von Wolfgang Kandek, CTO von Qualys
Patchday Juni 2015 – in der Jahresmitte angekommen, gibt es diesen Monat acht Microsoft-Bulletins, womit die Gesamtzahl für das Jahr 2015 auf 63 steigt. Vier der neuen Bulletins stopfen Sicherheitslücken, die Remotecodeausführung (RCE) ermöglichen, und eines beseitigt eine öffentlich bekannt gegebene Kernel-Schwachstelle, für die bis jetzt noch keine Exploits aufgetaucht sind. Seltsamerweise klafft in Microsofts Line-up ein „Loch“ – ein Bulletin, MS15-058, ist anscheinend noch nicht zur Veröffentlichung bereit.
Der Internet Explorer (IE) rangiert bei den Empfehlungen in diesem Jahr ganz oben, genau wie schon in den zwölf Monaten davor, nur gelegentlich verdrängt von noch dringlicheren 0-Day-Lücken in Produkten von Microsoft und Adobe. Das liegt daran, dass Sicherheitsforscher laufend zahlreiche Sicherheitsmängel im IE melden – im Durchschnitt mehr als 20 pro Monat.
Angreifer können diese Lücken durch Vorher-Nachher-Vergleiche des Browsers nachkonstruieren und dann Exploits für die vielversprechendsten (beständigsten) Lücken entwickeln. Schnelles Patchen hilft jedoch als Verteidigung gegen derartige Exploits. Hierbei ist zu empfehlen, die IE-Updates innerhalb einer Woche zu verteilen, um den Angreifern eine Nasenlänge voraus zu bleiben. Der neueste Microsoft Security Intelligence Report, analysiert die Zeitabläufe für die Entwicklung und Verbreitung von Exploits für eine Sicherheitslücke, die Ende letzten Jahres mit dem Bulletin MS14-064 geschlossen wurde und gewährt Einblicke in die Art und Weise, wie Angreifer Exploits ausrollen.
Doch zurück ins Jahr 2015: MS15-056 ist das kumulative Update für Internet Explorer (IE) in diesem Monat und stopft 24 Sicherheitslecks. Darunter sind 20 kritische Anfälligkeiten, die Remotecodeausführung ermöglichen und von Angreifern mithilfe einer in böswilliger Absicht erstellten Webseite ausgenutzt werden können . Sämtliche IE- und Windows-Versionen sind betroffen. Nutzer sollten diese Patches daher als erste sowie schnellstmöglich installieren.
Die zweithöchste Priorität gilt dem Update MS15-059 für Microsoft Office, das alle aktuellen Versionen betrifft – 2007, 2010 und 2013. Der Angreifer muss hier seine Zielperson dazu bringen, eine speziell gestaltete Datei mit Word oder einem anderen Office-Tool zu öffnen, und kann dann deren Computer übernehmen. Microsoft stuft dieses Bulletin zwar nur als „wichtig“ ein, dennoch sollte es als eines der vorrangigen betrachtet werden. Die Tatsache, dass RCE möglich ist, plus die Leichtigkeit, mit der ein Angreifer ein Opfer mittels Social Engineering zum Öffnen eines Dateianhangs verleiten kann, machen diese Schwachstelle hoch riskant.
Platz 3 belegt in diesem Monat Adobe Flash. Der Patch Monat schließt 13 Sicherheitslücken, von denen vier als kritisch bewertet werden. Auch Adobe Flash wird aufgrund seiner Flexibilität und seiner umfangreichen Programmiermöglichkeiten häufig von Angreifern missbraucht, weshalb der Installation des Patches APSB15-11 hohe Priorität einzuräumen ist. Bei der Verwendung von Google Chrome oder IE10/11 verwenden, haben Nutzer etwas weniger Arbeit, da diese Browser ihnen das Patchen von Flash abnehmen. Bei anderen Browsern wie Firefox, Opera oder Safari auf dem Mac ist der Flash-Patch manuell zu installieren.
Als Nächstes sollten die Updates MS15-057 und MS15-060 verteilt werden. Die Schwachstellen, die damit geschlossen werden, gelten beide als „kritisch“ und können von Angreifern genutzt werden, um die Kontrolle über ein System zu übernehmen. MS15-057 stopft eine Lücke im Windows Media Player, die ein Angreifer ausnutzen kann, indem er seinem Opfer eine manipulierte Mediendatei unterschiebt. Wenn das Opfer eine solche Datei öffnet – sei es im Internet oder als Dateianhang – wird der Exploit-Code ausgeführt und gibt dem Angreifer die vollständige Kontrolle. MS15-060 ist eine Anfälligkeit in den allgemeinen Windows-Steuerelementen, auf die mit den Entwicklertools des Internet Explorers zugegriffen werden kann. Ein Angreifer muss diese Tools aufrufen, um Erfolg zu haben. Microsoft beschreibt einen Workaround, der darin besteht, den Entwicklermodus des Internet Explorers zu deaktivieren. Dies ist eine gute Defense-in-Depth-Maßnahme, die Nutzer bei ihren Rechnern in Erwägung ziehen sollten.
Die restlichen Updates beseitigen zum einen lokale Probleme im Windows-Kernel (MS15-061 und MS15-063) und zum anderen serverseitige Probleme: MS15-062 behebt eine Sicherheitsanfälligkeit in ADFS, während MS15-064 Sicherheitslücken im Microsoft Exchange Server schließt, die sich alle in der Outlook Web Access-Komponente befinden.
Wie immer gilt: Die Patches sollten schnell – möglichst in einem Zeitraum von weniger als zwei Wochen – eingespielt werden. Und noch ein kleiner Ausblick: Im nächsten Monat werden neben der üblichen Ladung Microsoft- und Adobe-Updates auch noch Oracle-Patches ins Haus stehen.