Kundenservice Veranstaltungen: 02234-9894940
Kundenservice Bücher: 089-21837921
Aboservice Zeitschriften: 089-21837110

Analyse des Patch Tuesday im September

Der September Patch Tuesday bringt Administratoren und IT-Sicherheitsspezialisten eine große Zahl an CVEs, einige allgemeine Veröffentlichungen und einen Zero Day. Grund genug, sich Sorgen zu machen. Daneben gibt es ein Flash Player-Update mit zwei CVEs, die einer gewissen Aufmerksamkeit bedürfen. Das US-amerikanische Unternehmen Ivanti hat die Patches kommentiert.

Den Anfang macht Microsoft: Der Patch Tuesday im September behebt 76 einzigartige Schwachstellen in insgesamt 14 Updates. Von diesen 14 Updates werden 11 als kritisch und 3 als wichtig eingestuft. Zugleich wurden in diesem Monat ein Zero Day und 3 Public Disclosures gemeldet. 

Die betroffenen Microsoft-Produkte sind:

  • Internet Explorer
  • Microsoft Edge
  • Microsoft Windows
  • Microsoft Office und Microsoft Office Services und Web Apps
  • Adobe Flash Player
  • Skype für Unternehmen und Lync
  • .NET-Framework
  • Microsoft Exchange Server

 

Das .Net Framework ist nach einer dreimonatigen Pause in diese Liste zurückgekehrt. Das letzte Update, das dazu gemeldet wurde stammt aus dem Mai. Das .NET Framework Update für September wird als wichtig eingestuft und löst nur ein CVE auf – unglücklicherweise aber das CVE, das als Zero Day gekennzeichnet wurde. Damit wurde öffentlich, dass das Framework vor der Veröffentlichung ungehemmt ausgenutzt werden konnte. CVE-2017-8759 ist eine Schwachstelle im Microsoft .Net Framework, indem es nicht vertrauenswürdige Eingaben verarbeitet. Dies ist eine Sicherheitslücke, in deren Mittelpunkt der Benutzer steht. Ein Angreifer könnte einen Nutzer davon überzeugen, ein schädliches Dokument oder eine bösartige Anwendung zu öffnen. Über diesen Weg wird es ihm möglich, die Kontrolle über das betroffene System zu übernehmen. Sollte der Benutzer so konfiguriert sein, dass er weniger Rechte als ein Voll-Administrator hat, fällt der Angriff etwas milder aus. In diesem Fall hätte der Angreifer nur die Möglichkeit, Aktionen im Kontext der Berechtigungen dieses Benutzers auszuführen. Diese Sicherheitslücke ist ein klassischer Fall der zeigt, warum Sicherheitsverantwortliche im Unternehmen immer das Prinzip des geringsten Privilegs über alle Nutzer hinweg implementieren sollten. Die Frage bleibt offen, warum CVE-2017-8759 nur als „wichtig“ eingestuft wurde – immerhin handelt es sich um eine anwenderspezifische Schwachstelle und wurde bereits ausgenutzt.

Die drei Public Disclosures in diesem Monat beziehen sich alle auf die Windows 10-Plattform – zwei Schwachstellen im Betriebssystem und eine im Edge-Browser. Alle drei weisen eine niedrige Bewertung hinsichtlich der Einstufung ihrer Ausnutzbarkeit auf. Die Tatsache, dass sie öffentlich bekannt gegeben wurden, zeigt allerdings auch, dass ein Angreifer ausreichend Informationen hat, um potenziell einen Exploit zu erzeugen. Public Disclosures sind ein Indikator für eine Bedrohung, auf die man achten sollte. Sie bergen ein höheres Risiko der Ausnutzung, da die meiste Arbeit zur Erkundung der Schwachstelle und die Suche nach Möglichkeiten, sie zu verwenden, für einen potenziellen Angreifer bereits getan wurde.

Device Guard Security Feature Bypass Vulnerability (CVE-2017-8746) - Ein Angreifer kann unter Umgehung der Device Guard Code Integrity-Richtlinie bösartigen Code in eine Windows PowerShell-Sitzung einfügen. Der Angreifer müsste dazu Zugriff auf den lokalen Rechner haben und dann bösartigen Code in ein Skript einfügen, dem die Code Integrity-Richtlinie vertraut.

Broadcom BCM43xx Remote Code Execution Vulnerability (CVE-2017-9417) - Ein Sicherheitsleck existiert im Broadcom-Chipsatz in HoloLens. Um auszunutzen, wie HoloLens mit Objekten im Speicher umgeht, könnte ein Angreifer ein speziell entwickeltes WiFi-Paket senden. Letztlich wäre der Angreifer damit in der Lage, Programme zu installieren, Daten einzusehen, zu ändern oder zu löschen und sogar neue Konten mit vollen Admin-Rechten zu erstellen.

 

(Foto: © SP-PIC/Fotolia.com)