Beim Update-Dienstag im März hat Microsoft 14 Security Bulletins veröffentlicht. Fünf davon behandeln Schwachstellen, die Microsoft als kritisch einstuft, darunter eine alte Stuxnet-Lücke.

Nachdem Microsoft seit Anfang des Jahres leider
keine Ankündigung zum Patch Day
mehr veröffentlicht, ist jeder Update-Dienstag ein Überraschungspaket. Im März enthält es einen Patch für eine längst gestopft geglaubte Schwachstelle, die 2010 durch den Spionage-Schädling Stuxnet bekannt wurde – die so genannte LNK-Lücke. Fünf der
14 Security Bulletins
behandeln kritische Sicherheitslücken, insgesamt sind es mehr als 40.
Für den Internet Explorer (IE) 6 bis 11 gibt es ein neues Sammel-Update, das 12 weitere Lücken stopft. Zwei dieser Schwachstellen waren bereits vorab bekannt. So hatte ein britischer Sicherheitsforscher im Februar einige Details zu einer UXSS-Lücke (universal cross-site scripting) veröffentlicht, die den IE 9 bis 11 betrifft (CVE-2015-0072). Sie erlaubt es einem Angreifer sich höhere Berechtigungen zu verschaffen und Nutzerdaten zu stehlen. Die Schwachstelle mit der Bezeichnung CVE-2015-1625 hingegen ermöglicht es einem Angreifer beliebigen Code einzuschleusen und mit den Rechten des angemeldeten Benutzers auszuführen.
Hinzu kommt noch eine kritische Lücke in VBScript, die im IE 6 bis 8 mit den Updates aus dem Bulletin MS15-019 geschlossen wird, für den IE 9 bis 11 hingegen mit dem Sammel-Update aus MS15-018. Auch für Windows 10 (Windows Technical Preview und Windows Server Technical Preview) gibt es mit dem IE-Sammel-Update Abhilfe.
Das Security Bulletin MS15-020 behandelt zwei Schwachstellen, die sich ebenfalls eignen, um Code einzuschleusen. Eine ist die besagte LNK-Lücke, die bereits durch
Stuxnet
genutzt wurde. Sie sollte an sich bereits durch MS10-046 beseitigt sein, doch dieser Patch hat offenbar Schlupflöcher gelassen. So führt Windows eine gezielt platzierte DLL aus, wenn der Benutzer eine Datei in demselben Verzeichnis öffnet. Die andere Schwachstelle betrifft die Windows-Textdienste (WTS), die Speicherobjekte nicht korrekt verarbeiten.
Insgesamt fünf Lücken stecken außerdem in Microsoft Office 2007, 2010 und 2013 sowie Sharepoint Server 2007, 2010 und 2013. Eine ist als kritisch eingestuft und betrifft die Verarbeitung speziell präparierter RTF-Dateien (Rich Text Format). Es kann genügen, eine Mail mit einem solchen Anhang in der Outlook-Vorschau anzuzeigen, um schädlichen Code mit Benutzerrechten auszuführen. Ebenfalls fünf Schwachstellen hat Microsoft im Adobe-Schriftartentreiber beseitigt. Drei der Lücken sind als kritisch eingestuft.
Bulletin |
Risikostufe |
Ausnutz-barkeit |
Effekt |
betroffene Software |
Neustart nötig? |
---|---|---|---|---|---|
kritisch |
0 |
RCE |
Windows (alle); Internet Explorer 6 bis 11 |
ja |
|
kritisch |
1 |
RCE |
Windows Vista, Server 2003/2008; IE 6 bis 8, VBScript |
u.U. |
|
kritisch |
2 |
RCE |
Windows (alle); Windows-Textdienste |
u.U. |
|
kritisch |
2 |
RCE |
Windows (alle); Adobe-Schriftartentreiber |
ja |
|
kritisch |
1 |
RCE |
MS Office (2007/2010/2013/RT), Sharepoint 2007/2010/2013; Word, Excel, Powerpoint, Viewer |
u.U. |
|
hoch |
2 |
EoP |
Windows (alle); Kernelmodustreiber |
ja |
|
hoch |
3 |
ID |
Windows (alle); PNG-Verarbeitung |
u.U. |
|
hoch |
2 |
EoP |
Windows (alle); Kernel |
ja |
|
hoch |
2 |
EoP |
Exchange Server 2013; OWA,Besprechnungsplanung |
nein |
|
hoch |
2 |
Spoofing |
Windows Server (alle); NETLOGON |
ja |
|
hoch |
2 |
SFB |
Windows 7 und neuer, Server 2008 R2 und neuer; Taskplaner |
ja |
|
hoch |
2 |
ID |
Windows (alle); Photo Decoder, JPEG XR (.JXR)-Bilder |
u.U. |
|
hoch |
3 |
DoS |
Windows 7 und neuer, Server 2008 R2 und neuer; RDP |
ja |
|
hoch |
1 |
SFB |
Windows (alle); SChannel (FREAK TLS-Angriff) |
ja |
u.U. – unter Umständen
RCE – Remote Code Execution: eingeschleuster Code wird ausgeführt
EoP – Elevation of Privilege: Ausweitung von Berechtigungen
ID – Information Disclosure: Datenleck
SFB - Security Feature Bypass: Sicherheitsfunktion umgehen
Weitere fünf Lücken behebt Microsoft mit einem Sicherheits-Update für den Exchange Server 2013. Das Risiko stuft Microsoft als hoch ein, Angreifer können sich höhere Berechtigungen verschaffen. Vier der Schwachstellen betreffen Outlook Web App (OWA). Die fünfte kann Spoofing durch gefälschte Exchange-Besprechungsanfragen ermöglichen, wenn Exchange die Identität des Benutzers nicht ordnungsgemäß überprüft.
Entgegen Microsofts ursprünglicher Einschätzung ist auch Windows anfällig für den so genannten
FREAK
TLS-Angriff. Dabei kann ein Angreifer bei verschlüsselten Web-Verbindungen als Man-in-the-Middle eine schwache, knackbare Verschlüsselung erzwingen (RSA 512 Bit). Das Update zum Bulletin MS15-031 korrigiert in der Komponente SChannel (sicherer Kanal) das Erzwingen von Richtlinien, sodass die RSA-Schlüssellänge nicht mehr herabgesetzt werden kann.
Microsofts "Windows-Tool zum Entfernen bösartiger Software" soll in der neuen Version 5.22 (März 2015) auch die
Adware Superfish
entfernen, die der PC-Hersteller Lenovo auf einigen seiner Geräte vorinstalliert hat. Die März-Version des Schädlingsbekämpfers ist allerdings zurzeit nicht als separater Download erhältlich, sondern nur über Windows Update. Die Download-Fassung soll erst "in den nächsten Wochen" verfügbar sein. Der in Windows 8.x enthaltene Windows Defender sowie das kostenlos erhältliche Antivirusprogramm Microsoft Security Essentials erkennen und beseitigen Superfish mitsamt dem problematischen Root-Zertifikat laut
Microsoft Malware Blog
bereits seit 19. Februar.