wieder eine Frist verstreichen lassen hat und die ZDI die Schwachstelle deshalb vor der Veröffentlichung des Patches veröffentlicht hat, aber das scheint nicht der Fall zu sein. Evtl. wurde die Schwachstelle also parallel von einem nicht genannten Dritten entdeckt und veröffentlicht. Normalerweise bedankt sich Microsoft auch nicht bei den Entdeckern von Schwachstellen, wenn die sie vor der Veröffentlichung des Patches veröffentlicht haben.
Die Übersichtsseite des Internet Storm Centers gibt für MS16-068 an, dass es (mindestens) einen bekannten Exploit gibt. In Microsofts Bulletin steht aber nichts davon. Hoffen wir mal, dass man sich beim ISC nur verklickt oder verlesen hat.
Privilegieneskalation im Windows SMB Server
Das Security Bulletin MS16-075 für den Windows SMB Server beschreibt genau eine Schwachstelle, und die war bereits zuvor bekannt: CVE-2016-3225. Es handelt sich dabei um eine Privilegieneskalation, für deren Meldung sich Microsoft bei niemanden bedankt. Weitere Informationen liegen bisher nicht vor.
Privilegieneskalation im Web Proxy Auto Discovery (WPAD) Protokoll
Das Security Bulletin MS16-077 für Windows beschreibt zwei Schwachstellen im Web Proxy Auto Discovery (WPAD) Protokoll. Eine davon war bereits vor Veröffentlichung des Bulletins bekannt: CVE-2016-3236. Auch diese Schwachstelle erlaubt eine Privilegieneskalation, und auch für diese Schwachstelle bedankt sich Microsoft bei niemanden. Laut Beschreibung von Microsoft kann die Schwachstelle von einem Angreifer dazu genutzt werden, auf Netzwerktraffic zuzugreifen, für den ihm eigentlich die nötigen Zugriffsrechte fehlen.
DoS-Schwachstelle in der Suchfunktion
Das Security Bulletin MS16-082 für Windows beschreibt eine 0-Day-Schwachstelle in der Suchfunktion: CVE-2016-3230 erlaubt es einem lokalen Angreifer, einen Server durch Überlastung lahm zu legen. Irgendwie kein besonders verlockender Angriff: Erst loggt man sich irgendwo ein, und dann startet man ein Programm, das dann nichts weiter macht, als den Rechner lahm zu legen. Das wäre dann wohl entweder ein sehr dummer oder ein sehr gnädiger Angreifer, denn wenn er sich bereits auf dem Server einloggen kann, kann er i.A. auch viel schlimmere Angriffe starten wie zum Beispiel Daten ausspähen.
Dann mal los: Patchen!
Wirklich kritisch ist die Schwachstelle im Flash Player, aber für den gibt es ja noch keine Patch. Stattdessen sollten Sie den einfach löschen, mehr als Löcher aufreißen macht der ja sowieso nicht.
Bei den Microsoft-Patches können sie den Empfehlungen von Microsoft oder ISC folgen, keine der behobenen Schwachstellen wird bisher angegriffen. Und einige der bisher nicht veröffentlichten Schwachstellen wie zum Beispiel die im DNS-Server (MS16-071) sind deutlich kritischer als die oben aufgeführten 0-Day-Schwachstellen.
Präparierte DNS-Anfragen, die zur Ausführung von Code führen, sind deutlich gefährlicher als die gefährlichste 0-Day-Schwachstelle. Das ist die Memory Corruption in Edge, da die für Drive-by-Infektionen genutzt werden kann.
Dafür müssen Sie aber auf einer präparierten Seite landen, Was zwar nicht mehr auszuschließen ist, seitdem die Drive-by-Infektionen so oft über manipulierte Werbung verbreitet werden, aber immerhin noch eine Zufallskomponente enthält. Die Angriffe auf die DNS-Server können dagegen gezielt erfolgen. Da muss niemand warten, bis ein Opfer zufällig auf eine präparierte Seite kommt.
Wobei das zugegebenermaßen auch zwei verschiedene Baustellen sind: Auf der einen Seite DNS-Server, auf der anderen Clients mit Edge. Sofern nicht gerade ein Admin mit seinem Job spielt und auf dem DNS-Server im Internet surft ist die Edge-Schwachstelle für die DNS-Server ungefährlich. Und umgekehrt gilt natürlich das gleiche, oder kennen Sie Windows-Clients, die im Nebenjob als DNS-Server im Internet arbeiten?
Trackbacks
Dipl.-Inform. Carsten Eilers am : Die 0-Day-Exploits 2016 im Überblick
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : 0-Day-Exploit für Flash Player unterwegs, bei Microsoft nur 0-Day-Schwachstellen gepatcht
Vorschau anzeigen