Patch-Day II

Microsoft stopft 36 Lücken in Windows und Office

Frank Ziemann war 20 Jahre lang selbstständiger IT-Sicherheitsberater und Übersetzer englischsprachiger Fachartikel. Er ist Gründer des Hoax-Info-Service (http://hoax-info.de) an der TU Berlin, den er seit 1997 betreibt.
Beim Update-Dienstag für den Monat Juni hat Microsoft 16 Security Bulletins veröffentlicht, die 36 Sicherheitslücken behandeln. Fünf Bulletins befassen sich mit als kritisch eingestuften Schwachstellen.

Am 14. Juni hat Microsoft seinen monatlichen Patch Day abgehalten und 16 Security Bulletins veröffentlicht. Sie behandeln insgesamt 36 Sicherheitslücken, darunter als kritisch eingestufte Lücken in Windows, im Internet Explorer (IE), in Edge sowie in Microsoft Office. Außerdem gibt es auch wieder einmal Sicherheits-Updates für Exchange. Und auch sonst ist für Server-Admins einiges dabei, insbesondere die kritische Lücke im DNS-Server. Einige der Schwachstellen betreffen auch Windows Server 2016 Technical Preview 5, die kommende Server-Ausgabe von Windows 10, für die es ebenfalls Updates gibt.

MS16-063 – Internet Explorer (kritisch)
Im Internet Explorer beseitigt ein neues kumulatives Sicherheits-Update zehn Schwachstellen. Fünf der Lücken stecken im Script-Modul des Betriebssystems und sind über den IE ausnutzbar, um Code einzuschleusen und auszuführen. Eine Schwachstelle im XSS-Filter führt dazu, dass Javascript-Code nicht ordnungsgemäß überprüft wird, sodass ein Angreifer beliebigen Code mit den Rechten des Benutzers ausführen kann. Schließlich behebt das IE-Update noch eine Lücke in WPAD (Web Proxy Auto Discovery), durch die ein Angreifer Sicherheitsfunktionen umgehen und sich höhere Berechtigungen verschaffen kann. Diese Lücke treffen wir im Bulletin MS16-077 wieder.

MS16-068 – Edge (kritisch)
Im neuen Browser Edge für Windows 10 schließt Microsoft acht Sicherheitslücken, eine der Script-Lücken teilt sich Edge mit dem IE. Sechs Schwachstellen sind ausnutzbar, um Code einzuschleusen und auszuführen. Darunter ist eine Lücke, die sich mittels präparierter PDF-Dateien ausnutzen lässt. Zwei weitere PDF-Lücken können nur zum Datenklau genutzt werden. Die drei PDF-Schwachstellen begegnen uns nochmal im Bulletin MS16-080. Eine andere Schwachstelle (CVE-2016-3222) ist bereits zuvor durch Dritte veröffentlicht worden. Dies erhöht die Wahrscheinlichkeit eines Angriffs auf diese RCE-Lücke.

MS16-069 – JScript und VBScript (kritisch)
In diesem Bulletin werden die bereits beim IE erwähnten Schwachstellen im Script-Modul noch einmal separat behandelt. Dies geschieht, weil das IE-Update nur den IE 9 bis 11 abdichtet. Systeme mit älteren IE-Versionen, namentlich Vista und Server 2008, werden mit dem Update zu diesem Bulletin mit einem aktualisierten Script-Modul versorgt.

MS16-070 – Microsoft Office (kritisch)
In Microsoft Office 2007 bis 2016, einschließlich der Versionen für Mac, beseitigt der Hersteller insgesamt vier Sicherheitslücken, die ebenfalls geeignet sind, um eingeschleusten Code auszuführen. Ein Angreifer könnte dazu etwa ein speziell präpariertes Word-, Excel- oder Visio-Dokument per Mail versenden oder im Web zum Download anbieten. Mit RTF-Dateien funktioniert ein Angriff bereits in der Outlook-Vorschau. Neuere Office-Versionen sind nicht durch alle vier Lücken betroffen.

MS16-071 – DNS-Server (kritisch)
Der in Windows Server 2012 und 2012 R2 enthaltene DNS-Server weist eine Use-after-free-Lücke auf. Sendet ein Angreifer spezielle Anforderungen an den DNS-Server, könnte er beliebigen Code mit lokalen Systemrechten ausführen. Betroffen sind Systeme, die als DNS-Server eingerichtet sind.

MS16-072 – Gruppenrichtlinien (hoch)
Alle unterstützten Windows-Version machen einen Fehler bei der Verarbeitung von Gruppenrichtlinien. Ein Angreifer, der einen Man-in-the-Middle-Angriff auf den Datenverkehr zwischen einem PC und dem Domänencontroller ausführt, kann im Erfolgsfall höhere Berechtigungen erlangen. Dazu könnte er eine Gruppenrichtlinie erstellen, die einem normalen Benutzerkonto Administratorrechte zuweist.

MS16-073 – Kernelmodustreiber (hoch)
Dieses Bulletin behandelt zwei Schwachstellen in allen Windows-Versionen sowie eine dritte in Windows Server 2012 und 2012 R2. Eine Angreifer, der eine der beiden erstgenannten Lücken im Kernelmodustreiber win32k.sys ausnutzt, kann sich höhere Berechtigungen verschaffen. Die dritte Schwachstelle betrifft den virtuellen Dienstanbieter für Windows Virtual PCI (VPCI) und kann Speicherinhalte offenlegen, auf die der Angreifer keinen Zugriff haben sollte.

MS16-074 – Windows-Grafikkomponente (hoch)
Alle unterstützten Windows-Versionen, von Vista über RT bis Windows 10 sowie Server 2008 bis 2012 R2, enthalten Schwachstellen im Kernelmodustreiber (win32k.sys), in der für die Grafikausgabe zuständigen Systemkomponente (GDI32.dll) sowie in im Adobe Type Manager (Schriftartentreiber, atmfd.sys). Sie können ausgenutzt werden, um höhere Berechtigungen zu erlangen.

MS16-075 – SMB Server (hoch)
Der SMB-Server (Server Message Block) aller Windows-Versionen ist anfällig für Angriffe durch einen lokal angemeldeten Benutzer, der eine Authentifizierungsanforderung für einen anderen lokalen Dienst weiterleitet. Er könnte dadurch beliebigen Code mit höheren Rechten ausführen. Diese Schwachstelle war bereits zuvor öffentlich bekannt.

MS16-076 – Netlogon (hoch)
Eine Schwachstelle in allen bisherigen Server-Versionen entsteht dadurch, dass Windows Objekte im Speicher nicht ordnungsgemäß verarbeitet. Sendet ein in der Domäne angemeldeter Angreifer eine speziell präparierte Netlogon-Anforderung an den Domänencontroller, kann er sich höhere Berechtigungen verschaffen.

MS16-077 – WPAD (hoch)
Alle Windows-Versionen, einschließlich RT und Server, enthalten eine bereits öffentlich bekannte Sicherheitslücke im WPAD-Protokoll (Web Proxy Auto Discovery). Ein Angreifer kann die Lücke ausnutzen, Sicherheitsfunktionen umgehen und auf dem Zielsystem höhere Berechtigungen erlangen. Um umfassend geschützt zu sein, müssen Sie nicht nur das Sicherheits-Update zu diesem Bulletin installieren, sondern auch das kumulative Sicherheits-Update für den Internet Explorer aus MS16-063.

MS16-078 – Diagnosehub (hoch)
Der Standardsammlungsdienst des Windows-Diagnosehubs von Windows 10 bereinigt Benutzereingaben nicht ordnungsgemäß. Diese Schwachstelle kann es einem lokal angemeldeten Angreifer ermöglichen sich höhere Berechtigungen zu verschaffen und mit diesen Rechten beliebigen Code auszuführen.

MS16-079 – Exchange Server (hoch)
Nach einigen Monaten Pause schließt Microsoft wieder ein paar Lücken im Exchange Server. Betroffen sind alle Version von 2007 bis 2016. Eine Schwachstelle lässt sich ausnutzen, wenn ein Benutzer Mails mit Outlook Web Access (OWA) anzeigt. Mit in die Mail eingefügten Bild-URLs könnte ein Angreifer den Benutzer identifizieren und online verfolgen. Drei Lücken (Pufferüberlauf) in Oracle Outside In-Bibliotheken, die Oracle bereits im Januar beseitigt hat, werden nun auch im Exchange Server geschlossen.

MS16-080 – Windows-PDF (hoch)
Hier treffen wir die drei Lücken in Windows-PDF wieder, die uns bereits im Bulletin MS16-068 (Edge) begegnet sind. Der in Windows ab 8.1 integrierte PDF-Betrachter ist anfällig für Angriffe mit speziell präparierten PDF-Dateien. Während MS16-068 den Angriffspfad über Edge behandelt, geht es hier allgemein um das Öffnen präparierter PDF-Dateien. Eine der Lücken kann ausgenutzt werden, um eingeschleusten Code mit den Rechten des angemeldeten Benutzers auszuführen.

MS16-081 – Active Directory (hoch)
Windows Server 2008 R2, 2012 und 2012 R2 sind anfällig für DoS-Angriffe (Denial of Service) auf das Active Directory. Das Problem entsteht offenbar bereits dadurch, dass ein angemeldeter Benutzer mehrere Computerkonten erstellt. Der Active Directory-Dienst reagiert dann nicht mehr. Offen bleibt, wie viele Konten dazu erstellt werden müssen.

MS16-082 – Windows Search (hoch)
In allen Windows-Versionen außer Vista und Server 2008 (wohl aber Server 2008 R2) ist Windows Search anfällig für DoS-Angriffe. Ein angemeldeter Angreifer könnte die Server-Verfügbarkeit stark beeinträchtigen, indem er eine speziell präparierte Anwendung ausführt. Auch diese Schwachstelle ist bereits durch Dritte veröffentlicht worden.

Update 17.06.2016:

MS16-083 – Flash Player (kritisch)
Dieses am 16. Juni veröffentlichte Security Bulletin dokumentiert das durch Microsoft ausgelieferte Flash Player Update für Edge und den Internet Explorer 10 und 11, der ab Windows 8 einen integrierten Flash Player mitbringt. Microsoft listet zwei Flash-Lücken mehr auf als Adobe. Unter den 38 Schwachstellen ist mit CVE-2016-4171 auch eine, die bereits für gezielte Angriffe ausgenutzt wird.

–Update Ende

Vier der in den Security Bulletins dieses Update-Dienstags behandelten Sicherheitslücken wurden bereits vorab veröffentlicht. Zwar sind bislang noch keine Angriffe auf eine der Lücken bekannt geworden, das kann sich jedoch bald ändern. Potenzielle Angreifer hatten mehr Zeit nach den Details der Schwachstellen zu forschen und könnten nun durch Analyse der Updates ans Ziel gelangen.

Außerdem stellt Microsoft auch im Juni eine aktualisierte Fassung seines Windows-Tool zum Entfernen bösartiger Software bereit.

Bulletin

Risikostufe

Ausnutz-barkeit

Effekt

anfällige Software/Komponente(n)

Neustartnötig?

MS16-063

kritisch

1

RCE

Windows (alle); Internet Explorer 9 bis 11

ja

MS16-068

kritisch

1

RCE

Windows 10; Edge

ja

MS16-069

kritisch

1

RCE

Windows Vista, Server 2008; VBScript, JScript

u.U.

MS16-070

kritisch

1

RCE

MS Office (alle, inkl. Mac); Visio, Word, Viewer

u.U.

MS16-071

kritisch

2

RCE

Windows Server 2012, 2012 R2; DNS-Server

ja

MS16-072

hoch

2

EoP

Windows (alle); Gruppenrichtlinien

ja

MS16-073

hoch

1

EoP

Windows (alle); Kernelmodustreiber

ja

MS16-074

hoch

1

EoP

Windows (alle); Grafikkomponente (GDI32.dll), Kernelmodustreiber (Win32k.sys), Schriftartentreiber (ATMFD.dll)

ja

MS16-075

hoch

3

EoP

Windows (alle); SMB Server

ja

MS16-076

hoch

2

RCE

Windows Server (alle); Netlogon

ja

MS16-077

hoch

1

EoP

Windows (alle); WPAD (Web Proxy Auto Discovery)

ja

MS16-078

hoch

1

EoP

Windows 10; Diagnosehub

ja

MS16-079

hoch

3

ID

Exchange Server (alle); OWA (Outlook Web Access), Oracle Outside In, Oracle OIT

u.U.

MS16-080

hoch

2

RCE

Windows 8.1, 10, Server 2012, 2012 R2; Windows-PDF

u.U.

MS16-081

hoch

3

DoS

Windows Server 2008 R2, 2012, 2012 R2; Active Directory

ja

MS16-082

hoch

3

DoS

Windows (alle außer Vista, Server 2008); Windows Search

ja

am 16.06.2016 veröffentlicht:

MS16-083

kritisch

0

RCE

Internet Explorer 10 und 11, Edge; integrierter Flash Player

ja

u.U. – unter Umständen
RCE – Remote Code Execution: eingeschleuster Code wird ausgeführt
EoP – Elevation of Privilege: Ausweitung von Berechtigungen
DoS – Denial of Service: Dienstverweigerung / Software-Absturz
SFB – Security Feature Bypass: Umgehen einer Sicherheitsfunktion

Ausnutzbarkeit:
0 – wird bereits ausgenutzt
1 – Ausnutzung wahrscheinlich
2 – Ausnutzung weniger wahrscheinlich
3 – Ausnutzung unwahrscheinlich

(PC-Welt)

Zur Startseite