![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Die im Internet Explorer 9 bis 11 entdeckte Sicherheitsl\u00fccke CVE-2016-3298 wird aktiv in Malvertising-Kampagnen ausgenutzt. Microsoft hat zwar im September 2016 Patches und im Oktober 2016 nochmals die Sicherheits-Updates MS16-118\/MS16-126 ausgerollt. Diese erwiesen sich aber als ausgesprochene Problemb\u00e4ren. Im Blog-Beitrag kn\u00fcpfe ich mal ein paar lose F\u00e4den zusammen und versuche ein Gesamtbild zu zeichnen. <\/p>\n
<\/p>\n
Vom Sicherheitsanbieter Proofpoint habe ich gerade die Information erhalten, dass die Sicherheitsl\u00fccke CVE-2016-3298 in Malvertising-Kampagnen aktiv ausgenutzt wird. Die Gruppen AdGholas und GooNky verwendeten die Sicherheitsl\u00fccke, die Remote Code-Ausf\u00fchrung erm\u00f6glicht, um (Erpressungs-) Trojaner und Schadsoftware auf Windows-Systeme zu installieren. <\/p>\n In diesem Beitrag<\/a> befassen sich die Experten von Proofpoint bereits im September 2016 mit der Sicherheitsl\u00fccke CVE-2016-3298 und der Ausnutzung in Malvertising-Kampagnen. Dort wird ein per Angler Exploit-Kit vorgenommener Angriff beschrieben. Am 13. September 2016 hat Microsoft ein Sicherheitsbulletin (MS16-104<\/a>) zur Behebung der Schwachstelle CVE-2016-3351<\/a> ver\u00f6ffentlicht, das einen Patch f\u00fcr die Browser Internet Explorer und Edge umfasst. Ich hatte im Blog-Beitrag Microsoft Patchday: Updates September 2016<\/a> berichtet. <\/p>\n Bei Proofpoint hat man die Malvertising-Angriffe verfolgt und stie\u00df erstmals im April 2016 drauf, dass die Sicherheitsl\u00fccke CVE-2016-3298 ausgenutzt wurde. Die Anatomie der Angriffe in einer AdGholas-Kampagne mittels eines Exploit-Kit(EK)-Markt<\/a> sind in einem weiteren Blog-Beitrag vom 11. Oktober 2016 hier beschrieben<\/a>. Just am 11. Oktober 2016 hat Microsoft mit MS16-118 nachgelegt (dazu sp\u00e4ter mehr \u2013 \u00fcber den Patch hatte ich im Blog-Beitrag Microsoft Patchday 11. Oktober 2016<\/a> berichtet). Und es gab am 11. Oktober 2016 noch MS16-126<\/a>, um eine Schwachstelle im Microsoft Internet Messaging API zu schlie\u00dfen. Beide Updates haben m.W. zwar nicht direkt mit den, in den Proofpoint-Dokumenten beschriebenen, IE-Sicherheitsl\u00fccken zu tun (das wurde ja beim September-Update behoben). Aber es lohnt, einen Blick auf die Sicherheits-Updates f\u00fcr den IE vom September\/Oktober 2016 zu werfen. <\/p>\n Normalerweise w\u00fcrde man jetzt sagen: Ok, es gab eine Sicherheitsl\u00fccke im IE, aber die wurde im September 2016 und weiterhin im Oktober 2016 geschlossen \u2013 und gut ist. Leider ist das Ganze nicht so einfach und nicht wirklich erledigt. Wer meinen Blog verfolgt, wei\u00df um die vielen Update-Probleme am und um den Patchday. Also ich von Proofpoint die Hinweise auf die beiden oben verlinkten Beitr\u00e4ge bekam, reifte der Entschluss, die \"ganze Geschichte\" aufzubereiten. <\/p>\n Gestern habe ich im Blog-Beitrag Bugs in Windows- und Office-Updates (Sept.\/Okt. 2016) \u2013 Teil 1<\/a> auch das Update KB3185319<\/a> (MS16-104: Security update for Internet Explorer: September 13, 2016) thematisiert. Dieses Update enthielt zwei Bugs, die zu Problemen beim \u00d6ffnen von URL-Verkn\u00fcpfungen und bei der ActiveX-Installation per AXIS-Installer f\u00fchrten. Wer diese Bugs nicht haben wollte, blockte oder deinstallierte das Update \u2013 und war f\u00fcr die oben erw\u00e4hnten Malvertising-Kampagnen angreifbar. Das einer der IE-Bugs Fehler per Hotfix geschlossen wurde, ist in obigem Beitrag erw\u00e4hnt. <\/p>\n Dann kam der Oktober-Patchday und alles wird gut? Denn der Patchday brachte auch das Sicherheits-Update MS16-118 f\u00fcr den IE. \u00dcber das kritische Sicherheits-Update MS16-118 hatte ich zwar im Blog-Beitrag Microsoft Patchday 11. Oktober 2016<\/a> berichtet. Es ist davon auszugehen, dass diese Sicherheitsl\u00fccke durch Malvertising-Kampagnen in Exploit-Kits ausgenutzt wird. Also sofort patchen? Mitnichten, denn der Patch hatte es in sich. Schon bald musste Microsoft vor dem Patch warnen und Administratoren im Business-Bereich das Blocken der Updates empfehlen (siehe KB3194798, KB3192392, KB3185330, KB3185331 killen SCOM<\/a>). Hintergrund war, dass diese Updates die Management Konsole des System Center Operations Manager (SCOM) in bestimmten Szenarien zum Absturz brachten. <\/p>\n Am 19. Oktober 2016 gab es dann Folge-Updates (siehe Windows 10: Kumulative Updates KB3200068, KB3199125 fixen SCOM-Bug<\/a>), die dieses Problem unter Windows 10 beheben sollten. Ob es einen Fix f\u00fcr Windows 7\/Windows 8.1 gibt, wei\u00df ich gar nicht \u2013 ich habe da, ehrlich gesagt, den \u00dcberblick verloren. Notieren wir f\u00fcrs Protokoll: Es gab Sicherheits-Updates, die die Sicherheitsl\u00fccken schlie\u00dfen sollen. Aber diese Patches haben gravierende Nebenwirkungen, so dass sie in bestimmten Szenarien nicht installierbar sind. <\/p>\n Im gestrigen Blog-Beitrag Das Microsoft Windows-\/Office-Update-Desaster \u2013 Teil 2<\/a> habe ich noch einen anderen, kritischen Punkt angesprochen. Ab Oktober 2016 verwendet Microsoft ja Rollup Updates f\u00fcr Windows 7 SP1 und Windows 8.1. Weil das ziemlich chaotisch l\u00e4uft, Microsoft Telemetrie-Updates in Sicherheits-Rollups einschmuggelt und Fixes in Preview Rollup-Updates samt Telemetriedaten-Erfassungs-Verbesserungs-Updates ausrollt, sitzen die Administratoren und Anwender auf einem hei\u00dfen Stuhl. Keiner wei\u00df mehr, was ihm da per WSUS oder Windows Update auf die Maschinen gesp\u00fclt wird und ob diese im Anschluss noch booten bzw. welche Bugs es dann gibt. F\u00fchrt dazu, dass Administratoren in Firmenumgebungen die Installation der Rollup Updates in WSUS und Anwender in Windows Update erst einmal blocken. Ergo: Es gibt zwar theoretisch Patches zum Schlie\u00dfen solcher L\u00fccken \u2013 aber in der Praxis steht es in den Sternen, ob sich diese Updates auch einspielen lassen. <\/p>\n In Konsequenz d\u00fcrften zwischenzeitlich eine Menge Windows-Systeme laufen, wo die IE-Sicherheitsl\u00fccke CVE-2016-3298 noch ausgenutzt werden kann. Hat Microsoft prima hin gekriegt \u2013 oder wie seht ihr das? Habe ich was \u00fcbersehen? Gibt es Erg\u00e4nzungen \u2013 speziell von Seiten der Administratoren?<\/p>\n \u00c4hnliche Artikel:<\/strong> Die im Internet Explorer 9 bis 11 entdeckte Sicherheitsl\u00fccke CVE-2016-3298 wird aktiv in Malvertising-Kampagnen ausgenutzt. Microsoft hat zwar im September 2016 Patches und im Oktober 2016 nochmals die Sicherheits-Updates MS16-118\/MS16-126 ausgerollt. Diese erwiesen sich aber als ausgesprochene Problemb\u00e4ren. Im Blog-Beitrag … Weiterlesen Die Sicherheitsl\u00fccke CVE-2016-3298<\/a> wird als kritisch eingestuft und erm\u00f6glicht eine Remote Codeausf\u00fchrung. Die Sicherheitsl\u00fccke tritt im Internet Explorer 9 bis zum Internet Explorer 11 auf und betrifft praktische alle Windows-Versionen (im Support sind noch Windows Vista SP2 bis Windows 10 sowie die Windows Server-Pendants). Symantec hat in diesem Beitrag<\/a> und hier auf das Problem und Fixes von Microsoft hingewiesen. Auch CVE-2016-3351<\/a> segelt in der gleichen Klasse. <\/p>\n
Die Sicherheitsl\u00fccken werden in Malvertising-Kampagnen ausgenutzt<\/h3>\n
Das Problem mit den Sicherheits-Updates vom September\/Oktober<\/h3>\n
Oktober-Patchday: Einstieg in Windows 7\/8.1 Rollup-Updates<\/a>
Windows 10: Kumulative Updates Oktober 2016<\/a>
Warnung SCOM 2012R2-Absturz durch Rollup Update KB3192392\/KB3185331 <\/a>KB3194798, KB3192392, KB3185330, KB3185331 killen SCOM<\/a>
Bugs in Windows- und Office-Updates (Sept.\/Okt. 2016) \u2013 Teil 1<\/a>
Das Microsoft Windows-\/Office-Update-Desaster \u2013 Teil 2<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"