Patchday Februar 2016: Update für Adobe Flash stopft 22 kritische Sicherheitslücken

Wolfgang Kandek (CTO)~20110624

Von Wolfgang Kandek, CTO bei Qualys

Nach einem sanften Start mit neun Bulletins im Januar verteilt Microsoft im Februar zwölf Sicherheitspakete (darunter fünf kritische), was dem Durchschnitt des vergangenen Jahres von 12,25/Monat entspricht. Eigentlich sind es in diesem Monat sogar 13 Bulletins, doch beim letzten – MS16-022 – handelt es sich eher um eine Verpackungsänderung. Dieses Update betrifft Adobe Flash, ein Software-Paket, das Microsoft im Internet Explorer 10 und 11 schon seit dreieinhalb Jahren selbst aktualisiert. Bisher wurde dieses Update mit der Sicherheitsempfehlung KB2755801 verfolgt. Jetzt gibt es dafür ein richtiges Bulletin. Das neue Format erleichtert auf jeden Fall die Handhabung und Nachverfolgung. Keine der hier beschriebenen Sicherheitslücken wird „in the wild“ angegriffen, doch da viele von Microsoft und Adobe als leicht ausnutzbar eingestuft werden, sollten sie schnell geschlossen werden.

MS16-022 führt die Prioritätsliste bei Qualys in diesem Monat an. Das Update für Adobe Flash (APSB16-04) stopft 22 Sicherheitslücken, die alle als „kritisch“ bewertet werden – das heißt, sie können dem Angreifer die komplette Kontrolle über den Zielrechner verschaffen. Die möglichen Angriffsszenarien reichen dabei von kompromittierten, aber ansonsten harmlosen Websites (man denke hier an einige der jüngsten WordPress-Probleme), die auf manipulierte und vom Angreifer kontrollierte Domains verlinken, bis hin zu eingebetteten Flash-Inhalten in Dateien wie etwa Office-Dokumenten, auf die die Opfer via E-Mail zugreifen. Zudem haben die Angreifer im letzten Jahr gezeigt, dass sie in Flash-basierte Angriffe investieren. Deshalb ist dieses Bulletin in diesem Monat der Spitzenreiter.

MS16-015 belegt auf Liste von Qualys Platz 2. Dieses Update stopft sieben Lücken in Microsoft Office – in Word, Excel und Sharepoint. Die Schwachstellen in Word, CVE-2016-0022, CVE-2016-0052 und CVE-2016-0053, betreffen allesamt das Dateiformat RTF, können ohne Benutzerintervention über das Vorschaufenster in Outlook ausgelöst werden und sind als „kritisch“ eingestuft. Überraschend ist, dass Microsoft hier keine schadensbegrenzenden Faktoren aufführt. Allerdings ist davon auszugehen, dass die in MS14-017 genannten Konfigurationsänderungen immer noch greifen:

  • E-Mails in Outlook im Nur-Text-Format lesen
  • RTF-Dateien in Microsoft Word mit der Dateiblockierungsrichtlinie deaktivieren

Die nächsten Updates auf der Qualys-Liste sind MS16-009 für Internet Explorer und MS16-011 für Microsoft Edge. Sie beseitigen dreizehn bzw. sechs Anfälligkeiten, von denen sieben bzw. vier als kritisch gelten. Ausgenutzt würden diese Anfälligkeiten beim Websurfen: mittels bösartiger Websites, auf die Ihr Benutzer direkt zugreift, mittels Manipulation von Suchmaschinenergebnissen, die zum Besuch einer speziell präparierten Website verleiten, durch die Kompromittierung einer ansonsten legitimen Website oder sogar über ein Werbenetzwerk. Dieser Angriffsvektor ist einer der größten im Unternehmen, weshalb sich ein schnelles Patchen diese Schwachstellen empfiehlt.

Letzten Monat hat Microsoft die Unterstützung für ältere Versionen des Internet Explorers auf den verschiedenen Betriebssystemen eingestellt; Updates gibt es jetzt nur noch für den jeweils neuesten Browser auf jeder Plattform. Was dabei im Einzelnen gilt, wird in Microsofts Informationen zum Lebenszyklus beschrieben, doch für die meisten Endgeräte (Windows 7, 8.1 und 10) ist die aktuelle Browserversion Internet Explorer 11. Alles andere wird nicht mehr unterstützt und setzt User einem Angriffsvektor aus, der im Lauf der Zeit nur schwer im Griff zu behalten sein wird.

Das nächste kritische Bulletin ist MS16-013 und gilt Microsoft Journal. Diese Sicherheitslücke wird ausgelöst, wenn eine manipulierte Datei mit der Erweiterung .JNL geöffnet wird. Unter Windows 7 kann man die Dateitypzuordnung entfernen und so den Angriff neutralisieren. Das ist eine sinnvolle Maßnahme, weil es einen stetigen Strom von Patches gibt – MS15-114, MS15-098, MS15-045 etc. –, die herabgestuft werden könnten, wenn User am Öffnen dieser Dateien gehindert würden.

Das letzte kritische Bulletin betrifft den Microsoft PDF-Reader, der nur unter Windows 8.1, 10 und Server 2012 verfügbar ist. Daher ist MS16-012 nur für die User relevant, die neuere Windows-Versionen verwenden. Dies ist der erste Patch für diese Software und es wird interessant sein zu sehen, wie viele weitere Sicherheitslücken Sicherheitsforscher hier finden können.

Doch es gibt noch weitere interessante Patches: Mit MS16-014 und MS16-018 wird Windows selbst gepatcht. MS16-016 schließt eine Sicherheitslücke im WebDAV-Client, die eine Erhöhung von Berechtigungen ermöglichen kann; MS16-017 kann ebenfalls zur Erhöhung von Berechtigungen ausgenutzt werden, wenn RDP über das Internet zugänglich ist, jedoch muss der Angreifer bereits authentifiziert sein. MS16-020 behebt eine DoS-Schwachstelle in Active Directory und MS16-021 eine ähnliche Anfälligkeit in Radius.

Wie immer ist es hilfreich, über ein genaues Verzeichnis der installierten Software zu verfügen, um leichter entscheiden zu können, worum man sich zuerst kümmert. Automatische Updates, wo immer sie möglich sind – auf gewöhnlichen Endnutzer-Rechnern zum Beispiel –, verringern hierbei die Belastungen, die durch aktive Rollouts von Patches entstehen.