Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 2 (30.10.2015):
Microsoft aktualisiert die Sicherheitsmeldung MS15-111, allerdings nur in
der englischen Variante, um über eine Änderung im Update 3088195 für alle
unterstützten Windows 7, Windows Server 2008 R2, Windows 8, Windows Server
2012, Windows RT, Windows 8.1, Windows Server 2012 R2 und Windows RT 8.1
Versionen zu informieren. Die Änderung blockt das Einspielen des Updates
3088195 temporär auf Systemen, die eine spezifische USB Blocker Software
Version verwenden, da diese nicht kompatibel mit dem Update ist. Kunden
die ihr System bereits erfolgreich aktualisiert haben, müssen keine
weiteren Aktionen durchführen.
Version 1 (14.10.2015):
Neues Advisory
Betroffene Software:
Microsoft Internet Explorer 8
Microsoft Internet Explorer 9
Microsoft Internet Explorer 10
Microsoft Internet Explorer 11
Microsoft jScript 5.7
Microsoft jScript 5.8
VBScript 5.7
VBScript 5.8
Betroffene Plattformen:
Microsoft Windows 7 Sp1 X64
Microsoft Windows 7 Sp1 X86
Microsoft Windows 8 X64
Microsoft Windows 8 X86
Microsoft Windows 8.1 X64
Microsoft Windows 8.1 X86
Microsoft Windows 10 X64
Microsoft Windows 10 X86
Microsoft Windows RT
Microsoft Windows RT 8.1
Microsoft Windows Server 2008 Microsoft Server 2008 64-Bit SP2 Server Core
Installation
Microsoft Windows Server 2008 Microsoft Server 2008 32-Bit SP2 Server Core
Installation
Microsoft Windows Server 2008 Sp2 Itanium
Microsoft Windows Server 2008 Sp2 X64
Microsoft Windows Server 2008 Sp2 X86
Microsoft Windows Server 2008 R2 Server Core Installation SP1 64-Bit
Microsoft Windows Server 2008 R2 Sp1 Itanium
Microsoft Windows Server 2008 R2 Sp1 X64
Microsoft Windows Server 2012
Microsoft Windows Server 2012 R2
Microsoft Windows Vista Sp2
Microsoft Windows Vista Sp2 X64
In Microsoft Windows befinden sich verschiedene Schwachstellen im Kernel,
der WIndows Shell sowie den JScript und VBScript Engines, die unter anderem
im Internet Explorer eingesetzt werden.
Entfernte Angreifer können diese Schwachstellen dazu ausnutzen, beliebigen
Programmcode mit den Rechten des Benutzers auszuführen. Lokale Benutzer
können die Schwachstellen dazu ausnutzen, beliebigen Code mit
Administratorrechten auszuführen.
Weiter gibt Microsoft folgende Änderungen an den Krypto-Funktionen bekannt
Die irrtümlich veröffentlichten Code-Signing-Zertifikate werden aus der
Liste der vertrauenswürdigen Zertifikate entfernt (KB 3097966).
Die folgenden TLS Algorithmen mit Perfect Forward Secrecy sind jetzt per
Default verfügbar (KB 3042058): TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_RSA_WITH_AES_256_GCM_SHA384 und
TLS_RSA_WITH_AES_128_GCM_SHA256
Der RC4 Algorithmus ist jetzt für weitere .NET Anwendungen unter Windows 10
deaktiviert (KB 2960358).
Patch:
Microsoft Sicherheitshinweis 3042058
https://technet.microsoft.com/de-de/library/security/3042058
Patch:
Microsoft Sicherheitshinweis 3097966
https://technet.microsoft.com/de-de/library/security/3097966
Patch:
Microsoft Sicherheitshinweis 2960358
https://technet.microsoft.com/de-de/library/security/2960358
Patch:
Microsoft Sicherheitshinweis MS15-108 (JScript, VBScript)
https://technet.microsoft.com/de-de/library/security/MS15-108
Patch:
Microsoft Sicherheitshinweis MS15-109 (Windows-Shell)
https://technet.microsoft.com/de-de/library/security/MS15-109
Patch:
Microsoft Sicherheitshinweis MS15-111 (Windows Kernel)
https://technet.microsoft.com/de-de/library/security/MS15-111
Patch:
Microsoft Knowledge Base Article 3088195
https://support.microsoft.com/de-de/kb/3088195
Patch:
Microsoft Security Bulletin MS15-111 (Windows Kernel, englisch)
https://technet.microsoft.com/en-us/library/security/MS15-111
CVE-2015-2554: Schwachstelle im Windows Kernel ermöglicht Ausführen
beliebigen Programmcodes mit Administratorrechten
Der Windows Kernel enthält nicht näher beschriebene Fehler bei der
Behandlung interner Objekte. Ein lokal angemeldeter Angreifer kann diese
Schwachstelle dazu ausnutzen, seine Rechte zu erweitern und beliebigen
Programmcode mit Administratorrechten auszuführen.
CVE-2015-2553: Schwachstelle im Windows Kernel ermöglicht
Privilegieneskalation
Der Windows Kernel wertet Junction Points (aka Symlinks) im NTFS Dateisystem
nicht korrekt aus, wenn Mount Points erzeugt werden.
Ein lokaler Angreifer kann die Schwachstelle dazu ausnutzen, beliebigen Code
mit den Rechten eines anderen Benutzers auszuführen. Dies ist speziell dann
von Bedeutung, wenn der fragliche Code in einer Sandbox ausgeführt werden
würde, da so ein Ausbruch aus der Sandbox möglich ist.
CVE-2015-2552: Schwachstelle im Windows Kernel ermöglicht das Umgehen von
Sicherheitsvorkehrungen
Der Windows Kernel parst die Boot Configuration Data (BCD) nicht korrekt.
Ein lokaler Angreifer mit Administrator-Rechten oder physischem Zugang zum
System kann mittels manipulierter BCDs die Trusted Boot Sequenz unterlaufen
und beliebigen Schadcode in das System einschleusen, auch wenn die
Festplatte mittels BitLocker verschlüsselt ist.
CVE-2015-2550: Schwachstelle im Windows Kernel ermöglicht Ausführen
beliebigen Programmcodes mit Administratorrechten
Der Windows Kernel enthält nicht näher beschriebene Fehler bei der
Behandlung interner Objekte. Ein lokal angemeldeter Angreifer kann diese
Schwachstelle dazu ausnutzen, seine Rechte zu erweitern und beliebigen Code
mit Administratorrechten auszuführen.
CVE-2015-2549: Schwachstelle in Microsoft Windows Kernel ermöglicht
Privilegieneskalation
Eine Schwachstelle im Windows Kernel in Windows Vista SP2, Windows 7 SP1,
Windows Server 2008 SP2 und R2 SP1, Windows 8, Windows 8.1, Windows Server
2012 Gold und R2, Windows RT Gold und 8.1 sowie Windows 10 besteht darin,
wie dieser Objekte im Speicher behandelt. Diese ermöglicht das Ausführen
beliebigen Programmcode im Kernel-Modus, wodurch ein Angreifer Programme
installieren, Dateien ansehen/ändern/löschen oder Benutzer mit vollen
Rechten erstellen kann. Ein lokaler, einfach authentifizierter Angreifer
kann Privilegien eskalieren und die Kontrolle über ein betroffenes System
komplett übernehmen.
CVE-2015-2548: Use-after-free-Schwachstelle in der Windows Tableteingabe
ermöglicht Ausführen beliebigen Programmcodes
Windows Vista SP2 und Windows 7 SP1 beinhalten eine Schwachstelle in der
Tableteingabe, die durch eine fehlerhafte Behandlung von Objekten im
Speicher hervorgerufen wird. Diese ermöglicht es einem Angreifer Remotecode
auszuführen und die Berechtigung des betroffenen Benutzers zu erlangen.
Handelt es sich bei dem Benutzer um einen Administrator, ist ein Angreifer
in der Lage die Kontrolle über das System zu erlangen, wodurch er Programme
installieren, Dateien ansehen/ändern/löschen und Benutzer mit sämtlichen
Rechten erstellen kann. Ein entfernter, nicht authentifizierter Angreifer
kann beliebigen Programmcode ausführen und die Systemkontrolle erlangen.
CVE-2015-2515: Use-after-free-Schwachstelle in der Windows Shell ermöglicht
Ausführen beliebigen Programmcodes
Die Windows Shell enthält eine Use-after-free-Schwachstelle bei der
Verarbeitung von Symbolleistenobjekten, durch die ein Fehler in der
Speicherverwaltung auftritt. Ein entfernter, nicht authentifizierter
Angreifer kann die Schwachstelle dazu ausnutzen, beliebigen Programmcode mit
den Rechten desjenigen Benutzers auszuführen, der ein von ihm manipuliertes
Symbolleistenobjekt öffnet. Wenn ein Benutzer mit administrativen
Benutzerrechten angemeldet ist, kann ein Angreifer Kontrolle über das
betroffene System erlangen.
CVE-2015-6059: Schwachstelle in Microsoft VBScript- und JScript-Engines 5.7
und 5.8 ermöglicht Ausführen beliebigen Programmcodes
Eine Schwachstelle in den Microsoft VBScript 5.7 und 5.8 sowie JScript 5.7
und 5.8 Engines, wie verwendet in Internet Explorer 8 bis 11, ermöglicht
einem entfernten, nicht authentifizierten Angreifer sensitive Informationen
aus dem Prozessspeicher auszulesen, wenn es ihm gelingt einen Benutzer auf
eine präparierte Website zu leiten.
CVE-2015-6052: Schwachstelle in Microsoft VBScript- und JScript-Engines 5.7
und 5.8 ermöglicht Umgehen von Sicherheitsvorkehrungen
Eine Schwachstelle in den Microsoft VBScript 5.7 und 5.8 sowie JScript 5.7
und 5.8 Engines, wie verwendet in Internet Explorer 8 bis 11 ermöglicht
einem entfernten, nicht authentifizierten Angreifer den “Address Space
Layout Randomization”(ASLR) Sicherheitsmechanismus zu umgehen, wodurch
Speicheradressen vorhersagbar werden. Ein Angreifer kann dies ausnutzen, in
Verbindung mit einer anderen Schwachstelle, welche das Ausführen von
Programmcode ermöglicht, indem er einen Benutzer auf eine präparierte
Website leitet, um verlässlicher beliebigen Programmcode auf dem betroffenen
System auszuführen.
CVE-2015-2482 CVE-2015-6055: Schwachstellen in Microsoft VBScript- und
JScript-Engines 5.7 und 5.8 ermöglichen Ausführen beliebigen Programmcodes
Zwei Speicherkorruptions-Schwachstellen (Memory Corruption) in den VBScript-
und JScript-Engines 5.7 und 5.8, wie in Microsoft Internet Explorer 8 bis 11
verwendet, ermöglichen einem entfernten, nicht authentifizierten Angreifer
beliebigen Programmcode mit den Rechten des Benutzers auszuführen. Die
VBScript-Engine und die JScript-Engine verarbeiten bestimmte Objekte im
Speicher nicht richtig, wodurch der Speicher beschädigt werden kann. Ein
Angreifer kann durch den beschädigten Speicher beliebigen Programmcode mit
den Rechten des Benutzers ausführen. Dazu leitet er einen Benutzer auf eine
präparierte Website. Der Angreifer kann diese Schwachstelle auch ausnutzen,
indem er ein als „initialisierungssicher“ gekennzeichnetes
ActiveX-Steuerelement in eine Anwendung oder ein Microsoft Office-Dokument
einbettet, die das Grafikwiedergabemodul des Internet Explorers hosten. Oder
er verwendet kompromittierte Websites und Websites, die von Endbenutzern
bereitgestellte Inhalte oder Werbung akzeptieren oder hosten. Diese Websites
können speziell präparierte Inhalte enthalten, mit denen dann die
Schwachstelle ausgenutzt wird.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1586/
Microsoft Sicherheitshinweis 3042058:
https://technet.microsoft.com/de-de/library/security/3042058
Microsoft Sicherheitshinweis 3097966:
https://technet.microsoft.com/de-de/library/security/3097966
Microsoft Sicherheitshinweis 2960358:
https://technet.microsoft.com/de-de/library/security/2960358
Microsoft Sicherheitshinweis MS15-108 (JScript, VBScript):
https://technet.microsoft.com/de-de/library/security/MS15-108
Microsoft Sicherheitshinweis MS15-109 (Windows-Shell):
https://technet.microsoft.com/de-de/library/security/MS15-109
Microsoft Sicherheitshinweis MS15-111 (Windows Kernel):
https://technet.microsoft.com/de-de/library/security/MS15-111
Schwachstelle CVE-2015-2482 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2482
Schwachstelle CVE-2015-2515 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2515
Schwachstelle CVE-2015-2548 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2548
Schwachstelle CVE-2015-2549 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2549
Schwachstelle CVE-2015-2550 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2550
Schwachstelle CVE-2015-2552 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2552
Schwachstelle CVE-2015-2553 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2553
Schwachstelle CVE-2015-2554 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2554
Schwachstelle CVE-2015-6052 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6052
Schwachstelle CVE-2015-6055 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6055
Schwachstelle CVE-2015-6059 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6059
Microsoft Knowledge Base Article 3088195:
https://support.microsoft.com/de-de/kb/3088195
Microsoft Security Bulletin MS15-111 (Windows Kernel, englisch):
https://technet.microsoft.com/en-us/library/security/MS15-111
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
