Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Malicious Software Removal Tool
Microsoft Windows
Betroffene Plattformen:
Microsoft Windows 7 SP1 x64
Microsoft Windows 7 SP1 x86
Microsoft Windows 8.1 x64
Microsoft Windows 8.1 x86
Microsoft Windows 10 x64
Microsoft Windows 10 x86
Microsoft Windows 10 x64 v1511
Microsoft Windows 10 x86 v1511
Microsoft Windows 10 x64 v1607
Microsoft Windows 10 x86 v1607
Microsoft Windows RT 8.1
Microsoft Windows Server 2008 SP2 x64 Server Core Installation
Microsoft Windows Server 2008 SP2 x86 Server Core Installation
Microsoft Windows Server 2008 SP2 Itanium
Microsoft Windows Server 2008 SP2 x64
Microsoft Windows Server 2008 SP2 x86
Microsoft Windows Server 2008 R2 SP1 x64 Server Core Installation
Microsoft Windows Server 2008 R2 SP1 Itanium
Microsoft Windows Server 2008 R2 SP1 x64
Microsoft Windows Server 2012
Microsoft Windows Server 2012 Server Core Installation
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2012 R2 Server Core Installation
Microsoft Windows Vista SP2
Microsoft Windows Vista SP2 x64
In Microsoft Windows existieren insgesamt 12 Schwachstellen in den
Komponenten Windows-PDF-Bibliothek, Windows-Grafikkomponente,
Windows-Kernelmodustreiber, ActiveSyncProvider,
Windows-Authentifizierungsmethoden und sicherer Start (nähere Informationen
siehe Microsoft Security Bulletins MS16-097, MS16-098, MS16-100, MS16-101,
MS16-102 und MS16-103).
Microsoft informiert zusätzlich über ein Softwareupdate für das Microsoft
Windows-Tool zum Entfernen bösartiger Software und weist darauf hin, dass
Windows Server 2016 Technical Preview 5 ebenfalls von den hier aufgeführten
Schwachstellen betroffen ist. In der Microsoft-Sicherheitsempfehlung 3179528
(Kernelmodus-Sperrliste) informiert Microsoft zudem über die Sperrung von
veröffentlichten Versionen der securekernel.exe für Windows 10 Gold, Windows
10 1511 sowie Windows Server 2016 Technical Preview 5. Eine
Benutzerinteraktion ist diesbezüglich nicht notwendig, da eine entsprechende
Aktualisierung Bestandteil eines kumulativen Sicherheitsupdates ist.
Entfernte wie lokale, nicht oder einfach authentifizierte Angreifer können
die Schwachstellen dazu ausnutzen, beliebigen Programmcode mit den Rechten
eines Benutzers auszuführen, und, falls der Benutzer über
Administratorrechte verfügt, die vollständige Kontrolle über das System zu
übernehmen. Des Weiteren können Informationen ausgespäht, Privilegien
erweitert und Sicherheitsvorkehrungen umgangen werden.
Patch:
Microsoft Sicherheitshinweise MS16-097 (Microsoft-Grafikkomponente)
https://technet.microsoft.com/de-de/library/security/MS16-097
Patch:
Microsoft Sicherheitshinweise MS16-098 (Windows-Kernelmodustreiber)
https://technet.microsoft.com/de-de/library/security/MS16-098
Patch:
Microsoft Sicherheitshinweise MS16-100 (Secure Boot)
https://technet.microsoft.com/de-de/library/security/MS16-100
Patch:
Microsoft Sicherheitshinweise MS16-101 (Windows Authentication Methods)
https://technet.microsoft.com/de-de/library/security/MS16-101
Patch:
Microsoft Sicherheitshinweise MS16-102 (Microsoft Windows-PDF)
https://technet.microsoft.com/de-de/library/security/MS16-102
Patch:
Microsoft Sicherheitshinweise MS16-103 (ActiveSyncProvider)
https://technet.microsoft.com/de-de/library/security/MS16-103
CVE-2016-3320: Schwachstelle in Secure Boot ermöglicht Umgehen von
Sicherheitsvorkehrungen
In verschiedenen Versionen von Microsoft Windows besteht eine Schwachstelle,
wenn Windows Secure Boot einen fehlerhaften Boot-Manager lädt. Dies
ermöglicht das Laden von Test-signierten ausführbaren Dateien und Treibern
sowie die Deaktivierung der Überprüfung der Codeintegrität. Des weiteren
kann die Secure Boot Integritätsprüfung für BitLocker und die
Laufwerksverschlüsselung umgangen werden. Ein entfernter Angreifer, der
administrative Rechte erlangen konnte, oder ein lokaler, nicht
authentifizierter Angreifer mit physikalischen Zugriff auf ein Gerät kann
diese Schwachstelle ausnutzen und durch die Installation eines fehlerhaften
Boot-Managers Sicherheitsvorkehrungen umgehen.
CVE-2016-3312: Schwachstelle in ActiveSyncProvider ermöglicht Ausspähen von
Informationen
Die App Universal Outlook von Microsoft Windows 10 Gold und 1511 baut
sichere Verbindungen nicht ordnungsgemäß auf. Ein entfernter, nicht
authentifizierter Angreifer kann dies über die ActiveSyncProvider Komponente
ausnutzen, um Anmeldeinformationen und Kennwörter von Benutzern für
Universal Outlook auszuspähen und diese eventuell für weitere Angriffe
verwenden.
CVE-2016-3308 CVE-2016-3309 CVE-2016-3310 CVE-2016-3311: Schwachstellen im
Windows-Kernelmodustreiber Win32k ermöglichen Erlangen von
Administratorrechten
Es bestehen mehrere Schwachstellen im Microsoft Windows Kernelmodustreiber
(Win32K), die auf einer fehlerhaften Verarbeitung von Objekten im Speicher
beruhen. Ein lokaler, einfach authentisierter Angreifer kann unter
Verwendung einer speziell veränderten Anwendung diese Schwachstellen
ausnutzen, um seine Privilegien zu erweitern und dadurch beliebigen
Programmcode im privilegierten Kernel-Modus zur Ausführung zu bringen und in
der Folge das System vollständig zu kompromittieren.
CVE-2016-3301 CVE-2016-3303 CVE-2016-3304: Schwachstellen in
Windows-Grafikkomponente ermöglichen Ausführung beliebigen Programmcodes
In der Windows Font Bibliothek in verschiedenen Versionen von Microsoft
Windows, Microsoft Office, Microsoft Skype for Business, Microsoft Lync
sowie der Microsoft Live Meeting 2007 Konsole existieren mehrere
Speicherkorruptions-Schwachstellen (Graphics Memory Corruption
Vulnerabilities). Ein entfernter, nicht authentifizierter Angreifer kann
diese Schwachstellen mittels einer speziell präparierten Schriftartendatei
(Font) ausnutzen, um beliebigen Programmcode zur Ausführung zu bringen. Dazu
muss er einen Benutzer dazu verleiten, ein speziell gestaltetes Dokument zu
öffnen oder eine Webseite zu besuchen, welche diese Schriftart enthält. Die
Schwachstellen können auch über die Dokumentenvorschau von Microsoft Office
ausgenutzt werden. Falls der Benutzer über administrative Rechte verfügt,
kann der Angreifer das betroffene System vollständig kompromittieren.
CVE-2016-3300: Schwachstelle in Netlogon ermöglicht Privilegieneskalation
Durch eine Schwachstelle in Netlogon in Microsoft Windows Server 2012 und
2012 R2 ist es einem Angreifer, der Zugang zu einem Gerät innerhalb einer
Domäne hat möglich, einen sicheren Kommunikationskanal zu etablieren. Durch
Ausnutzen dieser Schwachstelle kann ein entfernter, einfach authentisierter
Angreifer seine Privilegien eskalieren und auf dem betroffenen System
speziell präparierte Anwendungen ausführen.
CVE-2016-3237: Schwachstelle in Microsoft Windows ermöglicht
Privilegeineskalation
In Microsoft Windows besteht eine Schwachstelle, wenn Kerberos eine
Passwortänderungsanfrage fehlerhaft behandelt und auf NT LAN Manager (NTLM)
als Standard-Authentifizierungsprotokoll zurückfällt. Dies ermöglicht es
einem Angreifer in einem Man-in-the-middle (MitM)-Angriff zwischen
Domain-Controller und einem Zielgerät die Verwendung von NTLM zu erzwingen
und so die Kerberos Authentifizierung zu umgehen. Ein einfach
authentisierter Angreifer im benachbarten Netzwerk kann Privilegien
eskalieren.
CVE-2016-3319: Schwachstelle in Windows PDF-Bibliothek erlaubt Ausführung
beliebigen Programmcodes
In der Windows PDF-Bibliothek besteht eine Schwachstelle, die auf der
fehlerhaften Verarbeitung von Daten im Speicher beruht. Ein entfernter,
nicht authentifizierter Angreifer kann die Schwachstelle dazu ausnutzen,
beliebigen Programmcode mit den Rechten des Anwenders zur Ausführung zu
bringen, wenn es ihm gelingt, einen Anwender auf eine von ihm kontrollierte
Webseite mit speziell präparierten PDF-Inhalten zu leiten. Falls der
Anwender mit Administratorrechten ausgestattet ist, kann dies zu einer
vollständigen Kontrolle des Systems durch den Angreifer führen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1300/
Microsoft Sicherheitshinweise MS16-097 (Microsoft-Grafikkomponente):
https://technet.microsoft.com/de-de/library/security/MS16-097
Microsoft Sicherheitshinweise MS16-098 (Windows-Kernelmodustreiber):
https://technet.microsoft.com/de-de/library/security/MS16-098
Microsoft Sicherheitshinweise MS16-100 (Secure Boot):
https://technet.microsoft.com/de-de/library/security/MS16-100
Microsoft Sicherheitshinweise MS16-101 (Windows Authentication Methods):
https://technet.microsoft.com/de-de/library/security/MS16-101
Microsoft Sicherheitshinweise MS16-102 (Microsoft Windows-PDF):
https://technet.microsoft.com/de-de/library/security/MS16-102
Microsoft Sicherheitshinweise MS16-103 (ActiveSyncProvider):
https://technet.microsoft.com/de-de/library/security/MS16-103
Microsoft-Sicherheitsempfehlung 3179528 (Kernelmodus-Sperrliste):
https://technet.microsoft.com/de-de/library/security/3179528
Schwachstelle CVE-2016-3237 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3237
Schwachstelle CVE-2016-3300 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3300
Schwachstelle CVE-2016-3301 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3301
Schwachstelle CVE-2016-3303 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3303
Schwachstelle CVE-2016-3304 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3304
Schwachstelle CVE-2016-3308 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3308
Schwachstelle CVE-2016-3309 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3309
Schwachstelle CVE-2016-3310 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3310
Schwachstelle CVE-2016-3311 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3311
Schwachstelle CVE-2016-3312 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3312
Schwachstelle CVE-2016-3319 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3319
Schwachstelle CVE-2016-3320 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3320
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
