Von Wolfgang Kandek, CTO bei Qualys
Der Patchday März 2016 folgt unmittelbar auf eine ereignisreiche Woche bei der RSA-Konferenz 2016 in den USA, wo Qualys mit Branchenkollegen und Kunden über Themen der Sicherheit und des Datenschutzes sprach. Zahlreiche Diskussionen über Verschlüsselung und deren Funktion für den Schutz der Privatsphäre sowie die Auswirkungen auf die Strafverfolgung standen auf der Agenda. Beim Gespräch der Qualys-Experten mit Michael McCaul, Vorsitzender des Ausschusses für Innere Sicherheit, standen diese Fragen ebenfalls im Mittelpunkt. McCaul erklärte, dass sich der US-Kongress der Problematik bewusst sei und derzeit an Rechtsvorschriften arbeite, die Datenschutz und Datenzugriff in ein ausgewogenes Verhältnis bringen sollen.
Doch zurück zum eigentlichen Thema: dem Patchday 2016. Microsoft veröffentlicht diesmal 13 Bulletins, von denen fünf als kritisch eingestuft werden.
Platz Eins in der Aufstellung von Qualys gebührt in diesem Monat MS16-023 für Internet Explorer. Dieses Bulletin schließt 13 Sicherheitslücken, die allesamt als kritisch gelten. Eine Ausnutzung dieser kritischen Lecks erbringt das gefährlichste Resultat überhaupt: Remotecodeausführung (RCE), die dem Angreifer die komplette Kontrolle über den Rechner des Opfers verschafft. Solche Angriffe auf den Internet Explorer würden entweder von bösartigen Websites ausgehen, die speziell für diesen Zweck eingerichtet wurden, oder von ansonsten harmlosen Sites, in die Exploits eingeschleust wurden, um die regulären Besucher zu infizieren.
Für Nutzer von Windows 10, die sich zudem für den Browser Edge entschieden haben, liegt stattdessen MS16-024 an der Spitze. Insgesamt elf Schwachstellen, zehn davon kritisch: Das zeigt, dass die Sicherheitsforscher jetzt ihre Aufmerksamkeit auf Edge richten, der im Hinblick auf Schwachstellen gegenüber dem Internet Explorer allmählich an Boden verliert: im Dezember 2015 war der Stand noch bei 30:15, jetzt im März liegt man bei 13:11.
Weiter geht es auf der Liste mit dem Bulletin MS16-029, das eine neue Version von Microsoft Word enthält. Word wird häufig zur Verbreitung von Exploits genutzt, sowohl in Online-Dokumenten als auch in E-Mail-Anhängen. Die Anfälligkeiten erlauben dem Angreifer, auf den Zielcomputern Code auszuführen, und sollten deshalb schnellstmöglich behoben werden.
Der nächsten Gruppe von Schwachstellen, die behoben werden müssen, widmen sich die folgenden Bulletins: MS16-027 für Windows Media Player, MS16-026 für die OpenType-Schriftarten und MS16-028 für den neuen PDF-Reader unter Windows 8 und höher. Alle diese Anfälligkeiten sind kritisch und können einen Angreifer in die Lage versetzen, aus der Ferne Code auszuführen. Sie greifen komplexe Formatierungsfehler an: im Windows Media Player ist das Videoformat MPEG verwundbar, bei den OpenType-Schriftarten kann mittels einer Kreisreferenz die Rekursion missbraucht werden und beim PDF-Reader werden im PostScript-Interpreter Bereichsgrenzen unzureichend überprüft. Der unaufhaltsame Strom von Schwachstellen in diesen Bereichen zeigt, wie komplex die Medienformate sind, mit denen tagtäglich umgegangen wird.
Die restlichen Bulletins beseitigen Sicherheitslücken mit der Einstufung „hoch“. Diese Lücken kommen hauptsächlich ins Spiel, wenn ein Angreifer seine Rechte erweitern will. Das heißt, wenn er bereits eine kritische Schwachstelle ausgenutzt hat, um ins Zielsystem einzudringen. Die Schwachstellen sollte innerhalb der nächsten 45 Tage behoben werden, um einem sekundären Missbrauch dieser Art vorzubeugen.
Übrigens beseitigt nicht nur Microsoft PDF-Schwachstellen – Adobe veröffentlicht mit APSB16-09 eine neue Version von Adobe Reader und stopft damit drei kritische Sicherheitslecks. Verwenden User Adobe Reader oder Acrobat, sollte dieses Update auf ihrer Liste weit oben rangieren. APSB16-08 (APS16-07 im letzten Monat galt Adobe Connect) fehlt in der Aufstellung. Es ist zu vermuten, dass es sich dabei um ein Flash-Update handelt, das sich verzögert, weil entweder weitere Tests nötig sind oder weil in letzter Minute noch eine aktuelle Schwachstelle einbezogen werden sollte.
Bei Apple gibt es diesen Monat eine Premiere: Der beliebte Bit-Torrent-Client „Transmission“ wurde mit einem Trojaner infiziert, der Ransomware verbreitete. Glücklicherweise war diese Version nur weniger als zwölf Stunden zum Download verfügbar: Apple zog das Zertifikat dafür rasch ein und aktualisierte die Signaturen in xprotect. Trotzdem sollten Nutzer ihr Netzwerk überprüfen und Transmission 2.90 isolieren, falls sie diese Version finden.
Im März gibt es somit keine Zero-Days oder sofort ausnutzbaren Sicherheitslücken. Dennoch sollten die Patches baldmöglichst eingespielt werden, denn wie schnell Angreifer aus Schwachstellen Exploits machen können ist bekannt: Oft brauchen sie dazu nicht einmal zehn Tage.
