Patchday: Microsoft schließt Wurmlöcher

[Dynamite]

Wie angekündigt schließt Microsoft mit 9 Sicherheits-Updates 11 Sicherheitslücken. Lücken im Printer Spooler, dem MPEG-4-Codec, im Unicode-Script-Prozessor und Outlook stufen die Redmonder als kritisch ein.

Nach Angaben des Security Response Center ist man auf die Lücke im Spooler während der Analyse des Wurms Stuxnet gestoßen, der in Zusammenhang mit der LNK-Lücke bekannt wurde. Stuxnet hatte nämlich einige nicht ganz offensichtliche Tricks auf Lager. Der Wurm suchte nach Systemen im Netz, auf denen der standardmäßig nicht aktive Spooler lief, und drang über eine bislang unbekannte Lücke in sie in. Damit nicht genug: Zwei weitere, bis dato unbekannte Schwachstellen nutzte er dann, um an höhere Rechte zu gelangen. Diese Zero-Day-Lücken will Microsoft erst in einem kommenden Update schließen.

Der mit einer gültigen digitalen Signatur versehene Wurm hatte es insbesondere auf WinCC-Systeme für die Prozessleittechnik des Herstellers Siemens abgesehen und nutzte für Datenbankzugriffe sogar die hardcodierten Zugangsdaten. Mit vier Zero-Day-Exploits und gültigen digitalen Signaturen hat bis dato noch kein Wurm aufgewartet; die neuen Informationen über seine Fähigkeiten werfen erneut die Frage nach seinen Urhebern und seinem konkreten Auftrag auf.

Microsofts Updates beseitigen zudem Schwachstellen in den Internet Information Services (IIS), im RPC-Client und WordPad. Der Hersteller hat ihnen jedoch nur dem Schweregrad "Hoch" zugeordnet, obwohl sie das Einschleusen und Ausführen von Code aus der Ferne ermöglichen. Bei IIS ist dies jedoch nur in Zusammenhang mit der Option FastCGI möglich, die standardmäßig nicht aktiviert ist. Der Fehler im RPC-Client lässt sich nur bei einer Verbindung mit einem manipuliertem RPC-Server ausnutzen und die WordPad-Lücke erfordert die Mithilfe des Anwenders, der ein Dokument öffnen muss.

Daneben beseitigen die Updates DoS-Schwachstellen im "Local Security Authority" Subsystem sowie im Client/Server-Runtime-Subsystem (CSRSS).

Quelle: Heise.de

[Dynamite]

Patchday: Microsoft schließt 49 Lücken im Oktober

Microsoft hat an seinem gestrigen Patchday im Oktober insgesamt 16 Updates für 49 Sicherheitslücken veröffentlicht. Viele der Lücken ließen sich dazu nutzen, um Schadcode auf einem fremden Rechner auszuführen.

Mit den Updates wurden auch drei der vier Windows-Lücken geschlossen, die sich der Stuxnet-Virus bislang zunutze machte. Wann auch die letzte Lücke geschlossen wird, ist bislang nicht bekannt. Microsoft gab nur an, dass sich ein künftiges Update mit dem Problem befassen wird.

Daneben schließen die Patches auch kritische Lücken in den Microsoft-Programmen Internet Explorer, Media Player, und .NET 4.0. Durch den Besuch einer manipulierten Web-Seite konnten Angreifer über die Fehler schädlichen Programmcode einschleusen und ausführen. Ebenfalls beseitigt wurden Fehler in den Programmen Word und Excel sowie diversen Windows-Komponenten. Hier konnte durch den Aufruf einer manipulierten Datei ebenfalls Schadcode aufs System geschleust werden.

Neben den Patches hat Microsoft zudem mit der Veröffentlichung seines Tools zum Entfernen bösartiger Software neue Funktionen implementiert. So soll das Programm nun in der Lage sein, die Client-Software des Zeus-Bot-Netzes auf infizierten Rechnern zu erkennen und zu entfernen. Der Trojaner-Baukasten Zeus wird von Kriminellen für Online-Banking-Betrügereien genutzt.

Alle Updates stehen bereits über die automatische Update-Funktion von Windows und Office verteilt. Die regelmäßigen Updates für Windows und Co. sind wichtiger Bestandteil für die Systemsicherheit und sollten immer kurz nach Erscheinen eingespielt werden. Windows bietet hierfür eine automatische Update-Funktion, die den Rechner immer auf dem aktuellsten Stand hält. Wir empfehlen Ihnen dringend, diese Funktion zu aktivieren und so Ihr Windows schnell und unkompliziert auch um die aktuellen Updates zu ergänzen. (mgb)

Quelle: Heise.de

[Dynamite]

Exploit für Zero-Day-Lücke im Internet Explorer verfügbar

Jetzt wird Microsoft wohl doch einen Notfall-Patch für den Internet Explorer in Erwägung ziehen müssen: Ein Exploit für die kürzlich gemeldete Lücke in der Verarbeitung von Cascading Style Sheets (CSS) steht in der Exploit-Datenbank exploit-db.com zum Download bereit.

Er öffnete in einem kurzen Test der heise Security Redakton unter Windows XP mit dem Internet Explorer 8 eine Hintertür (Reverse Shell) auf Port 4444. Allerdings war es zum Funktionieren des Exploits notwendig, im Internet Explorer 8 die standardmäßig aktivierte Datenausführungsverhinderung (DEP) abzuschalten. Zumindest von diesem Exploit sind Anwender des Internet Explorer 8 nicht bedroht. Beim Internet Explorer 6 und 7 ist DEP von Hause aus jedoch nicht aktiviert – dort funktioniert der Exploit sofort.

Angreifer könnten über die Hintertür Zugriff auf den Windows-PC erhalten oder Malware installieren. Bislang hatte die CSS-Lücke nach Meinung von Microsoft die Kriterien für einen Notfall-Patch nicht erfüllt – unter anderem, weil es bislang nur wenige gezielte Angriffe auf Anwender in Unternehmen gab und der verwendete Exploit nicht öffentlich war.

Bis ein Patch bereit steht, empfiehlt der Hersteller die Datenausführungsverhinderung (DEP) für den Internet Explorer unter Windows 7, Vista oder XP zu aktivieren. Der einfachste Weg DEP beim Internet Explorer 7 nachträglich zu aktivieren ist es, ein von Microsoft bereit gestelltes Fix-it-Tool herunterzuladen und zu starten. Daneben gibt es ein zweites Fix-it-Tool, das benutzerdefinierte CSS anschaltet und so Angriffe ins Leere laufen lässt. Dies dürfte das Mittel der Wahl für Anwender des Internet Explorer 6 sein – von denen wohl noch etliche im Einsatz sind.

Daneben lassen sich DEP und weitere Schutzmechanismen unter Windows über das Enhanced Mitigation Experience Toolkit (EMET) aktivieren. Der Artikel "Schadensbegrenzer " auf heise Security erklärt, wie das Tool funktioniert und wie man es bedient. (dab)

Quelle: Heise.de