[English]Im Oktober 2018 hat Microsoft einige Schwachstellen in Windows per Update geschlossen. Die Sicherheitslücke CVE-2018-8495 wird wohl inzwischen aktiv ausgenutzt. Für die (wohl unvollständig gepatchte) Schwachstelle CVE-2018-8495 steht nun ein Proof-of-Concept (PoC) zur Verfügung. Und die Schwachstelle CVE-2018-8423 wurde wohl gepatcht. Hier einige Informationen dazu.
Anzeige
Exploit CVE-2018-8453 wird bereits ausgenutzt
Am 9.10.2018 hat Microsoft ein Sicherheitsupdate für die Win32k Elevation of Privilege-Schwachstelle CVE-2018-8453 für alle noch unterstützten Windows-Versionen freigegeben. Die einzelnen Updates für die diversen Windows-Versionen sind auf dieser Microsoft-Seite abrufbar.
Hier empfiehlt es sich, seine Systeme zeitnah zu patchen. Microsoft schreibt zwar, dass kein Angriff auf diese Schwachstelle bekannt sei (0 – Exploitation Detected). Aber Antivirus-Anbieter Kaspersky behauptet in nachfolgendem Tweet das Gegenteil.
. @Microsoft published their security bulletin, which patches CVE-2018-8453, among others. It is a #vulnerability in #win32k.sys discovered by us and reported to them on August 17. @Microsoft confirmed the vulnerability and designated it CVE-2018-8453 https://t.co/Oh5yotBJsO
— Kaspersky Lab (@kaspersky) 12. Oktober 2018
In diesem Artikel schreiben die Sicherheitsforscher von Kaspersky, dass man eine begrenzte Anzahl an Angriffen im Mittleren Osten festgestellt habe, die genau diese Schwachstelle ausnutzen. Details finden sich im verlinkten Artikel.
Anzeige
CVE-2018-8423: Windows Shell Remote Code Execution
Die Schwachstelle CVE-2018-8423 beschreibt eine Windows Shell Remote Code Execution-Sicherheitslücke, die von Microsoft als 'important' eingestuft wird. Die Sicherheitslücke besteht bei der Ausführung von Remote-Code, wenn die Windows Shell unsachgemäß mit URIs umgeht. Ein Angreifer, der die Schwachstelle erfolgreich ausgenutzt hat, könnte die gleichen Benutzerrechte wie der aktuelle Benutzer erhalten.
Ist der aktuelle Benutzer mit administrativen Benutzerrechten angemeldet, kann ein Angreifer die Kontrolle über ein betroffenes System übernehmen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit vollen Benutzerrechten erstellen.
Microsoft schreibt zudem: Ein Angreifer könnte eine speziell gestaltete Website hosten, die darauf ausgelegt ist, die Schwachstelle in Microsoft Edge auszunutzen. Er muss dann aber einen Benutzer davon überzeugen, die Website zu besuchen. Der Angriff erfordert nämlich eine spezifische Benutzerinteraktion, um den Remote Code auszuführen.
Proof of Concept für CVE-2018-8423
Ein Sicherheitsforscher beschreibt in diesem Beitrag einige Szenarien als Proof of Concept, wie diese Schwachstelle ausgenutzt werden könnte. Die Redaktion von heise.de hat sich in diesem Artikel am Thema abgearbeitet.
Es empfiehlt sich also, vor allem in Umgebungen, wo viele Nutzer den Verlockungen des Web nicht wiederstehen können, sich um die Beseitigung dieser Schwachstelle zu kümmern. Danke an Eina für diesen Kommentar.
CVE-2018-8423 unvollständig gepatcht
Ich bin Freitag vom Anbieter 0patch darauf aufmerksam gemacht worden, dass der Fix von Microsoft für die Schwachstelle CVE-2018-8423 unvollständig sei. Die 0patch-Leute schreiben:
Diese Woche brachte [Microsoft über] Windows Updates eine Lösung für die "0day"-Schwachstelle in der Jet Database Engine (CVE-2018-8423), die wir zuvor microgepatcht haben.
Unsere Analyse hat gezeigt, dass diese offizielle Lösung fehlerhaft ist. Wir haben Microsoft darüber informiert und ein weiteres Micropatch herausgegeben, um den offiziellen Patch zu beheben.
Sprich: Kunden von 0patch, die eigentlich durch deren Mikropatch vor der Schwachstelle CVE-2018-8423 geschützt waren, finden sich nach dem Oktober 2018-Patchday in einer blöden Situation. Wurde das Microsoft-Update installiert, deaktiviert dies den 0patch Mikropatch und die Schwachstelle könnte wieder ausgenutzt werden.
Beim Schreibens dieses Blog-Beitrags gilt, dass vollständig aktualisierte 32-Bit- und 64-Bit-Windows 10, Windows 8.1, Windows 7, Windows Server 2008 und Windows Server 2012-Systeme angreifbar sind. Die Entwickler von 0patch vermuten, dass die Schwachstelle in allen Windows-Versionen ungefixt ist, die die Version 4.0.9801.0 von msrd3x40.dll verwenden.
0patch hat für seine Kunden daher einen weiteren Mikropatch für die Version 4.0.9801.0 von msrd3x40.dll entwickelt, der die von Microsoft unvollständig geschlossene Schwachstelle schließt. Die Details lassen sich in diesem Blog-Beitrag nachlesen.
CVE-2018-8495 gepatcht
Für die Microsoft JET Database Engine Remote Code Execution-Schwachstelle CVE-2018-8495 wurde von Microsoft am 10. Oktober 2018 ein Sicherheitsupdate für die unterstützten Windows-Versionen bereitgestellt. Ein Angreifer, der diese Schwachstelle erfolgreich ausgenutzt hat, könnte die Kontrolle über ein betroffenes System übernehmen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit vollen Benutzerrechten erstellen. Benutzer, deren Konten so konfiguriert sind, dass sie weniger Benutzerrechte auf dem System haben, könnten weniger betroffen sein als Benutzer, die mit administrativen Benutzerrechten arbeiten.
Um die Schwachstelle auszunutzen, muss ein Benutzer eine speziell gestaltete Microsoft JET Database Engine Datei öffnen/importieren. In einem E-Mail-Angriffsszenario könnte ein Angreifer die Schwachstelle ausnutzen, indem er eine speziell gestaltete Datei an den Benutzer sendet und ihn dann davon überzeugt, die Datei zu öffnen. Microsoft stuft die Ausnutzung dieser Schwachstelle als 'Exploitation Less Likely' ein.
Diese Schwachstelle war bereits einige Tage bekannt, ich hatte im Blog-Beitrag Windows Zero-Day-Schwachstelle in Jet Engine (Sept. 2018) darüber berichtet. Die Entwickler von 0patch hatten einen Mikropatch für ihre Kunden erstellt.
Note to 0patch users: Today's Windows updates bring an official fix for the Jet Database issue (CVE-2018-8423). The DLL we micropatched gets replaced, so our micropatch automatically stops getting applied. You don't have to do anything else. https://t.co/x9nRSaSn4G
— 0patch (@0patch) 9. Oktober 2018
In obigem Tweet informiert 0patch nun seine Nutzer darüber, dass die 0patch-Lösung automatisch mit dem Einspielen des Microsoft-Updates deaktiviert wird.
Ähnliche Artikel:
Adobe Flash Player: Update Version 31.0.0.122
Microsoft Security Update Summary 9. Oktober 2018
Patchday Windows 10-Updates (9. Oktober 2018)
Patchday: Updates für Windows 7/8.1/Server 9. Okt. 2018
Patchday Microsoft Office Updates (9. Oktober 2018)
Microsoft Patchday: Weitere Updates zum 9. Oktober 2018
Windows 10 Okt. 2018-Updates erzeugen BSOD 'WDF Violation'
Microsoft Patchday-Nachlese (9. Oktober 2018)
Windows Zero-Day-Schwachstelle in Jet Engine (Sept. 2018)
Anzeige
"unvollständig geschlossen" – Windows as a surprize – What. The. Fish.
Dann gibt`s also demnächst `nen 'Fix-Fix' auch für Version 1703?
Drüben bei WinFuture – diese Marketingpostille wird sich wohl bald umbenennen müssen – beginnen sie den Artikel "Windows 10: Lösung für Audio-Probleme nach dem Oktober-Update" sogar mit:
"Qualitätssicherung: Für die einen ist das der kürzeste Microsoft-Witz aller Zeiten, für Microsoft ist es das Stichwort, das das derzeitige Scheitern zusammenfasst." https://winfuture.de/news,105503.html
Also wenn jetzt in Redmond nicht die Alarmglocken läuten, dann weiß ich auch nicht mehr – äh – Zu spät! – Oberkante-Unterlippe.
s. a.: "Senf dazu: Redmond, wir haben ein Problem – Windows 10-Updates"
https://winfuture.de/news,105406.html
Da juckt es einen Rant zu schreiben; doch Halt!
Möglicherweise sind MS und seine Kunden einfach nur zutiefst christlich geprägt und halten gerne die andere Wange hin. Pat(s)ch, Pat(s)ch, Pat(s)ch. SCNR :)
Es. Wird. Immer. Besser. – das letzte Windows; – das Letzte.
Zum Glück haben sie`s offen bekundet.
Very Funny.
Inzwischen vermute ich, wir haben MS vollkommen mißverstanden und bei 'Windows' handelt es sich gar nicht um ein Betriebssystem (BS) – daß Bullshit ebenfalls als BS abgekürzt verwendet wird, ist reiner Zufall , es bedeutet ja z.B. auch 'Beitragsservice' – sondern um ein Quest epischen Ausmaßes, das erfolgreichste Digital Adventure aller Zeiten, mit Milliarden täglich gefolterter Menschen im Real Life Multi User Dungeon.
Exzellentes Marketing! – Glückwunsch Microsoft! :)
treffender:
[…], mit Milliarden gefolterte Menschen, täglich im Real Life Multi User Dungeon.
[sic]
Sodin missbraucht laut Kaspersky die Windows-Lücke CVE-2018-8453 als RaaS-Angebot (Ransomware-as-a-Service). Ransomware erfordert an sich eine Interaktion wie das Öffnen eines Anhangs in einer Mail oder das Link-Anklicken. Bei Sodin suchten Angreifer dagegen anfällige Server und sendeten einen Befehl zum Herunterladen einer Datei „radm.exe", die man lokal speichert und startet – wobei das Schadprogramm 64-Bit-Code aus einem laufenden 32-Bit-Prozess starten kann – um sich zu tarnen / vor einem Debugger zu verbergen. ( https://securelist.com/sodin-ransomware/91473/ )