Open Source im professionellen Einsatz

UPDATE: DFN-CERT-2016-1125 Microsoft Windows: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes [Windows]

14.09.2017

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (14.09.2017):
Microsoft hat seinen Sicherheitshinweis MS16-087 aktualisiert, um Probleme
mit dem Update 3170455 für die Schwachstelle CVE-2016-3238 zu beheben. Für
Windows Server 2008 sollte das Update 3170455 erneut installiert werden,
für andere unterstützte Windows-Versionen hat Microsoft entsprechende
Rollup- und Sicherheitsupdates bzw. Kumulative Updates bereitgestellt, die
installiert werden sollten. Weitere Informationen finden Sie im Microsoft
Knowledge Base Artikel 3170005.
Version 2 (09.11.2016):
Microsoft hat seine Sicherheitsmeldung MS16-091 überarbeitet und kündigt
eine Erkennungsänderung für Installationen mit .NET Framework 4.6.1 Hotfix
Rollup an, da hierfür bislang keine entsprechenden Sicherheitsupdates für
.NET Framework 4.6.1 angeboten wurden.
Version 1 (13.07.2016):
Neues Advisory

Betroffene Software:

Microsoft .NET Framework 2.0 SP2
Microsoft .NET Framework 3.5
Microsoft .NET Framework 3.5.1
Microsoft .NET Framework 4.5.2
Microsoft .NET Framework 4.6
Microsoft .NET Framework 4.6.1
Microsoft JScript 5.8
Malicious Software Removal Tool
Microsoft VBScript 5.7
Microsoft VBScript 5.8
Microsoft Windows


Betroffene Plattformen:

Microsoft Windows 7 SP1 x64
Microsoft Windows 7 SP1 x86
Microsoft Windows 8.1 x64
Microsoft Windows 8.1 x86
Microsoft Windows 10 x64
Microsoft Windows 10 x86
Microsoft Windows 10 x64 v1511
Microsoft Windows 10 x86 v1511
Microsoft Windows 10 x64 v1607
Microsoft Windows 10 x86 v1607
Microsoft Windows RT 8.1
Microsoft Windows Server 2008 SP2 x64 Server Core Installation
Microsoft Windows Server 2008 SP2 x86 Server Core Installation
Microsoft Windows Server 2008 SP2 Itanium
Microsoft Windows Server 2008 SP2 x64
Microsoft Windows Server 2008 SP2 x86
Microsoft Windows Server 2008 R2 SP1 x64 Server Core Installation
Microsoft Windows Server 2008 R2 SP1 Itanium
Microsoft Windows Server 2008 R2 SP1 x64
Microsoft Windows Server 2012
Microsoft Windows Server 2012 Server Core Installation
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2012 R2 Server Core Installation
Microsoft Windows Server 2016
Microsoft Windows Vista SP2
Microsoft Windows Vista SP2 x64



In Microsoft Windows existieren insgesamt 14 Schwachstellen in den
Komponenten JScript und VBScript, Windows-Druckerspooler, sicherer
Windows-Kernelmodus, Windows-Kerneltreiber, .NET Framework, Windows Kernel
und sicherer Start (nähere Informationen siehe Microsoft Security Bulletins
MS16-086, MS16-087, MS16-089, MS16-090, MS16-091, MS16-092 und MS16-094).

Microsoft informiert außerdem über ein Softwareupdate für das Microsoft
Windows-Tool zum Entfernen bösartiger Software.

Entfernte wie lokale, nicht oder einfach authentifizierte Angreifer können
die Schwachstellen dazu ausnutzen, beliebigen Programmcode mit den Rechten
eines Benutzers auszuführen, und, falls der Benutzer über
Administratorrechte verfügt, die vollständige Kontrolle über das System zu
übernehmen. Des Weiteren können Informationen ausgespäht, Privilegien
erweitert, Dateien manipuliert und Sicherheitsvorkehrungen umgangen werden.


Patch:

Microsoft Sicherheitshinweise MS16-086 (JScript und VBScript)

<https://technet.microsoft.com/de-de/library/security/ms16-086>

Patch:

Microsoft Sicherheitshinweise MS16-087 (Windows-Druckerspoolerkomponenten)

<https://technet.microsoft.com/de-de/library/security/ms16-087>

Patch:

Microsoft Sicherheitshinweise MS16-089 (Sicherer Windows-Kernelmodus)

<https://technet.microsoft.com/de-de/library/security/ms16-089>

Patch:

Microsoft Sicherheitshinweise MS16-091 (.NET Framework)

<https://technet.microsoft.com/de-de/library/security/ms16-091>

Patch:

Microsoft Sicherheitshinweise MS16-092 (Windows Kernel)

<https://technet.microsoft.com/de-de/library/security/ms16-092>

Patch:

Microsoft Sicherheitshinweise MS16-094 (Secure Boot)

<https://technet.microsoft.com/de-de/library/security/ms16-094>

Patch:

Microsoft Sicherheitshinweise MS16-090 (Windows-Kernelmodustreiber)

<https://technet.microsoft.com/de-de/library/security/ms16-090>


CVE-2016-3287: Windows: Schwachstelle in Secure Boot erlaubt Umgehen von
Sicherheitsmechanismen

Der Windows Secure Boot Mechanismus enthält einen Fehler bei der Anwendung
von Sicherheitsrichtlinien (Security Policies).

Ein am System als lokaler Administrator angemeldeter Angreifer oder ein
Angreifer mit physikalischem Zugriff auf das System kann die Schwachstelle
dazu ausnutzen, die Sicherheitsmechanismen des Secure Boot, wie Bitlocker
Integritätsprüfung, Verschlüsselung oder die Signaturprüfung beim Laden von
Kerneltreibern zu deaktivieren. Bei einem späteren Neustart des Systems kann
so beliebiger Programmcode mit Kernel Rechten zur Ausführung gebracht
werden.



CVE-2016-3272: Schwachstelle im Windows Kernel erlaubt Ausspähen von
Informationen

Der Windows Kernel bearbeitet bestimmte Systemaufrufe aufgrund von
Seitenfehlern nicht korrekt.

Ein lokaler, am System angemeldeter Angreifer kann die Schwachstelle dazu
ausnutzen, Einsicht in den Hauptspeicherinhalt anderer Prozesse zu bekommen,
um so an eventuell sensible Informationen zu gelangen.


CVE-2016-3258: Schwachstelle im Windows Kernel erlaubt Umgehen von
Sicherheitsvorkehrungen

Eine Wettlaufsituation (Race Condition) im Windows Kernel erlaubt Prozessen,
den Low Integrity Schutzmechanismus durch "Time of Check Time of Use
(TOCTOU)"-Fehler bei Dateipfadprüfungen zu umgehen und auf lokale Dateien
außerhalb der Sandbox schreibend zuzugreifen.

Ein entfernter Angreifer, dem es durch Ausnutzen einer anderen Schwachstelle
gelingt die Kontrolle über eine mit Low Integrity Rechten laufende Anwendung
zu übernehmen (z.B. den Browser) kann durch Ausnutzen der Schwachstelle
beliebige Dateien des Benutzers der Anwendung überschreiben.


CVE-2016-3256: Schwachstelle in Microsoft Windows Sicherer Kernelmodus
ermöglicht Ausspähen von Informationen

Eine Schwachstelle im sicheren Windows-Kernelmodus (Windows Secure Kernel
Mode) von Microsoft Windows 10 ermöglicht das Ausspähen von Informationen.
Im sicheren Windows-Kernelmodus werden Objekte im Speicher nicht
ordnungsgemäß verarbeitet.
Ein lokaler, einfach authentifizierter Angreifer kann diese Schwachstelle
mit Hilfe einer speziell präparierten Anwendung ausnutzen, um den
Schutzmechanismus des sicheren Kernelmodus zu umgehen und eventuell auf
vertrauliche Informationen lesend zuzugreifen. Dies allein stellt keine
kritische Bedrohung dar, doch können diese Informationen eventuell für
weitere, schwerwiegendere Angriffe genutzt werden.


CVE-2016-3255: Schwachstelle im Microsoft .NET Framework erlaubt Ausspähen
von Informationen

Das Microsoft .NET Framework verarbeitet Referenzen auf externe Entitäten
(XXE: XML External Entity) in XML Daten nicht korrekt.

Ein entfernter Angreifer kann diese Schwachstelle dazu ausnutzen, in
beliebige Dateien Einsicht zu nehmen, auf die der Benutzer der XML-Anwendung
Lesezugriff hat, wenn er den Benutzer dazu bringen kann, von ihm
manipulierte XML-Daten mit einer verwundbaren Anwendung zu öffnen.


CVE-2016-3251: Schwachstelle im Windows-Kernelmodustreiber ermöglicht
Ausspähen von Informationen

Durch eine Schwachstelle im MIcrosoft Windows Graphics Driver Interface
(GDI) werden Hauptspeicheradressen von Objekten des Kernels offengelegt. Ein
lokaler, einfach authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um an sensitive Informationen zu gelangen, welche die Ausnutzung
weiterer Schwachstellen erleichtern.


CVE-2016-3249 CVE-2016-3250 CVE-2016-3252 CVE-2016-3254 CVE-2016-3286:
Schwachstellen im Windows-Kernelmodustreiber ermöglichen
Privilegieneskalation

Verschiedene Objekte werden vom Windows-Kernelmodustreiber im Hauptspeicher
nicht korrekt verarbeitet. Ein lokaler, einfach authentifizierter Angreifer,
kann diese Schwachstellen dazu ausnutzen, um seine Privilegien zu erweitern
und dadurch beliebigen Programmcode mit Kernel-Rechten auszuführen und in
der Folge das System komplett zu übernehmen.


CVE-2016-3239: Schwachstelle in Microsoft Windows-Druckerspoolerkomponente
ermöglicht Privilegieneskalation

Der Dienst des Windows-Druckerspoolers (Windows Print Spooler) erlaubt unter
bestimmten Umständen fälschlicherweise Schreibzugriffe auf das gesamte
Dateisystem. Ein lokaler, einfach authentifizierter Angreifer kann diese
Schwachstelle ausnutzen, um seine Privilegien zu eskalieren und in der Folge
möglicherweise beliebigen Programmcode mit erhöhten Berechtigungen
ausführen.


CVE-2016-3238: Schwachstelle in Microsoft Windows-Druckerspoolerkomponente
ermöglicht Ausführung beliebigen Programmcodes mit Benutzerrechten

Der Dienst des Windows-Druckerspoolers (Windows Print Spooler) prüft beim
Installieren von entfernten Druckern die Druckertreiber nicht ausreichend.
Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
mit Hilfe eines speziell präparierten Druckertreibers ausnutzen, um
beliebigen Programmcode mit den Rechten eines Benutzers auszuführen.


CVE-2016-3204: Schwachstelle in Microsoft Skriptmodul ermöglicht Ausführung
beliebigen Programmcodes mit Benutzerrechten

Es existiert eine Speicherkorruptions-Schwachstelle (Memory Corruption) in
den VBScript- und JScript-Engines, die von Microsoft Windows und im Internet
Explorer verwendet werden. Diese besteht weil die VBScript-Engine und die
JScript-Engine bestimmte Objekte im Speicher nicht richtig verarbeiten,
wodurch der Speicher beschädigt werden kann. Ein entfernter, nicht
authentifizierter Angreifer kann dadurch beliebigen Programmcode mit den
Rechten des Benutzers ausführen.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
<https://portal.cert.dfn.de/adv/DFN-CERT-2016-1125/>

Microsoft Sicherheitshinweise MS16-086 (JScript und VBScript):
<https://technet.microsoft.com/de-de/library/security/ms16-086>

Microsoft Sicherheitshinweise MS16-087 (Windows-Druckerspoolerkomponenten):
<https://technet.microsoft.com/de-de/library/security/ms16-087>

Microsoft Sicherheitshinweise MS16-089 (Sicherer Windows-Kernelmodus):
<https://technet.microsoft.com/de-de/library/security/ms16-089>

Microsoft Sicherheitshinweise MS16-091 (.NET Framework):
<https://technet.microsoft.com/de-de/library/security/ms16-091>

Microsoft Sicherheitshinweise MS16-092 (Windows Kernel):
<https://technet.microsoft.com/de-de/library/security/ms16-092>

Microsoft Sicherheitshinweise MS16-094 (Secure Boot):
<https://technet.microsoft.com/de-de/library/security/ms16-094>

Microsoft Sicherheitshinweise MS16-090 (Windows-Kernelmodustreiber):
<https://technet.microsoft.com/de-de/library/security/ms16-090>

Schwachstelle CVE-2016-3204 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3204>

Schwachstelle CVE-2016-3238 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3238>

Schwachstelle CVE-2016-3239 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3239>

Schwachstelle CVE-2016-3249 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3249>

Schwachstelle CVE-2016-3250 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3250>

Schwachstelle CVE-2016-3251 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3251>

Schwachstelle CVE-2016-3252 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3252>

Schwachstelle CVE-2016-3254 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3254>

Schwachstelle CVE-2016-3255 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3255>

Schwachstelle CVE-2016-3256 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3256>

Schwachstelle CVE-2016-3258 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3258>

Schwachstelle CVE-2016-3272 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3272>

Schwachstelle CVE-2016-3286 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3286>

Schwachstelle CVE-2016-3287 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3287>

Microsoft Knowledge Base Artikel 3170005:
<https://support.microsoft.com/de-de/help/3170005/ms16-087-security-update-for-windows-print-spooler-components-july-12>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Ausgabe 10/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.