Open Source im professionellen Einsatz

UPDATE: DFN-CERT-2016-0589 Microsoft Windows: Mehrere Schwachstellen ermöglichen u.a. das Erlangen von Administratorrechten [Windows]

14.09.2017

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (14.09.2017):
Microsoft hat seinen Sicherheitshinweis MS16-039 aktualisiert, um darauf
hinzuweisen, dass Windows 10 Version 1703 für 32-bit Systeme und Windows
10 Version 1703 für x64-basierte Systeme von der Schwachstelle
CVE-2016-0165 betroffen sind. Privatkunden von Windows 10 erhalten
automatisch Sicherheitsupdates. Unternehmenskunden, die Windows 10 Version
1703 einsetzen, weist Microsoft an sicherzustellen, dass das Update
4038788 installiert ist, um gegen diese Schwachstelle geschützt zu sein.
Version 1 (13.04.2016):
Neues Advisory

Betroffene Software:

Malicious Software Removal Tool
Microsoft MSXML 3.0
Microsoft Windows


Betroffene Plattformen:

Microsoft Windows 7 SP1 x64
Microsoft Windows 7 SP1 x86
Microsoft Windows 8.1 x64
Microsoft Windows 8.1 x86
Microsoft Windows 10 x64
Microsoft Windows 10 x86
Microsoft Windows 10 x64 v1511
Microsoft Windows 10 x86 v1511
Microsoft Windows 10 x64 v1703
Microsoft Windows 10 x86 v1703
Microsoft Windows RT 8.1
Microsoft Windows Server 2008 SP2 x64 Server Core Installation
Microsoft Windows Server 2008 SP2 x86 Server Core Installation
Microsoft Windows Server 2008 SP2 Itanium
Microsoft Windows Server 2008 SP2 x64
Microsoft Windows Server 2008 SP2 x86
Microsoft Windows Server 2008 R2 SP1 x64 Server Core Installation
Microsoft Windows Server 2008 R2 SP1 Itanium
Microsoft Windows Server 2008 R2 SP1 x64
Microsoft Windows Server 2012
Microsoft Windows Server 2012 Server Core Installation
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2012 R2 Server Core Installation
Microsoft Windows Vista SP2
Microsoft Windows Vista SP2 x64



In Microsoft Windows existieren insgesamt 13 Schwachstellen im Object
Embedding and Linking (OLE), im Kernelmodustreiber, in den XML Core
Services, in Hyper-V, im sekundären Anmeldedienst, in den SAM- und
LSAD-Remoteprotokolle (BADLOCK) und im Client-Server Runtime Subsystem
(nähere Informationen siehe Microsoft Security Bulletins MS16-039, MS16-040,
MS16-044, MS16-045, MS16-046, MS16-047, MS16-048 und MS16-049).

Entfernte wie lokale, meist nicht authentifizierte Angreifer können die
Schwachstellen dazu ausnutzen beliebigen Programmcode, auch mit den Rechten
des Kernels, auszuführen und so die vollständige Kontrolle über das System
zu übernehmen. Microsoft informiert über die aktive Ausnutzung der beiden
Schwachstellen CVE-2016-0165 und CVE-2016-0167. Des Weiteren können
Informationen ausgespäht und Denial-of-Service-Angriffe durchgeführt werden.
Der angekündigte BADLOCK Bug ist im Microsoft Security Bulletin MS16-047
beschrieben und wird mit der Schwachstelle CVE-2016-0128 adressiert.

Microsoft informiert außerdem über ein Softwareupdate für das Microsoft
Windows-Tool zum Entfernen bösartiger Software und über Sicherheitsupdates
für verschiedene Microsoft Wireless Mäuse. Dieses verbessert die Filterung
von Eingaben, um zu verhindern, dass HID-Tastatureingaben über die
RF-Adresse der Maus injiziert werden können. (Weitere Informationen dazu
siehe Microsoft Security Advisory 3152550).

Weiterhin wurde der Sicherheitshinweis MS16-033 erneuert, um die
Schwachstelle CVE-2016-0133 vollständig mit einem umfassenden Update für
Windows 10 zu schließen.


Patch:

Microsoft Sicherheitshinweise MS16-033 (Windows
USB-Massenspeichergerät-Klassentreiber)

<https://technet.microsoft.com/de-DE/library/security/MS16-033>

Patch:

Microsoft Security Advisory 3152550 (Wireless Mouse Input Filtering)

<https://technet.microsoft.com/en-us/library/security/3152550>

Patch:

Microsoft Sicherheitshinweise MS16-039 (Microsoft Grafikkomponente)

<https://technet.microsoft.com/de-de/library/security/MS16-039>

Patch:

Microsoft Sicherheitshinweise MS16-040 (XML Core Services)

<https://technet.microsoft.com/de-de/library/security/MS16-040>

Patch:

Microsoft Sicherheitshinweise MS16-044 (Windows OLE)

<https://technet.microsoft.com/de-de/library/security/MS16-044>

Patch:

Microsoft Sicherheitshinweise MS16-045 (Windows Hyper-V)

<https://technet.microsoft.com/de-de/library/security/MS16-045>

Patch:

Microsoft Sicherheitshinweise MS16-046 (sekundärer Anmeldedienst)

<https://technet.microsoft.com/de-de/library/security/MS16-046>

Patch:

Microsoft Sicherheitshinweise MS16-047 (SAM- und LSAD-Remoteprotokolle)

<https://technet.microsoft.com/de-de/library/security/MS16-047>

Patch:

Microsoft Sicherheitshinweise MS16-048 (Client-Server Runtime Subsystem)

<https://technet.microsoft.com/de-de/library/security/MS16-048>

Patch:

Microsoft Sicherheitshinweise MS16-049 (HTTP.sys)

<https://technet.microsoft.com/de-de/library/security/MS16-049>


CVE-2016-0165 CVE-2016-0167: Schwachstellen im Windows-Kernelmodustreiber
ermöglichen das Erlangen von Administratorrechten

Der Windows-Kernelmodustreiber (Win32k) enthält zwei Schwachstellen, die auf
fehlerhafte Speicheroperationen zurückzuführen sind. Ein lokaler, einfach
authentisierter Angreifer kann die Schwachstellen ausnutzen und beliebigen
Programmcode im Kernelmodus zur Ausführung bringen. Dadurch ist dieser in
der Lage, Programme zu installieren, Dateien zu lesen/ändern/schreiben und
Benutzerkonten mit sämtlichen Rechten zu erstellen. Ein lokaler, einfach
authentifizierter Angreifer kann beliebigen Programmcode ausführen und die
vollständige Kontrolle über ein System erlangen.


CVE-2016-0153: Schwachstelle in Windows OLE ermöglicht Ausführen beliebigen
Programmcodes

Es existiert eine Schwachstelle in Windows OLE aufgrund der fehlerhaften
Überprüfung von Benutzereingaben. Ein Angreifer kann diese Schwachstelle
ausnutzen, indem er einen Benutzer dazu verleitet, eine speziell gestaltete
Datei oder ein speziell gestaltetes Programm, entweder von einer Webseite
oder einer Email, zu öffnen. Dies ermöglicht einem entfernten, nicht
authentifizierten Angreifer das Ausführen von bösartig gestaltetem
Programmcode.


CVE-2016-0151: Schwachstelle in Client-Server Runtime Subsystem ermöglicht
Ausführen beliebigen Programmcodes mit Administratorrechten

Es existiert eine Schwachstelle in Microsoft Windows, weil das Client-Server
Runtime Subsystem (CSRSS) Tokens im Speicher nicht richtig verwaltet. Ein
Angreifer kann durch das Ausnutzen dieser Schwachstelle beliebigen
Programmcode mit den Rechten des Administrators ausführen, wodurch er in der
Lage ist, Programme zu installieren, Dateien zu lesen/ändern/löschen und
Benutzerkonten mit sämtlichen Rechten anzulegen. Um diese Schwachstelle
auszunutzen, muss ein Angreifer sich an ein System anmelden und eine
spezielle gestaltete Anwendung ausführen. Ein lokaler, einfach
authentifizierter Angreifer kann beliebigen Programmcode mit
Administratorrechten ausführen.


CVE-2016-0150: Schwachstelle in HTTP.sys ermöglicht
Denial-of-Service-Angriff

Es existiert eine Schwachstelle im HTTP 2.0 Protokoll-Stack in HTTP.sys,
wenn speziell gestaltete HTTP 2.0 Anfragen nicht ordnungsgemäß analysiert
werden. Ein Angreifer kann diese Schwachstelle ausnutzen und durch das
Versenden einer speziell gestalteten HTTP-Anfrage ein betroffenes System in
einen vollständigen Denial-of-Service-Zustand versetzen. Ein entfernter,
nicht authentifizierter Angreifer kann einen Denial-of-Service-Angriff
durchführen.


CVE-2016-0147: Schwachstelle in Microsoft XML Core Services ermöglicht
Ausführen beliebigen Programmcodes

Es existiert eine Schwachstelle in Microsoft XML Core Services (MSXML)
während der Verarbeitung von Benutzereingaben durch der Parser. Ein
Angreifer kann diese Schwachstelle ausnutzen, indem er einen Benutzer dazu
verleitet, eine speziell gestaltete Webseite, die MSXML über den Internet
Explorer aufruft, zu öffnen. Ein entfernter, nicht authentifizierter
Angreifer ist dann, während der Verarbeitung von XML-Inhalten durch den
Internet Explorer, in der Lage, bösartigen Programmcode auszuführen und die
Kontrolle über das System zu übernehmen.


CVE-2016-0145: Schwachstelle in Microsoft-Grafikkomponente erlaubt Ausführen
beliebigen Programmcodes

In der Windows Font Bibliothek in Microsoft Windows Vista SP2, Windows
Server 2008 SP2, Windows 7 SP1, Windows Server 2008 R2, Windows 8.1, Windows
RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10, Office 2007
SP3, Office 2010 SP2, Word Viewer, .NET-Framework 3.0 SP2, .NET-Framework
3.5, .NET-Framework 3.5.1, Skype for Business 2016, Lync 2010, Lync 2013 SP1
und Live Meeting 2007 Konsole existiert eine
Speicherkorruptions-Schwachstelle (Graphics Memory Corruption
Vulnerabilitie). Ein entfernter, nicht authentifizierter Angreifer kann
diese Schwachstellen ausnutzen, mittels eines schädlich präparierten
Schriftartenfonts, um beliebigen Programmcode zur Ausführung zu bringen.
Dazu muss er einen Benutzer dazu verleiten, ein speziell gestaltetes
Dokument zu öffnen oder eine Webseite zu besuchen, welche diesen Font
enthält.


CVE-2016-0143: Schwachstelle im Windows-Kernelmodustreiber ermöglicht das
Erlangen von Administratorrechten

Der Windows-Kernelmodustreiber (Win32k) enthält eine Schwachstelle, die auf
fehlerhafte Speicheroperationen zurückzuführen ist. Ein lokaler, einfach
authentisierter Angreifer kann die Schwachstelle ausnutzen und beliebigen
Programmcode im Kernelmodus zur Ausführung bringen. Dadurch ist dieser in
der Lage, Programme zu installieren, Dateien zu lesen/ändern/schreiben und
Benutzerkonten mit sämtlichen Rechten zu erstellen. Ein lokaler, einfach
authentifizierter Angreifer kann beliebigen Programmcode ausführen und die
vollständige Kontrolle über ein System erlangen.


CVE-2016-0135: Schwachstelle im Windows Secondary Logon Service ermöglicht
Privilegieneskalation

Im Windows Secondary Logon Service von Microsoft Windows 10 und 10 Version
1511 existiert eine Schwachstelle aufgrund der fehlerhaften Verwaltung von
'Request Handles' im Speicher. Ein Angreifer der diese Schwachstelle
erfolgreich ausnutzt, kann die vollständige Kontrolle über das System
erlangen und ist dann in der Lage, Programme zu installieren, Dateien zu
lesen/ändern/löschen und Benutzer mit sämtlichen Rechten zu erstellen.
Hierfür muss ein Angreifer sich lokal an einem System befinden und die
Möglichkeit haben, eine bösartigen Anwendung auszuführen. Ein lokaler, nicht
authentifizierter Angreifer kann beliebigen Programmcode mit
Administratorrechten ausführen und die Kontrolle über das System vollständig
übernehmen.


CVE-2016-0128: Schwachstelle in SAM- und LSAD-Remoteprotokollen ermöglicht
Privilegieneskalation

Eine auf BADLOCK getaufte Schwachstelle in den SAM- (Security Account
Manager, Sicherheitskontenverwaltung) und LSAD-Remoteprotokollen (Lokale
Sicherheitsautorität (Domänenrichtlinie)) ermöglicht die Erzwingung nicht
ausreichend sicherer Authentifizierungsebenen mit einem nicht ausreichend
geschützten RPC (Remote Procedure Call)-Kanal. Dies ermöglicht einen
Man-in-the-Middle-Angriff (MITM), indem ein Angreifer die Herabstufung der
Authentifizierungsebene erzwingen kann, die Identität des authentifizierten
Benutzers annimmt und so die Verbindung übernehmen kann. Dadurch erhält
dieser Zugriff auf die SAM-Datenbank, der darin gespeicherten Passwörter und
möglicherweise auch auf weitere sensible Informationen. Ein nicht
authentifizierter Angreifer im benachbarten Netzwerk kann Privilegien
eskalieren.


CVE-2016-0090: Schwachstelle in Hyper-V ermöglicht Ausspähen von
Informationen

Eine Schwachstelle in Windows Hyper-V besteht darin, dass Eingaben von einem
auf einem Gastsystem angemeldeten Benutzers nicht ordnungsgemäß durch den
Hostserver überprüft werden. Dies ermöglicht einem entfernten, auf einer
Gast-VM authentifizierten Angreifer das Ausführen einer speziell gestalteten
Applikation, wodurch Informationen aus dem Speicher des Gast-Bestriebssystem
offenlegt werden. Ein entfernter, einfach authentifizierter Angreifer kann
Informationen ausspähen.


CVE-2016-0089: Schwachstelle in Hyper-V ermöglicht Ausspähen von
Informationen

Eine Schwachstelle in Windows Hyper-V besteht darin, dass Eingaben von einem
auf einem Gastsystem angemeldeten Benutzers nicht ordnungsgemäß durch den
Hostserver überprüft werden. Dies ermöglicht einem entfernten, auf einer
Gast-VM authentifizierten Angreifer das Ausführen einer speziell gestalteten
Applikation, wodurch Informationen aus dem Speicher des Gast-Bestriebssystem
offenlegt werden. Ein entfernter, einfach authentifizierter Angreifer kann
Informationen ausspähen.


CVE-2016-0088: Schwachstelle in Hyper-V ermöglicht Ausführen beliebigen
Programmcodes

Eine Schwachstelle in Windows Hyper-V besteht darin, dass Eingaben von einem
auf einem Gastsystem angemeldeten Benutzers nicht ordnungsgemäß durch den
Hostserver überprüft werden. Dies ermöglicht einem entfernten, auf einer
Gast-VM authentifizierten Angreifer beliebigen Programmcode auf dem
Host-Betriebssystem auszuführen. Hierfür benötigt ein Angreifer ein
privilegiertes Benutzerkonto mit gültigen Zugangsdaten für die Gast-VM.


CVE-2016-0133: Schwachstelle im Microsoft Windows USB Massenspeichertreiber
erlaubt Privilegieneskalation

Im Windows USB Massenspeichertreiber in Microsoft Windows Vista SP2, Windows
Server 2008 SP2 und R2 SP1, Windows 7 SP1, Windows 8.1, Windows Server 2012
Gold und R2, Windows RT 8.1 sowie Windows 10 Gold und 1511 befindet sich
eine Schwachstelle aufgrund unzureichender Validierung von Objekten im
Hauptspeicher. Ein Angreifer kann diese Schwachstelle dazu ausnutzen,
beliebigen Programmcode mit Kernel-Rechten auszuführen und so die
vollständige Kontrolle über das System zu übernehmen. Der Angreifer muss
physischen Zugang zum System haben, und ein entsprechend manipuliertes
USB-Gerät an das System anschließen können.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
<https://portal.cert.dfn.de/adv/DFN-CERT-2016-0589/>

Microsoft Sicherheitshinweise MS16-033 (Windows
USB-Massenspeichergerät-Klassentreiber):
<https://technet.microsoft.com/de-DE/library/security/MS16-033>

Schwachstelle CVE-2016-0133 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0133>

Microsoft Security Advisory 3152550 (Wireless Mouse Input Filtering):
<https://technet.microsoft.com/en-us/library/security/3152550>

Microsoft Sicherheitshinweise MS16-039 (Microsoft Grafikkomponente):
<https://technet.microsoft.com/de-de/library/security/MS16-039>

Microsoft Sicherheitshinweise MS16-040 (XML Core Services):
<https://technet.microsoft.com/de-de/library/security/MS16-040>

Microsoft Sicherheitshinweise MS16-044 (Windows OLE):
<https://technet.microsoft.com/de-de/library/security/MS16-044>

Microsoft Sicherheitshinweise MS16-045 (Windows Hyper-V):
<https://technet.microsoft.com/de-de/library/security/MS16-045>

Microsoft Sicherheitshinweise MS16-046 (sekundärer Anmeldedienst):
<https://technet.microsoft.com/de-de/library/security/MS16-046>

Microsoft Sicherheitshinweise MS16-047 (SAM- und LSAD-Remoteprotokolle):
<https://technet.microsoft.com/de-de/library/security/MS16-047>

Microsoft Sicherheitshinweise MS16-048 (Client-Server Runtime Subsystem):
<https://technet.microsoft.com/de-de/library/security/MS16-048>

Microsoft Sicherheitshinweise MS16-049 (HTTP.sys):
<https://technet.microsoft.com/de-de/library/security/MS16-049>

Schwachstelle CVE-2016-0088 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0088>

Schwachstelle CVE-2016-0089 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0089>

Schwachstelle CVE-2016-0090 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0090>

Schwachstelle CVE-2016-0128 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0128>

Schwachstelle CVE-2016-0135 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0135>

Schwachstelle CVE-2016-0143 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0143>

Schwachstelle CVE-2016-0145 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0145>

Schwachstelle CVE-2016-0147 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0147>

Schwachstelle CVE-2016-0150 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0150>

Schwachstelle CVE-2016-0151 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0151>

Schwachstelle CVE-2016-0153 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0153>

Schwachstelle CVE-2016-0165 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0165>

Schwachstelle CVE-2016-0167 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0167>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Ausgabe 10/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.