Sicherheitslücke im Lotus Notes-Updater (8.5 und 9.0)

Administratoren von IBMs Lotus Notes sollten jetzt schnellstmöglich updaten. Denn IBM warnt, dass Fehler in seinem Notes-Auto-Updater dazu führen, dass der Dienst dazu gebracht werden kann, bösartigen Code auszuführen. Betroffen sind Notes 8.5 und 9.0.


Anzeige

IBM Notes (aka Lotus Notes)

Mit IBM Notes können vermutlich nur Insider etwas anfangen, früher hieß die Software mal Lotous Notes (die Umbenennung erfolgte 2013). IBM Notes wird noch von vielen Unternehmen als Groupware oder Collaboration-Tool eingesetzt. Neben einem E-Mail-Programm gibt es Funktionen, um die Zusammenarbeit der Mitarbeiter zu fördern. Eine ausführlichere Beschreibung findet sich bei Wikipedia

Bug im Notes-Auto-Updater

In einer Sicherheitsmitteilung (Security Advisory) informiert IBM, dass der Notes Smart Updater Service (Update-Dienst) eine Sicherheitslücke aufweist. Der Dienst ist für die Upgrades von Notes auf dem Desktop zuständig. Der Dienst kann über eine Schwachstelle dazu verleitet werden, bösartigen Code aus einer DLL auszuführen, die sich als Windows-DLL im temporären Verzeichnis ausgibt.

Das ist quasi der GAU für eine Software, kann dadurch die Software doch von Angreifern kompromittiert werden. Benutzer müssen darauf vertrauen können, dass der Updater keine Malware in das System einspeist. Allerdings gab es in der Vergangenheit immer wieder solche Fälle (siehe z.B. Neues zu Petya: Zahl der Infektionen, Ziele und mehr …).

Notes 8.5 und 9.0 von CVE-2017-1711 betroffen

Lasse Trolle Borup von der dänischen Firma Improsec hat den Bug in diesem englischsprachigen Blog-Beitrag veröffentlicht. Es ist wohl der dritte Beitrag in Folge, wo er sich mit ähnlichen Fällen befasst hat. Die mit CVE-2017-1711 bezeichnete eine Privileg Escalation-Schwachstelle im IBM Notes Smart Update Service und betrifft IBM Notes 8.5 und 9.0.


Anzeige

Lasse Trolle Borup schreibt, dass sich der Dienst in das TEMP-Verzeichnis kopiert und sich dann dort ausführt. Er vermutet, dass dies notwendig ist, für den Fall, dass der Update-Dienst seine eigene ausführbare Datei aktualisieren muss. Das Problem dabei ist, dass normale Benutzer zwar nicht den Inhalt von TEMP auflisten dürfen, aber trotzdem Dateien schreiben können.

'Indem er eine Datei von einem unkontrollierten Ort aus ausführt, setzt sich der Dienst DLL Search Order Hijacking aus', schreibt Lasse Trolle Borup. In seinem Proof-of-Concept-Code, lässt sich der Fehler reproduzierenden. Der betreffende Code ist zu kompilieren und ein statischer Link auf MSIMG32.dll einzubinden. Dann muss die Datei nach C:\windows\temp kopieren werden. Anschließend reicht es, den Befehl

sc control lnsusvc 136

auf der Kommandozeile auszuführen. Dazu braucht es keine administrativen Rechte. IBM hat einen zweiten Sicherheitshinweis (gelöscht) bezüglich des gleichen Fehlers im IBM Client Application Access veröffentlicht. Inzwischen stehen für beide Pakete Updates von IBM zur Verfügung (Details finden sich in den verlinkten Dokumenten mit den Sicherheitshinweisen). (via)

Ähnliche Artikel:
Lotus Notes nicht an Taskleiste anheftbar
Windows10 V1703: IBM Notes 9.0.1 verursacht Blue Screen
Windows 10 V1703: Patch für IBM Notes 9.0.1 BSOD avisiert
Thru Dropbox IBM Notes Plugin


Anzeige

Dieser Beitrag wurde unter Sicherheit, Update abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Sicherheitslücke im Lotus Notes-Updater (8.5 und 9.0)

  1. Exi sagt:

    …ganz ehrlich… bei Notes wundert mich garnichts mehr… in einer Firma, in der ich früher gearbeitet habe gab's das auch. Allein für den einzelnen Benutzer ist es verdammt einfach mit dieser Software "Schindluder" zu treiben… (ob gewollt oder nicht ;-)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.