2059504

Microsoft beseitigt FREAK-Lücke in Windows

11.03.2015 | 16:28 Uhr |

Beim Update-Dienstag im März hat Microsoft 14 Security Bulletins veröffentlicht. Fünf davon behandeln Schwachstellen, die Microsoft als kritisch einstuft, darunter eine alte Stuxnet-Lücke.

Nachdem Microsoft seit Anfang des Jahres leider keine Ankündigung zum Patch Day mehr veröffentlicht, ist jeder Update-Dienstag ein Überraschungspaket. Im März enthält es einen Patch für eine längst gestopft geglaubte Schwachstelle, die 2010 durch den Spionage-Schädling Stuxnet bekannt wurde – die so genannte LNK-Lücke. Fünf der 14 Security Bulletins behandeln kritische Sicherheitslücken, insgesamt sind es mehr als 40.

Für den Internet Explorer (IE) 6 bis 11 gibt es ein neues Sammel-Update, das 12 weitere Lücken stopft. Zwei dieser Schwachstellen waren bereits vorab bekannt. So hatte ein britischer Sicherheitsforscher im Februar einige Details zu einer UXSS-Lücke (universal cross-site scripting) veröffentlicht, die den IE 9 bis 11 betrifft (CVE-2015-0072). Sie erlaubt es einem Angreifer sich höhere Berechtigungen zu verschaffen und Nutzerdaten zu stehlen. Die Schwachstelle mit der Bezeichnung CVE-2015-1625 hingegen ermöglicht es einem Angreifer beliebigen Code einzuschleusen und mit den Rechten des angemeldeten Benutzers auszuführen.

Hinzu kommt noch eine kritische Lücke in VBScript, die im IE 6 bis 8 mit den Updates aus dem Bulletin MS15-019 geschlossen wird, für den IE 9 bis 11 hingegen mit dem Sammel-Update aus MS15-018. Auch für Windows 10 (Windows Technical Preview und Windows Server Technical Preview) gibt es mit dem IE-Sammel-Update Abhilfe.

Das Security Bulletin MS15-020 behandelt zwei Schwachstellen, die sich ebenfalls eignen, um Code einzuschleusen. Eine ist die besagte LNK-Lücke, die bereits durch Stuxnet genutzt wurde. Sie sollte an sich bereits durch MS10-046 beseitigt sein, doch dieser Patch hat offenbar Schlupflöcher gelassen. So führt Windows eine gezielt platzierte DLL aus, wenn der Benutzer eine Datei in demselben Verzeichnis öffnet. Die andere Schwachstelle betrifft die Windows-Textdienste (WTS), die Speicherobjekte nicht korrekt verarbeiten.

Insgesamt fünf Lücken stecken außerdem in Microsoft Office 2007, 2010 und 2013 sowie Sharepoint Server 2007, 2010 und 2013. Eine ist als kritisch eingestuft und betrifft die Verarbeitung speziell präparierter RTF-Dateien (Rich Text Format). Es kann genügen, eine Mail mit einem solchen Anhang in der Outlook-Vorschau anzuzeigen, um schädlichen Code mit Benutzerrechten auszuführen. Ebenfalls fünf Schwachstellen hat Microsoft im Adobe-Schriftartentreiber beseitigt. Drei der Lücken sind als kritisch eingestuft.

Bulletin

Risikostufe

Ausnutz-barkeit

Effekt

betroffene Software

Neustart nötig?

MS15-018

kritisch

0

RCE

Windows (alle); Internet Explorer 6 bis 11

ja

MS15-019

kritisch

1

RCE

Windows Vista, Server 2003/2008; IE 6 bis 8, VBScript

u.U.

MS15-020

kritisch

2

RCE

Windows (alle); Windows-Textdienste

u.U.

MS15-021

kritisch

2

RCE

Windows (alle); Adobe-Schriftartentreiber

ja

MS15-022

kritisch

1

RCE

MS Office (2007/2010/2013/RT), Sharepoint 2007/2010/2013; Word, Excel, Powerpoint, Viewer

u.U.

MS15-023

hoch

2

EoP

Windows (alle); Kernelmodustreiber

ja

MS15-024

hoch

3

ID

Windows (alle); PNG-Verarbeitung

u.U.

MS15-025

hoch

2

EoP

Windows (alle); Kernel

ja

MS15-026

hoch

2

EoP

Exchange Server 2013; OWA,Besprechnungsplanung

nein

MS15-027

hoch

2

Spoofing

Windows Server (alle); NETLOGON

ja

MS15-028

hoch

2

SFB

Windows 7 und neuer, Server 2008 R2 und neuer; Taskplaner

ja

MS15-029

hoch

2

ID

Windows (alle); Photo Decoder, JPEG XR (.JXR)-Bilder

u.U.

MS15-030

hoch

3

DoS

Windows 7 und neuer, Server 2008 R2 und neuer; RDP

ja

MS15-031

hoch

1

SFB

Windows (alle); SChannel (FREAK TLS-Angriff)

ja

u.U. – unter Umständen
RCE – Remote Code Execution: eingeschleuster Code wird ausgeführt
EoP – Elevation of Privilege: Ausweitung von Berechtigungen
ID – Information Disclosure: Datenleck
SFB - Security Feature Bypass: Sicherheitsfunktion umgehen

Weitere fünf Lücken behebt Microsoft mit einem Sicherheits-Update für den Exchange Server 2013. Das Risiko stuft Microsoft als hoch ein, Angreifer können sich höhere Berechtigungen verschaffen. Vier der Schwachstellen betreffen Outlook Web App (OWA). Die fünfte kann Spoofing durch gefälschte Exchange-Besprechungsanfragen ermöglichen, wenn Exchange die Identität des Benutzers nicht ordnungsgemäß überprüft.

Entgegen Microsofts ursprünglicher Einschätzung ist auch Windows anfällig für den so genannten FREAK TLS-Angriff. Dabei kann ein Angreifer bei verschlüsselten Web-Verbindungen als Man-in-the-Middle eine schwache, knackbare Verschlüsselung erzwingen (RSA 512 Bit). Das Update zum Bulletin MS15-031 korrigiert in der Komponente SChannel (sicherer Kanal) das Erzwingen von Richtlinien, sodass die RSA-Schlüssellänge nicht mehr herabgesetzt werden kann.

Microsofts "Windows-Tool zum Entfernen bösartiger Software" soll in der neuen Version 5.22 (März 2015) auch die Adware Superfish entfernen, die der PC-Hersteller Lenovo auf einigen seiner Geräte vorinstalliert hat. Die März-Version des Schädlingsbekämpfers ist allerdings zurzeit nicht als separater Download erhältlich, sondern nur über Windows Update. Die Download-Fassung soll erst "in den nächsten Wochen" verfügbar sein. Der in Windows 8.x enthaltene Windows Defender sowie das kostenlos erhältliche Antivirusprogramm Microsoft Security Essentials erkennen und beseitigen Superfish mitsamt dem problematischen Root-Zertifikat laut Microsoft Malware Blog bereits seit 19. Februar.


0 Kommentare zu diesem Artikel
2059504