Open Source im professionellen Einsatz

UPDATE: DFN-CERT-2016-1672 Microsoft Windows: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes [Windows]

14.09.2017

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (14.09.2017):
Microsoft hat seinen Sicherheitshinweis MS16-123 aktualisiert, um darauf
hinzuweisen, dass Windows 10 Version 1703 für 32-bit Systeme und Windows
10 Version 1703 für x64-basierte Systeme von der Schwachstelle
CVE-2016-3376 betroffen sind. Privatkunden von Windows 10 erhalten
automatisch Sicherheitsupdates. Unternehmenskunden, die Windows 10 Version
1703 einsetzen, weist Microsoft an sicherzustellen, dass das Update
4038788 installiert ist, um gegen diese Schwachstelle geschützt zu sein.
Version 3 (14.12.2016):
Microsoft hat seine Sicherheitshinweise MS16-120, MS16-122, MS16-123 und
MS16-126 ebenfalls überarbeitet und informiert auch dort über die erneute
Veröffentlichung der schon genannten Oktober-Updates 3192391, 3192393 und
3192392 aufgrund einer Erkennungsänderung zur Behebung des erwähnten
Vorrangproblems.
Version 2 (14.12.2016):
Microsoft hat seinen Sicherheitshinweis MS16-124 überarbeitet und
informiert darüber, dass drei Updates mit einer Erkennungsänderung erneut
veröffentlicht wurden. Die Änderungen beheben ein Vorrangproblem, das bei
manchen Benutzern beim Versuch aufgetreten ist, die reinen
Sicherheitsupdates für Oktober zu installieren. Weitere Informationen
finden Sie in den zugehörigen Microsoft Knowledge Base Artikeln 3192391,
3192393 und 3192392 (Referenzen anbei).
Version 1 (12.10.2016):
Neues Advisory

Betroffene Software:

Malicious Software Removal Tool
Microsoft Windows


Betroffene Plattformen:

Microsoft Windows 7 SP1 x64
Microsoft Windows 7 SP1 x86
Microsoft Windows 8.1 x64
Microsoft Windows 8.1 x86
Microsoft Windows 10 x64
Microsoft Windows 10 x86
Microsoft Windows 10 x64 v1511
Microsoft Windows 10 x86 v1511
Microsoft Windows 10 x64 v1607
Microsoft Windows 10 x86 v1607
Microsoft Windows 10 x64 v1703
Microsoft Windows 10 x86 v1703
Microsoft Windows RT 8.1
Microsoft Windows Server 2008 SP2 x64 Server Core Installation
Microsoft Windows Server 2008 SP2 x86 Server Core Installation
Microsoft Windows Server 2008 SP2 Itanium
Microsoft Windows Server 2008 SP2 x64
Microsoft Windows Server 2008 SP2 x86
Microsoft Windows Server 2008 R2 SP1 x64 Server Core Installation
Microsoft Windows Server 2008 R2 SP1 Itanium
Microsoft Windows Server 2008 R2 SP1 x64
Microsoft Windows Server 2012
Microsoft Windows Server 2012 Server Core Installation
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2012 R2 Server Core Installation
Microsoft Windows Vista SP2
Microsoft Windows Vista SP2 x64



In Microsoft Windows existieren insgesamt 19 Schwachstellen in den
Komponenten Windows-Grafikkomponente, Videosteuerung, Windows
Kernel-Modustreiber, Windows Registry, Diagnose Hub und Microsoft Internet
Messaging API (nähere Informationen siehe Microsoft Security Bulletins
MS16-120, MS16-122, MS16-123, MS16-124, MS16-125 und MS16-126). Lokale wie
entfernte, auch nicht authentifizierte Angreifer können die Schwachstellen
dazu ausnutzen, beliebigen Programmcode mit den Rechten des Benutzers, des
Administrators oder des Kernels auszuführen.

Microsoft informiert zusätzlich über ein Softwareupdate für das Microsoft
Windows-Tool zum Entfernen bösartiger Software.


Patch:

Microsoft Sicherheitshinweise MS16-122 (Microsoft Videokontrolle)

<https://technet.microsoft.com/de-de/library/security/ms16-122>

Patch:

Microsoft Sicherheitshinweise MS16-123 (Windows Kernel-Modustreiber)

<https://technet.microsoft.com/de-de/library/security/ms16-123>

Patch:

Microsoft Sicherheitshinweise MS16-124 (Windows Registry)

<https://technet.microsoft.com/de-de/library/security/ms16-124>

Patch:

Microsoft Sicherheitshinweise MS16-125 (Diagnose Hub)

<https://technet.microsoft.com/de-de/library/security/ms16-125>

Patch:

Microsoft Sicherheitshinweise MS16-126 (Microsoft Internet Messaging API)

<https://technet.microsoft.com/de-de/library/security/ms16-126>

Patch:

Microsoft Sicherheitshinweise MS16-120 (Microsoft Grafikkomponente)

<https://technet.microsoft.com/de-de/library/security/MS16-120>


CVE-2016-7188: Schwachstelle im Windows Diagnostics Hub ermöglicht Ausführen
beliebigen Programmcodes

Im Windows Diagnostics Hub Standard Collector Service existiert eine
Schwachstelle, die auf unzureichender Überprüfung von Eingaben basiert,
dadurch das Laden von unsicheren Bibliotheken erlaubt und so eine
Privilegieneskalation ermöglicht. Ein lokaler, einfach authentifizierter
Angreifer kann diese Schwachstelle dazu ausnutzen, beliebigen Programmcode
mit den Rechten des Windows Diagnostics Hub Standard Collector Service (d.h.
SYSTEM) auszuführen. Dazu muss er eine speziell präparierte Anwendung auf
dem betroffenen System ausführen.


CVE-2016-3393: Schwachstelle in der Windows Grafikkomponente ermöglicht
Ausführen beliebigen Programmcodes

Die Grafikkomponente des Windows Kernels verarbeitet Objekte im
Hauptspeicher nicht korrekt. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle dazu ausnutzen, beliebigen Programmcode
mit den Rechten des Benutzers auszuführen, indem er ihn dazu bringt, ein von
ihm manipuliertes Dokument oder eine Webseite anzusehen. Verfügt der
Benutzer über Administratorrechte, kann das System vollständig übernommen
werden.


CVE-2016-3341: Schwachstelle im Windows Transaction Manager ermöglicht
Ausführen beliebigen Programmcodes

Im Windows Transaction Manager existiert eine Schwachstelle, die darauf
basiert, dass Objekte im Hauptspeicher nicht korrekt verarbeitet werden,
wodurch eine Privilegieneskalation ermöglicht wird. Ein lokaler, am System
angemeldeter Angreifer kann diese Schwachstelle dazu ausnutzen, beliebigen
Code mit den Rechten des Kernels auszuführen.


CVE-2016-3270: Schwachstelle im Windows Kernel ermöglicht Ausführen
beliebigen Programmcodes

Die Grafikkomponente des Windows Kernels verarbeitet Objekte im
Hauptspeicher nicht korrekt. Ein lokaler, am System angemeldeter Angreifer
kann diese Schwachstelle dazu ausnutzen, beliebigen Programmcode mit den
Rechten des Kernels auszuführen.


CVE-2016-3266 CVE-2016-3376 CVE-2016-7185 CVE-2016-7211 : Mehrere
Schwachstellen im Windows Kernel-Modustreiber ermöglichen Ausführen
beliebigen Programmcodes

Im Windows Kernel-Modustreiber existieren mehrere Schwachstellen, die darauf
basieren, dass Objekte im Hauptspeicher nicht korrekt verarbeitet werden,
wodurch eine Privilegieneskalation ermöglicht wird. Ein lokaler, am System
angemeldeter Angreifer kann diese Schwachstellen dazu ausnutzen, beliebigen
Programmcode mit den Rechten des Kernels auszuführen und das betroffene
System vollständig übernehmen.


CVE-2016-0142: Schwachstelle in der Microsoft Videokontrolle ermöglicht
Ausführen beliebigen Programmcodes

Die Microsoft Videokontrolle ('Video Control') verarbeitet Objekte im
Hauptspeicher nicht korrekt. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle dazu ausnutzen, beliebigen Programmcode
mit den Rechten des Benutzers auszuführen, wenn er diesen dazu bringt, von
ihm manipulierte Inhalte anzusehen. Dies gilt auch für die Preview Funktion.
Verfügt der Benutzer zum Zeitpunkt des Angriffs über Administratorrechte,
kann das gesamte System übernommen werden.


CVE-2016-0070 CVE-2016-0073 CVE-2016-0075 CVE-2016-0079: Mehrere
Schwachstellen im Microsoft Windows Kernel ermöglichen Ausspähen von
Informationen

In der Windows Kernel API existieren mehrere Schwachstellen, die auf
unzureichende Sicherheitsbeschränkungen in der Kernel API basieren und einen
Zugriff auf vertrauliche Informationen in der Windows Registry ermöglichen.
Ein lokaler, einfach authentifizierter Angreifer kann diese Schwachstellen
ausnutzen, um seine Privilegien zu erweitern und an Informationen außerhalb
seiner Berechtigungen zu gelangen. Dazu muss er eine speziell präparierte
Anwendung auf dem betroffenen System ausführen. Mit Hilfe der vertraulichen
Informationen kann der Angreifer eventuell weitere Angriffe durchführen.


CVE-2016-7182: Schwachstelle beim Parsen von TrueType Fonts im Windows
Kernel ermöglicht Ausführen beliebigen Programmcodes

Die Grafikkomponente des Windows Kernels enthält einen Fehler beim Parsen
von TrueType Fonts, wodurch Objekte im Hauptspeicher nicht korrekt
verarbeitet werden. Ein lokaler, am System angemeldeter Angreifer kann diese
Schwachstelle dazu ausnutzen, beliebigen Programmcode mit den Rechten des
Kernels auszuführen.


CVE-2016-3396: Schwachstelle in Windows Grafikkomponente GDI ermöglicht
Ausführen beliebigen Programmcodes

In der Grafikkomponente GDI von Microsoft Windows existiert eine
Schwachstelle, die darauf basiert, dass die Windows Font Library speziell
präparierte, eingebettete Fonts nicht ordnungsgemäß verarbeitet. Ein
entfernter, nicht authentifizierter Angreifer kann die Schwachstelle dazu
ausnutzen, beliebigen Programmcode mit den Rechten des Benutzers
auszuführen, wenn er diesen dazu verleiten kann, ein speziell präpariertes
Dokument zu öffnen oder eine speziell präparierte Webseite zu besuchen.
Falls der Benutzer über administrative Rechte verfügt, kann der Angreifer
das betroffene System vollständig kompromittieren. Dies ermöglicht dem
Angreifer beliebige Programme zu installieren, Dateien zu lesen / verändern
/ löschen oder Benutzerkonten mit sämtlichen Rechten zu erstellen.


CVE-2016-3209 CVE-2016-3262 CVE-2016-3263: Schwachstellen in Microsoft
Windows Grafikkomponente GDI ermöglichen Ausspähen von Informationen

In der Grafikkomponente GDI von Microsoft Windows existieren mehrere
Schwachstellen, durch die der Inhalt des Arbeitsspeichers offengelegt werden
kann. Die erlangten Informationen können von einem Angreifer anschließend
verwenden, um die Address Space Layout Randomization (ASLR) in Windows zu
umgehen und weitere Angriffe, wie beispielsweise das Ausführen beliebigen
Programmcodes, durchzuführen. Für die erfolgreiche Ausnutzung der
Schwachstellen muss sich ein Angreifer an einem System anmelden und eine
speziell präparierte Applikation ausführen. Ein lokaler, einfach
authentifizierter Angreifer kann durch diese Schwachstellen an vertrauliche
Informationen gelangen, die er für weitere Angriffe nutzen kann.


CVE-2016-3298: Schwachstelle in Internet Explorer ermöglicht Ausspähen von
Informationen

Aufgrund der fehlerhafte Behandlung von Objekten im Speicher besteht eine
Schwachstelle im Microsoft Internet Explorer in den Versionen 9, 10 und 11,
die es einem Angreifer ermöglicht die Existenz bestimmter Dateien auf einem
System nachzuweisen. Ein entfernter, nicht authentisierter Angreifer kann
diese Schwachstelle ausnutzen, indem er einen Benutzer dazu verleitet eine
präparierte Webseite zu besuchen, welche zur Ausnutzung der Schwachstelle
gestaltete Inhalte bereitstellt, und so Informationen ausspähen.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
<https://portal.cert.dfn.de/adv/DFN-CERT-2016-1672/>

Microsoft Sicherheitshinweise MS16-122 (Microsoft Videokontrolle):
<https://technet.microsoft.com/de-de/library/security/ms16-122>

Microsoft Sicherheitshinweise MS16-123 (Windows Kernel-Modustreiber):
<https://technet.microsoft.com/de-de/library/security/ms16-123>

Microsoft Sicherheitshinweise MS16-124 (Windows Registry):
<https://technet.microsoft.com/de-de/library/security/ms16-124>

Microsoft Sicherheitshinweise MS16-125 (Diagnose Hub):
<https://technet.microsoft.com/de-de/library/security/ms16-125>

Microsoft Sicherheitshinweise MS16-126 (Microsoft Internet Messaging API):
<https://technet.microsoft.com/de-de/library/security/ms16-126>

Microsoft Sicherheitshinweise MS16-120 (Microsoft Grafikkomponente):
<https://technet.microsoft.com/de-de/library/security/MS16-120>

Schwachstelle CVE-2016-0070 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0070>

Schwachstelle CVE-2016-0073 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0073>

Schwachstelle CVE-2016-0075 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0075>

Schwachstelle CVE-2016-0079 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0079>

Schwachstelle CVE-2016-0142 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0142>

Schwachstelle CVE-2016-3209 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3209>

Schwachstelle CVE-2016-3262 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3262>

Schwachstelle CVE-2016-3263 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3263>

Schwachstelle CVE-2016-3266 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3266>

Schwachstelle CVE-2016-3270 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3270>

Schwachstelle CVE-2016-3298 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3298>

Schwachstelle CVE-2016-3341 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3341>

Schwachstelle CVE-2016-3376 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3376>

Schwachstelle CVE-2016-3393 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3393>

Schwachstelle CVE-2016-3396 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3396>

Schwachstelle CVE-2016-7182 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7182>

Schwachstelle CVE-2016-7185 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7185>

Schwachstelle CVE-2016-7188 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7188>

Schwachstelle CVE-2016-7211 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7211>

Microsoft Knowledge Base Artikel: Oktober 2016 reines Sicherheits- und
Qualitätsupdate für Windows 7 SP1 und Windows Server 2008 R2 SP1:
<https://support.microsoft.com/de-de/kb/3192391>

Microsoft Knowledge Base Artikel: Reines Sicherheits- und Qualitätsupdate für
Oktober 2016 für Windows 8.1 und Windows Server 2012 R2:
<https://support.microsoft.com/de-de/kb/3192392>

Microsoft Knowledge Base Artikel: Reines Sicherheits- und Qualitätsupdate für
Oktober 2016 für Windows Server 2012:
<https://support.microsoft.com/de-de/kb/3192393>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Ausgabe 10/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.