Diesmal im Standpunkt Sicherheit: Ein Dejà-vu-Erlebnis am vergangenen Patchday.

Vergleichen wir mal zwei Zeitabläufe:

6. Juli 2009

Microsoft meldet eine bereits für Angriffe ausgenutzte Schwachstelle im Microsoft Video ActiveX-Control, der die CVE-ID CVE-2008-0015 zugeteilt wurde. Die wurde bereits am 13. Dezember 2007 zugewiesen.

7. Juli 2009

Mike Reavey erklärt im Blog des Microsoft Security Response Center (MSRC), wieso die 0-Day-Schwachstelle eine so alte CVE-ID bekommen hat. Mehr dazu im Standpunkt Sicherheit vom 13. Juli. Als Kurzfassung nur soviel: Entdeckung der Schwachstelle im 'frühen Frühjahr 2008', die betroffenen Interfaces werden nicht verwendet, aber das Ganze muss gründlich untersucht werden, bevor das Killbit für das ActiveX-Control gesetzt werden kann.

14. Juli 2009

Microsofts Juli-Patchday bringt einen "Patch" für die Schwachstelle im Microsoft Video ActiveX-Control - der setzt aber nur das Killbit, was sich auch schon durch einen Workaround samt Online-Tool erreichen ließ.

22. Juli 2009

Brian Krebs spekuliert, das Microsoft evtl. noch vor dem nächsten Patchday einen außerplanmäßigen Patch veröffentlichen wird, um eine größere Schwachstelle zu beheben. Demnach behebt der Patch für die Schwachstelle im Microsoft Video ActiveX-Control (der ja sowieso nur aus dem Setzen des Killbits für das betreffende Control besteht) die Schwachstelle nicht wirklich, da der entsprechende Code an mehreren Stellen verwendet wird, wie es auch Halvar Flake in seinem Blog festgestellt hat.

24. Juli 2009

Microsoft kündigt für den 28. Juli einen Patchday außer der Reihe an. Es gibt Spekulationen über einen Zusammenhang mit der Schwachstelle im Microsoft Video ActiveX-Control sowie einem für den 29. Juli angekündigten Vortrag auf der Black-Hat-Konferenz von Mark Dowd, Ryan Smith und David Dewey.

28. Juli 2009

Microsoft veröffentlicht die außerplanmäßigen Patches und enthüllt mehrere Schwachstellen in der Microsoft Active Template Library (ATL), die u.a. die Ausführung beliebigen Codes ermöglichen. Viel schlimmer aber: Das Killbit im Internet Explorer kann dadurch umgangen werden. Jetzt wird auch klar, warum das alles so lange gedauert hat - diese Schwachstellen haben es wirklich in sich und können nicht mal eben nebenbei behoben werden. Und die Schwachstellen werden tatsächlich am nächsten Tag auf der Black-Hat-Konferenz präsentiert.

11. August 2009

Microsoft veröffentlicht am regulären August-Patchday Patches für weitere Schwachstellen in der ATL, diesmal für die in Windows verwendete Version.

So weit, so gut (oder auch schlecht). Was die Schwachstellen in der ATL betrifft. Aber da ist noch etwas...

13. Juli 2009

Microsoft meldet eine bereits für Angriffe ausgenutzte Schwachstelle in den Microsoft Office Web Components, der die CVE-ID CVE-2009-1136 zugeteilt wurde. Die wurde bereits am 25. März 2009 zugewiesen, was sich damit erklären lässt, das "Großverbraucher" die IDs immer gleich blockweise reserviert bekommen.

17. und 20. Juli 2009

Exploits für die Schwachstelle in den Microsoft Office Web Components werden veröffentlicht.

11. August 2009

Microsoft veröffentlicht am regulären August-Patchday Patches für diese und drei weitere Schwachstellen in den Microsoft Office Web Components. Das sieht alles recht normal aus, wenn man mal davon absieht, dass laut Microsofts Ansicht die bereits für Angriffe ausgenutzten Schwachstellen nicht öffentlich bekannt sind, aber das wurde bereits im Text zum August-Patchday erwähnt.

11. August 2009

Die Zero Day Initiative veröffentlicht ihr eigenes Advisory zur Schwachstelle in den Microsoft Office Web Components. Darin steht, ganz unauffällig und fast zum Schluss:

Disclosure Timeline
2007-03-19 - Vulnerability reported to vendor
2009-08-11 - Coordinated public release of advisory

Zwei der restlichen drei Schwachstellen wurden Microsoft am 29.3.2007 und 11.12.2007 von der ZDI gemeldet.

Diesmal hat Microsoft aufgepasst und nicht durch eine zu alte CVE-ID verraten, dass eine Schwachstelle viel länger bekannt war, als man erwartet hätte. Das die ZDI in ihren Advisories die 'Disclosure Timeline' angibt, hat man dabei wohl vergessen. Dabei nimmt gerade die ZDI es mit dem Zeitablauf sehr genau, immerhin geben sie in ihrer Übersicht an, welchen Herstellern sie eine wie schwerwiegende Schwachstelle wann gemeldet haben. "Spitzenreiter" ist dabei Hewlett-Packard, eine mit "High" bewertete Schwachstelle wartet dort seit dem 10.10.2006 auf ihre Korrektur. Vielleicht gibt es das entsprechende Programm ja schon längst nicht mehr? Aber zurück zu Microsoft: Wenn Microsoft über 1 Jahr braucht, um die ATL-Schwachstellen zu beheben - was verbirgt sich dann wohl hinter einer über 2 Jahre offenen Schwachstelle?

Noch mal in Kurzform:

19. März 2007

Die ZDI meldet Microsoft die erste Schwachstelle in den Microsoft Office Web Components.
Öffentlich ist darüber nichts bekannt.

Frühjahr 2008

Ryan Smith und Alex Wheeler von IBM X-Force melden Microsoft eine Pufferüberlauf-Schwachstelle in der Microsoft Video Controller ActiveX Library.
Öffentlich ist darüber nichts bekannt.

6. Juli 2009

Veröffentlichung der inzwischen für Angriffe ausgenutzten Schwachstelle im Microsoft Video ActiveX-Control.

13. Juli 2009

Veröffentlichung der inzwischen für Angriffe ausgenutzten Schwachstelle in den Microsoft Office Web Components.

14. Juli 2009

Microsoft veröffentlicht am regulären Juli-Patchday einen "Patch" für die Schwachstelle im Microsoft Video ActiveX-Control.

28. Juli 2009

Microsoft veröffentlicht außerplanmäßige Patches und enthüllt mehrere Schwachstellen in der Microsoft Active Template Library (ATL).

11. August 2009

Microsoft veröffentlicht am regulären August-Patchday Patches für die bereits bekannte Schwachstelle und drei weitere Schwachstellen in den Microsoft Office Web Components.

x. August 2009

Und wie gehts weiter?

Es gibt einige gute oder besser glaubwürdige Erklärungen für die lange Zeit zwischen Microsofts Informationen über die Schwachstellen und der Veröffentlichung der Patches, aber die gab es ja bei der Schwachstelle im Microsoft Video ActiveX-Control zuerst auch. Ob man denen also glauben darf? Ganz spontan kommen mir da doch ein paar Fragen in den Sinn: Was steckt wirklich dahinter, und wann gibt es die außerplanmäßigen Patches dafür? Sollte ich mir vielleicht erst mal für den Abend des 25. August nichts wichtiges vornehmen?

Carsten Eilers