Ivanti-Analyse des Patch Tuesday im September: große Zahl an kritischen Updates und anwenderfokussierte Angriffe

FRANKFURT — 13. September 2017 —

Der September Patch Tuesday bringt Administratoren und IT-Sicherheitsspezialisten eine große Zahl an CVEs, einige allgemeine Veröffentlichungen und einen Zero Day. Grund genug, sich Sorgen zu machen. Daneben gibt es ein Flash Player-Update mit zwei CVEs, die einer gewissen Aufmerksamkeit bedürfen. Die Nachrichten, die sich nicht direkt auf Patches beziehen, wurden am Dienstag vom Datenleck bei Equifax beherrscht, wobei das Unternehmen durch einen groß angelegten Dateneinbruch in die Schlagzeilen kam. Der Fall hat einige Kontroversen und dunkle Wolken am Horizont nach sich gezogen. Denn der neueste Teaser von „The Shadow Brokers“ deutet Dinge an, die Sicherheitsverantwortliche in Zukunft betreffen werden. Auf diese allgemeinen Nachrichten zum Thema Sicherheit soll später noch eingegangen werden.

Den Anfang macht allerdings Microsoft: Der Patch Tuesday im September behebt 76 einzigartige Schwachstellen in insgesamt 14 Updates. Von diesen 14 Updates werden 11 als kritisch und 3 als wichtig eingestuft. Zugleich wurden in diesem Monat ein Zero Day und 3 Public Disclosures gemeldet.  

Die betroffenen Microsoft-Produkte sind:

  • Internet Explorer
  • Microsoft Edge
  • Microsoft Windows
  • Microsoft Office und Microsoft Office Services und Web Apps
  • Adobe Flash Player
  • Skype für Unternehmen und Lync
  • .NET-Framework
  • Microsoft Exchange Server

Das .Net Framework ist nach einer dreimonatigen Pause in diese Liste zurückgekehrt. Das letzte Update, das dazu gemeldet wurde stammt aus dem Mai. Das .NET Framework Update für September wird als wichtig eingestuft und löst nur ein CVE auf – unglücklicherweise aber das CVE, das als Zero Day gekennzeichnet wurde. Damit wurde öffentlich, dass das Framework vor der Veröffentlichung ungehemmt ausgenutzt werden konnte. CVE-2017-8759 ist eine Schwachstelle im Microsoft .Net Framework, indem es nicht vertrauenswürdige Eingaben verarbeitet. Dies ist eine Sicherheitslücke, in deren Mittelpunkt der Benutzer steht. Ein Angreifer könnte einen Nutzer davon überzeugen, ein schädliches Dokument oder eine bösartige Anwendung zu öffnen. Über diesen Weg wird es ihm möglich, die Kontrolle über das betroffene System zu übernehmen. Sollte der Benutzer so konfiguriert sein, dass er weniger Rechte als ein Voll-Administrator hat, fällt der Angriff etwas milder aus. In diesem Fall hätte der Angreifer nur die Möglichkeit, Aktionen im Kontext der Berechtigungen dieses Benutzers auszuführen. Diese Sicherheitslücke ist ein klassischer Fall der zeigt, warum Sicherheitsverantwortliche im Unternehmen immer das Prinzip des geringsten Privilegs über alle Nutzer hinweg implementieren sollten. Die Frage bleibt offen, warum CVE-2017-8759 nur als „wichtig“ eingestuft wurde – immerhin handelt es sich um eine anwenderspezifische Schwachstelle und wurde bereits ausgenutzt.

Die drei Public Disclosures in diesem Monat beziehen sich alle auf die Windows 10-Plattform – zwei Schwachstellen im Betriebssystem und eine im Edge-Browser. Alle drei weisen eine niedrige Bewertung hinsichtlich der Einstufung ihrer Ausnutzbarkeit auf. Die Tatsache, dass sie öffentlich bekannt gegeben wurden, zeigt allerdings auch, dass ein Angreifer ausreichend Informationen hat, um potenziell einen Exploit zu erzeugen. Public Disclosures sind ein Indikator für eine Bedrohung, auf die man achten sollte. Sie bergen ein höheres Risiko der Ausnutzung, da die meiste Arbeit zur Erkundung der Schwachstelle und die Suche nach Möglichkeiten, sie zu verwenden, für einen potenziellen Angreifer bereits getan wurde.

  • Device Guard Security Feature Bypass Vulnerability (CVE-2017-8746) - Ein Angreifer kann unter Umgehung der Device Guard Code Integrity-Richtlinie bösartigen Code in eine Windows PowerShell-Sitzung einfügen. Der Angreifer müsste dazu Zugriff auf den lokalen Rechner haben und dann bösartigen Code in ein Skript einfügen, dem die Code Integrity-Richtlinie vertraut.
  • Broadcom BCM43xx Remote Code Execution Vulnerability (CVE-2017-9417) - Ein Sicherheitsleck existiert im Broadcom-Chipsatz in HoloLens. Um auszunutzen, wie HoloLens mit Objekten im Speicher umgeht, könnte ein Angreifer ein speziell entwickeltes WiFi-Paket senden. Letztlich wäre der Angreifer damit in der Lage, Programme zu installieren, Daten einzusehen, zu ändern oder zu löschen und sogar neue Konten mit vollen Admin-Rechten zu erstellen.
  • Microsoft Edge Security Feature Bypass Vulnerability (CVE-2017-8723) - Eine Schwachstelle in Microsoft Edge besteht dort, wo die Content Security Policy (CSP) nicht in der Lage ist, bestimmte speziell gestaltete Dokumente ordnungsgemäß zu validieren. Ein Angreifer könnte einen Benutzer dazu verleiten, eine Seite mit heimtückischen Inhalten zu laden oder eine Website zu besuchen, auf der sich böswillige Inhalte befinden. Der Angreifer könnte diese Seite genauso in eine kompromittierte Website oder ein Werbenetzwerk einbinden.

Nun zu Adobe: Das Flash Player-Update für diesen Monat enthält Korrekturen für zwei Sicherheitslücken (CVE-2017-11281, CVE-2017-11282). Beide werden als kritisch eingestuft. Den Korrekturen wurden jedoch unterschiedliche Prioritäten zugeordnet. Das Update für Flash Desktop und Flash for Edge und IE wird kritisch genannt (Priorität 1 von Adobe). Flash für Chrom wiederum wird als wichtig eingestuft (Priorität 2). Beide Schwachstellen sind Remote Code Execution-Schwachstellen, die Speicherausfälle ausnutzen können.

Ein Blick auf die Schlagzeilen: Es hat eine Menge Nachrichten um Equifax und die Kontroverse um die Offenlegung gegeben. Daneben gab es auch ein paar Neuigkeiten von The Shadow Brokers über neue Drops, die einem neuen Satz an Tools liefern. Equifax ist das beste Beispiel dafür, dass der Dateneinbruch als Angriffsstrategie durchaus lebendig und gesund ist. Das Neueste der Shadow Broker ist ein Toolset, der einen Angreifer mit perfekten Werkzeugen für die Durchführung eines Advanced Persistent Threat ermöglicht. Wenn wir die beiden Themen zusammenführen, bekommen wir Shadowfax.

Und nun zu Dingen, mit etwas weniger Tiefgang:

  • Eine Nachricht von vor ein paar Monaten: Ein Angreifer nutzte ein Fischbecken, um sich in ein Casino zu hacken. Das könnte die Art und Weise verändern, wie Unternehmen IoT-Technologien betrachten. https://t.co/vYsyHkzswb
    OK – Wortspiele im Zusammenhang mit #phish bieten hier sich an!


Über Ivanti
Ivanti: Die Stärke der Unified IT. Ivanti verbindet die IT mit dem Sicherheitsbetrieb im Unternehmen, um den digitalen Arbeitsplatz besser zu steuern und abzusichern. Auf PCs, mobilen Geräten, virtualisierten Infrastrukturen oder im Rechenzentrum identifizieren wir IT-Assets – ganz gleich, ob sie sich On-Premise oder in der Cloud verbergen. Ivanti verbessert die Bereitstellung des IT-Services und senkt Risiken im Unternehmen auf Basis von Fachwissen und automatisierten Abläufen. Durch den Einsatz moderner Technologien im Lager und über die gesamte Supply Chain hinweg hilft Ivanti dabei, die Lieferfähigkeit von Firmen zu verbessern – und das, ohne eine Änderung der Backend-Systeme.

Ivanti hat seinen Hauptsitz in Salt Lake City, Utah, und betreibt Niederlassungen auf der ganzen Welt. Weitere Informationen finden Sie unter www.ivanti.de. Folgen Sie uns über @GoIvanti.

Pressekontakte

Christine Butsmann
Ivanti
Director Field Marketing EMEA Central
+49 (0)69 941757-28
[email protected]
Matthias Thews
Fink & Fuchs AG

+49 (0)611 74131-918
[email protected]