Am 14. Juni hat Microsoft seinen monatlichen Patch Day abgehalten und 16 Security Bulletins veröffentlicht. Sie behandeln insgesamt 36 Sicherheitslücken, darunter als kritisch eingestufte Lücken in Windows, im Internet Explorer (IE), in Edge sowie in Microsoft Office. Außerdem gibt es auch wieder einmal Sicherheits-Updates für Exchange. Und auch sonst ist für Server-Admins einiges dabei, insbesondere die kritische Lücke im DNS-Server. Einige der Schwachstellen betreffen auch Windows Server 2016 Technical Preview 5, die kommende Server-Ausgabe von Windows 10, für die es ebenfalls Updates gibt.
MS16-063 – Internet Explorer (kritisch)
Im Internet Explorer beseitigt ein neues kumulatives Sicherheits-Update zehn Schwachstellen. Fünf der Lücken stecken im Script-Modul des Betriebssystems und sind über den IE ausnutzbar, um Code einzuschleusen und auszuführen. Eine Schwachstelle im XSS-Filter führt dazu, dass Javascript-Code nicht ordnungsgemäß überprüft wird, sodass ein Angreifer beliebigen Code mit den Rechten des Benutzers ausführen kann. Schließlich behebt das IE-Update noch eine Lücke in WPAD (Web Proxy Auto Discovery), durch die ein Angreifer Sicherheitsfunktionen umgehen und sich höhere Berechtigungen verschaffen kann. Diese Lücke treffen wir im Bulletin MS16-077 wieder.
MS16-068 – Edge (kritisch)
Im neuen Browser Edge für Windows 10 schließt Microsoft acht Sicherheitslücken, eine der Script-Lücken teilt sich Edge mit dem IE. Sechs Schwachstellen sind ausnutzbar, um Code einzuschleusen und auszuführen. Darunter ist eine Lücke, die sich mittels präparierter PDF-Dateien ausnutzen lässt. Zwei weitere PDF-Lücken können nur zum Datenklau genutzt werden. Die drei PDF-Schwachstellen begegnen uns nochmal im Bulletin MS16-080. Eine andere Schwachstelle (CVE-2016-3222) ist bereits zuvor durch Dritte veröffentlicht worden. Dies erhöht die Wahrscheinlichkeit eines Angriffs auf diese RCE-Lücke.
MS16-069 – JScript und VBScript (kritisch)
In diesem Bulletin werden die bereits beim IE erwähnten Schwachstellen im Script-Modul noch einmal separat behandelt. Dies geschieht, weil das IE-Update nur den IE 9 bis 11 abdichtet. Systeme mit älteren IE-Versionen, namentlich Vista und Server 2008, werden mit dem Update zu diesem Bulletin mit einem aktualisierten Script-Modul versorgt.
MS16-070 – Microsoft Office (kritisch)
In Microsoft Office 2007 bis 2016, einschließlich der Versionen für Mac, beseitigt der Hersteller insgesamt vier Sicherheitslücken, die ebenfalls geeignet sind, um eingeschleusten Code auszuführen. Ein Angreifer könnte dazu etwa ein speziell präpariertes Word-, Excel- oder Visio-Dokument per Mail versenden oder im Web zum Download anbieten. Mit RTF-Dateien funktioniert ein Angriff bereits in der Outlook-Vorschau. Neuere Office-Versionen sind nicht durch alle vier Lücken betroffen.
MS16-071 – DNS-Server (kritisch)
Der in Windows Server 2012 und 2012 R2 enthaltene DNS-Server weist eine Use-after-free-Lücke auf. Sendet ein Angreifer spezielle Anforderungen an den DNS-Server, könnte er beliebigen Code mit lokalen Systemrechten ausführen. Betroffen sind Systeme, die als DNS-Server eingerichtet sind.
MS16-072 – Gruppenrichtlinien (hoch)
Alle unterstützten Windows-Version machen einen Fehler bei der Verarbeitung von Gruppenrichtlinien. Ein Angreifer, der einen Man-in-the-Middle-Angriff auf den Datenverkehr zwischen einem PC und dem Domänencontroller ausführt, kann im Erfolgsfall höhere Berechtigungen erlangen. Dazu könnte er eine Gruppenrichtlinie erstellen, die einem normalen Benutzerkonto Administratorrechte zuweist.
MS16-073 – Kernelmodustreiber (hoch)
Dieses Bulletin behandelt zwei Schwachstellen in allen Windows-Versionen sowie eine dritte in Windows Server 2012 und 2012 R2. Eine Angreifer, der eine der beiden erstgenannten Lücken im Kernelmodustreiber win32k.sys ausnutzt, kann sich höhere Berechtigungen verschaffen. Die dritte Schwachstelle betrifft den virtuellen Dienstanbieter für Windows Virtual PCI (VPCI) und kann Speicherinhalte offenlegen, auf die der Angreifer keinen Zugriff haben sollte.
MS16-074 – Windows-Grafikkomponente (hoch)
Alle unterstützten Windows-Versionen, von Vista über RT bis Windows 10 sowie Server 2008 bis 2012 R2, enthalten Schwachstellen im Kernelmodustreiber (win32k.sys), in der für die Grafikausgabe zuständigen Systemkomponente (GDI32.dll) sowie in im Adobe Type Manager (Schriftartentreiber, atmfd.sys). Sie können ausgenutzt werden, um höhere Berechtigungen zu erlangen.
MS16-075 – SMB Server (hoch)
Der SMB-Server (Server Message Block) aller Windows-Versionen ist anfällig für Angriffe durch einen lokal angemeldeten Benutzer, der eine Authentifizierungsanforderung für einen anderen lokalen Dienst weiterleitet. Er könnte dadurch beliebigen Code mit höheren Rechten ausführen. Diese Schwachstelle war bereits zuvor öffentlich bekannt.
MS16-076 – Netlogon (hoch)
Eine Schwachstelle in allen bisherigen Server-Versionen entsteht dadurch, dass Windows Objekte im Speicher nicht ordnungsgemäß verarbeitet. Sendet ein in der Domäne angemeldeter Angreifer eine speziell präparierte Netlogon-Anforderung an den Domänencontroller, kann er sich höhere Berechtigungen verschaffen.
MS16-077 – WPAD (hoch)
Alle Windows-Versionen, einschließlich RT und Server, enthalten eine bereits öffentlich bekannte Sicherheitslücke im WPAD-Protokoll (Web Proxy Auto Discovery). Ein Angreifer kann die Lücke ausnutzen, Sicherheitsfunktionen umgehen und auf dem Zielsystem höhere Berechtigungen erlangen. Um umfassend geschützt zu sein, müssen Sie nicht nur das Sicherheits-Update zu diesem Bulletin installieren, sondern auch das kumulative Sicherheits-Update für den Internet Explorer aus MS16-063.
MS16-078 – Diagnosehub (hoch)
Der Standardsammlungsdienst des Windows-Diagnosehubs von Windows 10 bereinigt Benutzereingaben nicht ordnungsgemäß. Diese Schwachstelle kann es einem lokal angemeldeten Angreifer ermöglichen sich höhere Berechtigungen zu verschaffen und mit diesen Rechten beliebigen Code auszuführen.
MS16-079 – Exchange Server (hoch)
Nach einigen Monaten Pause schließt Microsoft wieder ein paar Lücken im Exchange Server. Betroffen sind alle Version von 2007 bis 2016. Eine Schwachstelle lässt sich ausnutzen, wenn ein Benutzer Mails mit Outlook Web Access (OWA) anzeigt. Mit in die Mail eingefügten Bild-URLs könnte ein Angreifer den Benutzer identifizieren und online verfolgen. Drei Lücken (Pufferüberlauf) in Oracle Outside In-Bibliotheken, die Oracle bereits im Januar beseitigt hat, werden nun auch im Exchange Server geschlossen.
MS16-080 – Windows-PDF (hoch)
Hier treffen wir die drei Lücken in Windows-PDF wieder, die uns bereits im Bulletin MS16-068 (Edge) begegnet sind. Der in Windows ab 8.1 integrierte PDF-Betrachter ist anfällig für Angriffe mit speziell präparierten PDF-Dateien. Während MS16-068 den Angriffspfad über Edge behandelt, geht es hier allgemein um das Öffnen präparierter PDF-Dateien. Eine der Lücken kann ausgenutzt werden, um eingeschleusten Code mit den Rechten des angemeldeten Benutzers auszuführen.
MS16-081 – Active Directory (hoch)
Windows Server 2008 R2, 2012 und 2012 R2 sind anfällig für DoS-Angriffe (Denial of Service) auf das Active Directory. Das Problem entsteht offenbar bereits dadurch, dass ein angemeldeter Benutzer mehrere Computerkonten erstellt. Der Active Directory-Dienst reagiert dann nicht mehr. Offen bleibt, wie viele Konten dazu erstellt werden müssen.
MS16-082 – Windows Search (hoch)
In allen Windows-Versionen außer Vista und Server 2008 (wohl aber Server 2008 R2) ist Windows Search anfällig für DoS-Angriffe. Ein angemeldeter Angreifer könnte die Server-Verfügbarkeit stark beeinträchtigen, indem er eine speziell präparierte Anwendung ausführt. Auch diese Schwachstelle ist bereits durch Dritte veröffentlicht worden.
Update 17.06.2016:
MS16-083 – Flash Player (kritisch)
Dieses am 16. Juni veröffentlichte Security Bulletin dokumentiert das durch Microsoft ausgelieferte Flash Player Update für Edge und den Internet Explorer 10 und 11, der ab Windows 8 einen integrierten Flash Player mitbringt. Microsoft listet zwei Flash-Lücken mehr auf als Adobe. Unter den 38 Schwachstellen ist mit CVE-2016-4171 auch eine, die bereits für gezielte Angriffe ausgenutzt wird.
–Update Ende–
Vier der in den Security Bulletins dieses Update-Dienstags behandelten Sicherheitslücken wurden bereits vorab veröffentlicht. Zwar sind bislang noch keine Angriffe auf eine der Lücken bekannt geworden, das kann sich jedoch bald ändern. Potenzielle Angreifer hatten mehr Zeit nach den Details der Schwachstellen zu forschen und könnten nun durch Analyse der Updates ans Ziel gelangen.
Außerdem stellt Microsoft auch im Juni eine aktualisierte Fassung seines Windows-Tool zum Entfernen bösartiger Software bereit.
Bulletin | Risikostufe | Ausnutz-barkeit | Effekt | anfällige Software/Komponente(n) | Neustartnötig? |
kritisch | 1 | RCE | Windows (alle); Internet Explorer 9 bis 11 | ja | |
kritisch | 1 | RCE | Windows 10; Edge | ja | |
kritisch | 1 | RCE | Windows Vista, Server 2008; VBScript, JScript | u.U. | |
kritisch | 1 | RCE | MS Office (alle, inkl. Mac); Visio, Word, Viewer | u.U. | |
kritisch | 2 | RCE | Windows Server 2012, 2012 R2; DNS-Server | ja | |
hoch | 2 | EoP | Windows (alle); Gruppenrichtlinien | ja | |
hoch | 1 | EoP | Windows (alle); Kernelmodustreiber | ja | |
hoch | 1 | EoP | Windows (alle); Grafikkomponente (GDI32.dll), Kernelmodustreiber (Win32k.sys), Schriftartentreiber (ATMFD.dll) | ja | |
hoch | 3 | EoP | Windows (alle); SMB Server | ja | |
hoch | 2 | RCE | Windows Server (alle); Netlogon | ja | |
hoch | 1 | EoP | Windows (alle); WPAD (Web Proxy Auto Discovery) | ja | |
hoch | 1 | EoP | Windows 10; Diagnosehub | ja | |
hoch | 3 | ID | Exchange Server (alle); OWA (Outlook Web Access), Oracle Outside In, Oracle OIT | u.U. | |
hoch | 2 | RCE | Windows 8.1, 10, Server 2012, 2012 R2; Windows-PDF | u.U. | |
hoch | 3 | DoS | Windows Server 2008 R2, 2012, 2012 R2; Active Directory | ja | |
hoch | 3 | DoS | Windows (alle außer Vista, Server 2008); Windows Search | ja | |
am 16.06.2016 veröffentlicht: | |||||
kritisch | 0 | RCE | Internet Explorer 10 und 11, Edge; integrierter Flash Player | ja |
u.U. – unter Umständen
RCE – Remote Code Execution: eingeschleuster Code wird ausgeführt
EoP – Elevation of Privilege: Ausweitung von Berechtigungen
DoS – Denial of Service: Dienstverweigerung / Software-Absturz
SFB – Security Feature Bypass: Umgehen einer Sicherheitsfunktion
Ausnutzbarkeit:
0 – wird bereits ausgenutzt
1 – Ausnutzung wahrscheinlich
2 – Ausnutzung weniger wahrscheinlich
3 – Ausnutzung unwahrscheinlich
(PC-Welt)