Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Malicious Software Removal Tool
VBScript 5.6
VBScript 5.7
VBScript 5.8
Microsoft Windows
Betroffene Plattformen:
Microsoft Windows 7 Sp1 X64
Microsoft Windows 7 Sp1 X86
Microsoft Windows 8 X64
Microsoft Windows 8 X86
Microsoft Windows 8.1 X64
Microsoft Windows 8.1 X86
Microsoft Windows Server 2003
Microsoft Windows Server 2003 R2
Microsoft Windows RT
Microsoft Windows RT 8.1
Microsoft Windows Server 2003 Sp2
Microsoft Windows Server 2003 Sp2 Itanium
Microsoft Windows Server 2003 Sp2 X64
Microsoft Windows Server 2003 R2 Sp2
Microsoft Windows Server 2003 R2 Sp2 X64
Microsoft Windows Server 2008 Microsoft Server 2008 64-Bit SP2 Server Core
Installation
Microsoft Windows Server 2008 Microsoft Server 2008 32-Bit SP2 Server Core
Installation
Microsoft Windows Server 2008 Sp2 Itanium
Microsoft Windows Server 2008 Sp2 X64
Microsoft Windows Server 2008 Sp2 X86
Microsoft Windows Server 2008 R2 Server Core Installation SP1 64-Bit
Microsoft Windows Server 2008 R2 Sp1 Itanium
Microsoft Windows Server 2008 R2 Sp1 X64
Microsoft Windows Server 2012
Microsoft Windows Server 2012 Server Core Installation
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2012 R2 Server Core Installation
Microsoft Windows Vista Sp2
Microsoft Windows Vista Sp2 X64
Mehrere Schwachstellen in Microsoft Windows erlauben eine Vielzahl von
Angriffen durch die lokale, authentifizierte Benutzer, als Angreifer, sowie
entfernte, nicht authentifizierte Angreifer höhere Privilegien erlangen,
beliebigen Programmcode zur Ausführung bringen, Informationen ausspähen und
Denial-of-Service-Angriffe durchführen können.
Patch:
Microsoft Sicherheitshinweis MS15-066 (VBScript Scripting Engine)
https://technet.microsoft.com/de-de/library/security/MS15-066
Patch:
Microsoft Sicherheitshinweis MS15-067 (Remote Desktop Protocol)
https://technet.microsoft.com/de-de/library/security/MS15-067
Patch:
Microsoft Sicherheitshinweis MS15-068 (Windows Hyper-V)
https://technet.microsoft.com/de-de/library/security/MS15-068
Patch:
Microsoft Sicherheitshinweis MS15-069 (Windows)
https://technet.microsoft.com/de-de/library/security/MS15-069
Patch:
Microsoft Sicherheitshinweis MS15-071 (Netlogon)
https://technet.microsoft.com/de-de/library/security/MS15-071
Patch:
Microsoft Sicherheitshinweis MS15-072 (Windows Graphics Component)
https://technet.microsoft.com/de-de/library/security/MS15-072
Patch:
Microsoft Sicherheitshinweis MS15-073 (Windows Kernelmodustreiber)
https://technet.microsoft.com/de-de/library/security/MS15-073
Patch:
Microsoft Sicherheitshinweis MS15-074 (Windows Installer Service)
https://technet.microsoft.com/de-de/library/security/MS15-074
Patch:
Microsoft Sicherheitshinweis MS15-075 (Windows OLE)
https://technet.microsoft.com/de-de/library/security/MS15-075
Patch:
Microsoft Sicherheitshinweis MS15-076 (Windows Remote Procedure Call)
https://technet.microsoft.com/de-de/library/security/MS15-076
Patch:
Microsoft Sicherheitshinweis MS15-077 (ATM Font Driver)
https://technet.microsoft.com/de-de/library/security/MS15-077
Patch:
Microsoft Security Advisory MSA-3074162 (Microsoft Malicious Software
Removal Tool)
https://technet.microsoft.com/de-de/library/security/3074162
CVE-2015-2418: Schwachstelle im Windows Tool zum Entfernen von bösartiger
Software ermöglicht Privilegieneskalation
Eine Schwachstelle im Microsoft Tool zum Entfernen bösartiger Software
(MSRT) ermöglicht es einem lokalen, authentifizierten Angreifer seine
Privilegien zu eskalieren. Hierzu platziert dieser eine speziell angepasste
DLL-Datei im lokalen Verzeichnis des Zielsystems. Führt ein Benutzer das
MSRT aus, wird der Programmcode aus der DLL-Datei ausgeführt und die
Privilegien des Angreifers werden eskaliert. Der Angreifer ist dadurch in
der Lage, Dateien zu lesen/ändern/löschen, Programme zu installieren oder
Benutzerkonten mit Administratorrechten zu erstellen.
CVE-2015-2416 CVE-2015-2417: Schwachstellen in OLE erlauben eine
Privilegieneskalation
Zwei Schwachstellen in OLE in Microsoft Windows Server 2003 SP2, Windows
Vista SP2, Windows Server 2008 SP2 und R2 SP1, Windows 7 SP1, Windows 8,
Windows 8.1, Windows Server 2012 Gold und R2 sowie Windows RT Gold und 8.1
ermöglichen jeweils, in Verbindung mit einer anderen Schwachstelle, eine
Eskalation von Privilegien. Durch Ausnutzen der Schwachstellen kann ein
entfernter, authentisierter Angreifer seine Rechte von niedriger auf
mittlere Integritätsebene erhöhen.
CVE-2015-2387: Schwachstelle in Adobe Type Manager Font Treiber ermöglicht
Privilegieneskalation
Bedingt durch eine Schwachstelle im Adobe Type Manager in Microsoft Windows
Server 2003 SP2, Windows Vista SP2, Windows Server 2008 SP2 und R2 SP1,
Windows 7 SP1, Windows 8, Windows 8.1, Windows Server 2012 Gold und R2 sowie
Windows RT Gold und 8.1 beim Behandeln von Objekten im Speicher kann es zu
einer kompletten Systemübernahme kommen. Ein lokaler, authentifizierter
Benutzer, als Angreifer, kann durch das Ausführen einer speziellen
Applikation komplette Systemrechte vergeben und ohne Einschränkung Dateien
ändern, löschen und ansehen.
CVE-2015-2381 CVE-2015-2382: Schwachstellen im Windows Kernelmodustreiber
erlauben das Ausspähen von Informationen
Zwei Schwachstellen im Windows Kernelmodustreiber in Windows 8, Windows 8.1,
Windows Server 2012 Gold und R2 sowie Windows RT Gold und 8.1 ermöglichen
das Auslesen von Speicherinhalten des Kernels bei Funktionsaufrufen. Ein
lokaler, authentifizierter Angreifer kann so, mittels einer präparierten
Anwendung, Informationen über das System sammeln und mit anderen Angriffen
kombinieren, um das System zu kompromittieren.
CVE-2015-2374: Schwachstelle in Netlogon ermöglicht Privilegieneskalation
Durch eine Schwachstelle in Netlogon in Microsoft Windows Server 2003 SP2
und R2 SP2, Windows Server 2008 SP2 und R2 SP1 sowie Windows Server 2012
Gold und R2 ist es einem Angreifer, der Zugang zu einem primären Domain
Controller (PDC) hat, mittels einer speziellen Applikation möglich, einen
sicheren Kommunikationskanal zu etablieren, indem er sich als Backup Domain
Controller (BDC) ausgibt. Durch Ausnutzen dieser Schwachstelle kann der
Angreifer Credentials ermitteln und eine Privilegieneskalation durchführen.
CVE-2015-2373: Schwachstelle in Remote Desktop Protokoll erlaubt das
Ausführen beliebigen Programmcodes
Bedingt durch eine Schwachstelle im Remote Desktop Protokoll (RDP) in
Windows 7 SP1, Windows 8 und Windows Server 2012 ist es einem entfernten,
nicht authentifizierten Angreifer möglich, mit Hilfe einer speziellen
Paketsequenz beliebigen Programmcode auf dem betroffenen System auszuführen.
CVE-2015-2372: Schwachstelle in VBScript erlaubt Ausführen beliebigen
Programmcodes
Eine Schwachstelle in VBScript besteht in der Behandlung von Objekten im
Speicher. Dies erlaubt es einem entfernten, nicht authentisierten Angreifer,
mit Hilfe einer speziell präparierten Website, die Rechte des Benutzers zu
übernehmen, der diese Webseite besucht. Im schlimmsten Fall ist der
Angreifer in der Lage, beliebigen Programmcode mit Administratorrechten
auszuführen.
CVE-2015-2371: Schwachstelle im Windows Installer Service ermöglicht das
Erlangen von Administratorrechten
Bedingt durch eine Schwachstelle des Windows Installer Services in Windows
Server 2003 SP2 und R2 SP2, Windows Vista SP2, Windows Server 2008 SP2 und
R2 SP1, Windows 7 SP1, Windows 8, Windows 8.1, Windows Server 2012 Gold und
R2 sowie Windows RT Gold und 8.1 kann ein lokaler, nicht autorisierter
Angreifer, mit Hilfe von speziell präparierten Kommandoskripten,
Administratorrechte erlangen. Dafür ist es zuerst notwendig einen bereits
angemeldeten Benutzer zu kompromittieren um diese Schwachstelle auszunutzen.
CVE-2015-2370: Schwachstelle im Windows Remote Procedure Call erlaubt das
Erlangen von Administratorrechten
Bedingt durch eine Schwachstelle in der Implementierung der Authentisierung
im Windows Remote Procedure Call (RPC) in Microsoft Windows Server 2003 SP2
und R2 SP2, Windows Vista SP2, Windows Server 2008 SP2 und R2 SP1, Windows 7
SP1, Windows 8, Windows 8.1, Windows Server 2012 Gold und R2 sowie Windows
RT Gold and 8.1 kann es einem lokalen, authentifizierten Angreifer gelingen,
Administratorrechte zu erlangen. Möglich wird das durch das Ausführen einer
speziellen Datei, die nach einmaliger Autorisierung seitens des Angreifers
ausgeführt werden kann.
CVE-2015-2369: Schwachstelle in Windows erlaubt das Ausführen beliebigen
Programmcodes
Eine Schwachstelle in Windows Server 2003 SP2, Windows Vista SP2, Windows
Server 2008 SP2 und R2 SP1 sowie Windows 7 SP1 besteht beim Laden von
speziell präparierten DLL-Dateien. Diese Schwachstelle ermöglicht es einem
lokalen, authentifizierter Angreifer beliebigen Programmcode auszuführen und
das System vollständig zu übernehmen. Hierzu muss der Angreifer auf dem
Zielsystem eine solche DLL-Datei im Arbeitsverzeichnis des Benutzers
platzieren. Danach muss der Benutzer dazu gebracht werden, eine speziell
angepasste RTF-Datei zu öffnen, welche den Schadcode ausführt. Ein Angreifer
ist dadurch in der Lage, Dateien zu lesen/ändern/löschen, Programme zu
installieren oder neue Benutzerkonten zu erstellen.
CVE-2015-2368: Schwachstelle in Windows ermöglicht das Ausführen beliebigen
Programmcodes
Eine Schwachstelle in Windows 7 SP1, Windows Server 2008 R2 SP1, Windows
8.1, Windows Server 2012 R2 und Windows RT 8.1 besteht beim Laden von
DLL-Dateien. Dies ermöglicht es einem lokalen, authentifizierten Angreifer
beliebigen Programmcode auszuführen und das System vollständig zu
übernehmen. Hierzu muss der Angreifer auf dem Zielsystem eine speziell
angepasste DLL-Datei im Arbeitsverzeichnis des Benutzers platzieren. Danach
muss der Benutzer dazu gebracht werden, ein Programm zu öffnen, das diese
DLL-Datei lädt und somit den Schadcode ausführt. Ein Angreifer ist dadurch
in der Lage, Dateien zu lesen/ändern/löschen, Programme zu installieren oder
neue Benutzerkonten zu erstellen.
CVE-2015-2367: Schwachstelle im Windows Kernelmodustreiber ermöglicht das
Ausspähen von Informationen
Eine Schwachstelle im Windows Kernelmodustreiber in Microsoft Windows Server
2003 SP2 und R2 SP2, Windows Vista SP2, Windows Server 2008 SP2 und R2 SP1,
Windows 7 SP1, Windows 8, Windows 8.1, Windows Server 2012 Gold und R2 sowie
Windows RT Gold und 8.1 besteht aufgrund einer unsauberen Behandlung
bestimmter nicht initialisierter Werte im Speicher. Dies ermöglicht es einem
lokalen, authentifizierten Angreifer Daten aus dem Speicher auszulesen und
somit Informationen auszuspähen.
CVE-2015-2366: Schwachstelle im Windows Kernelmodustreiber erlaubt
Privilegieneskalation
Eine Schwachstelle im Windows Kernelmodustreiber in Windows 7 SP1, Windows
Server 2008 R2 SP1, Windows 8, Windows 8.1, Windows Server 2012 Gold und R2
sowie Windows RT Gold und 8.1 besteht darin, wie dieser Objekte im Speicher
behandelt. Dies ermöglicht einem lokalen, authentifizierten Angreifer
beliebigen Programmcode im Kernel-Modus auszuführen. Dadurch kann ein
Angreifer Programme installieren, Dateien ansehen/ändern/löschen oder
Benutzer mit vollen Rechten erstellen. Ein Angreifer ist in der Lage, das
betroffenen System vollständig zu übernehmen.
CVE-2015-2365: Schwachstelle im Windows Kernelmodustreiber ermöglicht
Privilegieneskalation
Eine Schwachstelle im Windows Kernelmodustreiber besteht darin, wie dieser
Objekte im Speicher behandelt. Dies ermöglicht einem lokalen,
authentifizierten Angreifer belibigen Programmcode im Kernel-Modus
auszuführen. Dadurch kann ein Angreifer Programme installieren, Dateien
ansehen/ändern/löschen oder Benutzer mit vollen Rechten erstellen. Ein
Angreifer ist in der Lage, das betroffenen System vollständig zu übernehmen.
CVE-2015-2364: Schwachstelle in der Windows Grafik-Komponente erlaubt
Privilegieneskalation
Eine Schwachstelle in der Windows Grafik-Komponente in Windows Server 2003
SP2 und R2 SP2, Windows Vista SP2, Windows Server 2008 SP2 und R2 SP1,
Windows 7 SP1, Windows 8, Windows 8.1, Windows Server 2012 Gold und R2 sowie
Windows RT Gold und 8.1 ermöglicht das Eskalieren von Privilegien, wenn der
Verarbeitungsprozess zum Konvertieren von Bitmaps fehlschlägt. Ein lokaler,
authentifizierter Angreifer kann diese Schwachstelle ausnutzen und mit Hilfe
einer speziell präparierten Software seine Privilegien eskalieren. In der
Folge ist er der Lage, Daten zu lesen/ändern/löschen, Programme zu
installieren oder neue Benutzerkonten anzulegen.
CVE-2015-2363: Schwachstelle im Windows Kernelmodustreiber erlaubt
Privilegieneskalation
Eine Schwachstelle im Windows Kernelmodustreiber in Microsoft Windows Server
2003 SP2 und R2 SP2, Windows Vista SP2, Windows Server 2008 SP2 und R2 SP1,
Windows 7 SP1, Windows 8, Windows 8.1, Windows Server 2012 und Windows RT
besteht darin, wie dieser Objekte im Speicher behandelt. Dies ermöglicht
einem lokalen, authentifizierten Angreifer beliebigen Programmcode im
Kernel-Mode auszuführen. Dadurch kann ein Angreifer Programme installieren,
Dateien ansehen/ändern/löschen oder Benutzer mit vollen Rechten erstellen.
Ein Angreifer ist in der Lage, das betroffenen System vollständig zu
übernehmen.
CVE-2015-2362: Schwachstelle in Windows Hyper-V erlaubt das Ausführen
beliebigen Programmcodes
Eine Schwachstelle in Windows Hyper-V besteht darin, dass dieses die
Datenstruktur eines Gastsystems nicht ordentlich initialisiert. Das
ermöglicht einem entfernten, auf einer Gast-VM authentifizierten Angreifer
beliebigen Programmcode auf dem Host-System auszuführen. Hierfür benötigt
ein Angreifer ein privilegiertes Benutzerkonto mit gültigen Zugangsdaten für
die Gast-VM.
CVE-2015-2361: Schwachstelle in Windows Hyper-V erlaubt das Ausführen
beliebigen Programmcodes
Eine Schwachstelle in Windows Hyper-V ermöglicht einem entfernten, auf einer
Gast-VM authentifizierten Angreifer einen Pufferüberlauf (“buffer overflow”)
auf dem Host auszulösen und dadurch beliebigen Programmcode auszuführen oder
einen Denial-of-Service (DoS)-Zustand herbeizuführen. Hierfür benötigt ein
Angreifer ein privilegiertes Benutzerkonto mit gültigen Zugangsdaten für die
Gast-VM.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1060/
Microsoft Sicherheitshinweis MS15-066 (VBScript Scripting Engine):
https://technet.microsoft.com/de-de/library/security/MS15-066
Microsoft Sicherheitshinweis MS15-067 (Remote Desktop Protocol):
https://technet.microsoft.com/de-de/library/security/MS15-067
Microsoft Sicherheitshinweis MS15-068 (Windows Hyper-V):
https://technet.microsoft.com/de-de/library/security/MS15-068
Microsoft Sicherheitshinweis MS15-069 (Windows):
https://technet.microsoft.com/de-de/library/security/MS15-069
Microsoft Sicherheitshinweis MS15-071 (Netlogon):
https://technet.microsoft.com/de-de/library/security/MS15-071
Microsoft Sicherheitshinweis MS15-072 (Windows Graphics Component):
https://technet.microsoft.com/de-de/library/security/MS15-072
Microsoft Sicherheitshinweis MS15-073 (Windows Kernelmodustreiber):
https://technet.microsoft.com/de-de/library/security/MS15-073
Microsoft Sicherheitshinweis MS15-074 (Windows Installer Service):
https://technet.microsoft.com/de-de/library/security/MS15-074
Microsoft Sicherheitshinweis MS15-075 (Windows OLE):
https://technet.microsoft.com/de-de/library/security/MS15-075
Microsoft Sicherheitshinweis MS15-076 (Windows Remote Procedure Call):
https://technet.microsoft.com/de-de/library/security/MS15-076
Microsoft Sicherheitshinweis MS15-077 (ATM Font Driver):
https://technet.microsoft.com/de-de/library/security/MS15-077
Schwachstelle CVE-2015-2361 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2361
Schwachstelle CVE-2015-2362 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2362
Schwachstelle CVE-2015-2363 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2363
Schwachstelle CVE-2015-2364 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2364
Schwachstelle CVE-2015-2365 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2365
Schwachstelle CVE-2015-2366 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2366
Schwachstelle CVE-2015-2367 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2367
Schwachstelle CVE-2015-2368 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2368
Schwachstelle CVE-2015-2369 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2369
Schwachstelle CVE-2015-2370 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2370
Schwachstelle CVE-2015-2371 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2371
Schwachstelle CVE-2015-2372 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2372
Schwachstelle CVE-2015-2373 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2373
Schwachstelle CVE-2015-2374 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2374
Schwachstelle CVE-2015-2381 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2381
Schwachstelle CVE-2015-2382 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2382
Schwachstelle CVE-2015-2387 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2387
Schwachstelle CVE-2015-2416 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2416
Schwachstelle CVE-2015-2417 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2417
Microsoft Security Advisory MSA-3074162 (Microsoft Malicious Software Removal
Tool):
https://technet.microsoft.com/de-de/library/security/3074162
Schwachstelle CVE-2015-2418 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2418
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
