Virtual Patching in der Praxis – Microsoft Vulnerabilities

Patching ist ein schwieriges Thema in vielen Firmen. So müssen oftmals extrem viele Produktabhängigkeiten betrachtet werden, Neustarts von Systemen außerhalb der Geschäftszeiten eingeplant werden und zudem noch verschiedene Teams koordiniert werden. Hierbei gehen wir davon aus, dass bereits ein Patch des Herstellers für die bekanntgewordene Sicherheitslücke bereitgestellt wurde. Immer wieder kommt es allerdings vor, dass Sicherheitslücken erst sehr spät nach Bekanntwerden behoben werden. Virtual Patching hilft in all diesen Fällen. Ohne die eigentliche Installation des Programmes oder des Betriebssystems zu verändern, einen Neustart zu benötigen oder auf den Patch des Herstellers zu warten. Wie das funktioniert können Sie in einem früheren Blogartikel nachlesen. Doch jetzt zu einem Beispiel aus der Praxis. In den vergangenen Wochen sind drei Microsoft Sicherheitslücken bekanntgeworden, für die bis heute noch kein Patch bereit steht.

Folgende Komponenten waren von den Sicherheitslücken betroffen:

  1. Core SMB Service
  2. Microsoft Internet Explorer und Microsoft Edge
  3. Graphics Device Interface

CVE-2017-0016

Hier handelt es sich um einen Speicherbeschädigungs-Fehler (Memory Corruption) beim Handling des SMB-Verkehrs durch Windows. Um einen solchen Angriff durchzuführen, muss ein Computer oder Nutzer geködert werden, sich mit einem bösartigen SMB-Server zu verbinden. Der Server liefert Pakete, die dann den Computer zum Absturz bringen. Machbarkeits-Exploit-Code für diese Lücke ist bereits öffentlich geworden.

Die Sicherheitslücke erlaubt zwar keine Remote-Ausführung von Code und die Auswirkungen sind auf eine Denial-of-Service beschränkt, allerdings funktioniert diese Vulnerability anders als vergleichbare SMB Lücken. Im Gegensatz zu vielen früheren SMB Schwachstellen wie MS-08-067, die einen Host benötigen um auf SMB-Ports zu hören (TCP 139 und TCP 445) um ausgenutzt zu werden, erfordert diese Sicherheitslücke lediglich eine Verbindung auf den gerade genannten Ports in Richtung Internet. So muss der Endpunkt nicht im traditionellen Sinne (externe IP etc.) dem Internet ausgesetzt sein, sondern es reicht beispielsweise das Anklicken eines Links, der zum Absturz der Maschine führt.

Gegenmaßnahmen:

  • Einschränken des nach außen gehenden Ports 139 und 445
  • Einsatz von IPS-Schutz

CVE-2017-0037

Das Team von Google’s Project Zero hat mal wieder eine Sicherheitslücke aufgedeckt. Dabei handelt es sich um eine Art „Confusion“-Lücke im Microsoft Internet Explorer und Edge Browser. Die Lücke wurde erstmals am 25. November vom Google Mitarbeiter Ivan Fratric an Microsoft gemeldet. Google veröffentliche Details der Sicherheitslücke, da Microsoft nicht innerhalb der „90-days disclosure deadline“ einen Fix bereitstellte. Um die Schwachstelle auszunutzen, muss ein Angreifer einen Nutzer überzeugen, einen bösartigen Weblink anzuklicken. Den Link kann ein potenzielles Opfer über eine Mail, einen Chat oder andere Mechanismen erhalten. Details zur Lücke, einschließlich eines Proof-of-Concept Codes ist bei Google Project Zero erhältlich.

Bei einer Attacke kann der Angreifer mit denselben Privilegien wie der angemeldete Nutzer beliebigen Code ausführen. Folgende Maßnahmen sind nützlich:

  • Einsatz von IPS-Schutz,
  • E-Mail-Filter für Phishing-Angriffe,
  • Web Reputation, um gehostete Skripts zu blocken
  • Reduzieren von Konten mit Administratorrechten

CVE-2017-0038

CVE-2017-0038 ist ein Fehler in der EMF-Bildformat-Parsing-Logik, der die in der Bilddatei angegebenen Bilddimensionen nicht adäquat überprüft, die gegen die Anzahl der von dieser Datei bereitgestellten Pixel analysiert wird. Wenn Bilddimensionen groß genug sind, wird der Parser beim Lesen von Speicherinhalten über die gespeicherte EMF-Datei ausgetrickst. Ein Angreifer könnte diese Anfälligkeit nutzen, um sensible Daten zu stehlen, die eine Anwendung im Hauptspeicher hält. Ein Angreifer müsste einen Nutzer dazu „überreden“, ein Image oder einen Font darzustellen. Diese könnten auch in ein Dokument eingebettet werden. Details zur Lücke, einschließlich eines Proof-of-Concept Codes ist bei Google Project Zero erhältlich.

Folgende Maßnahmen sind sinnvoll:

  • Einsatz von IPS-Schutz
  • Schulung von Mitarbeitern, keine Anhänge zu öffnen oder Links, die nicht aus vertrauensvollen Quellen kommen anzuklicken.

Trend Micro Deep Security™  und Trend Micro Vulnerability Protection schützen vor diesen Sicherheitslücken. Details zu den Regeln und Veröffentlichungsterminen rund um die Sicherheitslücken liefert die folgende Übersicht:

 

Sollten Sie Fragen zu diesem Artikel oder zu möglichen Gegenmaßnahmen haben, melden Sie sich gerne jederzeit bei uns!

Robert Wortmann

Robert ist seit 2014 bei der Proact Deutschland beschäftigt, wo er sich zunächst als Senior Consultant um Kundenlösungen im Bereich Security und Virtualisierung gekümmert hat. Seit 2016 ist er hauptverantwortlich für den Bereich Security zuständig.

 
Kommentare

Noch keine Kommentare vorhanden.

Hinterlassen Sie einen Kommentar