Gepostet von Amol Sawate, Director of Engineering Qualys in „The Laws of Vulnerabilities“
Gutes Neues Jahr allerseits – und nun sind wir bereits beim ersten Patchday 2017 angelangt, an dem Microsoft nur drei Sicherheitslücken schließt. Das macht diesen Patch-Monat zu einem der bescheidensten aller Zeiten. Veröffentlicht wurden Patches für Microsoft Office, den Browser Edge sowie LSASS. Systemadministratoren werden sich über dieses ungewöhnlich schmale Patch-Update mit Sicherheit freuen. An dieser Stelle ist daran zu erinnern, dass Microsoft im kommenden Monat das bestehende System einstellen wird, bei dem die Benutzer jeden Monat ein Dokument erhalten. Ersetzt wird es durch einen Leitfaden für Sicherheitsupdates, der als „zentrale Anlaufstelle für Informationen zu Sicherheitsanfälligkeiten“ dienen soll. Das neue Sicherheitsportal basiert auf einer Online-Datenbank: Statt durch einen Index mit Dokumenten navigieren zu müssen, können die Benutzer die Datenbank sortieren, durchsuchen und filtern, um Details zu einem bestimmten Sicherheitsbulletin und den damit verbundenen Updates zu finden.
Von den heutigen Updates ist für Windows Server 2008-Administratoren das Bulletin MS17- 004 am vordringlichsten, das den Subsystemdienst für die lokale Sicherheitsautorität (LSASS) betrifft. Es behebt einen Denial-of-Service-Fehler, mit dessen Hilfe ein nicht authentifizierter Angreifer einen automatischen Neustart des Systems auslösen könnte. Um diese Sicherheitslücke auszunützen, kann der Angreifer eine speziell gestaltete Authentifizierungsanfrage senden, die dann zum Neustart führt. Diese Sicherheitslücke, CVE-2017-0004, wurde bereits vor der Bereitstellung des Patches öffentlich bekannt gemacht, und so könnte bald ein PoC-Exploit verfügbar werden. Windows 7 und Vista sind von diesem Problem ebenfalls betroffen.
Für Workstations hat das kritische Office-Bulletin MS17-002 oberste Priorität, das Word 2016 und SharePoint 2016 betrifft. Es behebt eine Sicherheitsanfälligkeit, die ein Angreifer ausnützen könnte, indem er eine bösartige Datei als Anhang versendet. Wird diese Datei mit der anfälligen Software geöffnet, könnte der Angreifer das System komplett übernehmen.
Das Bulletin MS17-001 für Microsoft Edge betrifft Windows 10 und Windows Server 2016. Es schließt eine Sicherheitslücke, die es Angreifern ermöglicht, auf Informationen von einer Domäne zuzugreifen und sie in eine andere einzuschleusen. Auf diese Weise kann sich der Angreifer erweiterte Rechte verschaffen. Auch diese Sicherheitslücke, CVE-2017-0002, wurde bereits vor Verfügbarkeit des Patches öffentlich bekannt gemacht.
Eine DoS-Anfälligkeit in Server 2008, die von nicht authentifizierten Angreifern ausgenutzt werden kann, und eine kritische Schwachstelle in Word 2016, die Remotecodeausführung auf Workstations ermöglicht – alles in allem ein Patchday, der Administratoren keine großen Belastungen aufbürdet.