Am Dienstag war Microsofts Patchday, am Donnerstag folgte dann der zugehörige 0-Day-Day. Also mal wieder 'Same procedure as last month'. Bevor ich zur neuen Schwachstelle komme, hier ein kurzer Blick auf Microsofts Security Bulletins vom Dienstag:

10. April - Patchday

• MS07-018
  Je eine neue Schwachstelle im Microsoft Content Management Server erlaubt die Ausführung beliebigen Codes und Cross-Site-Scripting. Microsoft stuft die Code-Ausführung als kritisch ein. Bisher sind außer den Angaben im Security Bulletin keine Details veröffentlicht worden, aber da die Schwachstelle durch HTTP-Requests mit unerwarteten Zeichen ausgenutzt werden kann, könnte sie sich als Einfallstor für einen Wurm eignen.
  Die Cross-Site-Scripting-Schwachstelle erlaubt laut Microsoft auch die Manipulation von Browser- und Proxy-Caches. Ansonsten ist es eine Cross-Site-Scripting-Schwachstelle, wie es sie in vielen Webanwendungen immer mal wieder gibt.
• MS07-019
  Eine vorher nicht veröffentlichte Pufferüberlauf-Schwachstelle beim Verarbeiten von HTTP-Requests durch den Universal Plug and Play (UPnP) Service erlaubt die Ausführung beliebigen Codes. iDefense hat ein eigenes Advisory veröffentlicht.
  Die Schwachstelle kann nur aus dem jeweiligen lokalen Netz ausgenutzt werden, betroffen ist nur Windows XP SP2. Verschiedene Schutzfunktionen erschweren die Ausnutzung der Schwachstelle, damit dürfte sie für einen Wurm oder Virus uninteressant sein. Microsoft stuft die Schwachstelle trotzdem vollkommen zu Recht als kritisch ein, schließlich erlaubt sie trotz allem die Ausführung beliebigen Codes aus der Ferne. Wie schwer oder leicht das ist, ist dabei unerheblich. Schließlich könnte ja ein Angreifer einen Weg finden, durch den die Schwachstelle sich viel leichter als erwartet ausnutzen lässt.
• MS07-020
  Eine ebenfalls vorher nicht veröffentlichte Schwachstelle beim Parsen von URLs durch den Microsoft Agent erlaubt die Ausführung beliebigen Codes. Secunia hat ein eigenes Advisory veröffentlicht, das aber auch nicht mehr Infos als Microsofts Security Bulletin enthält.
  Um die Schwachstelle auszunutzen, muss das Opfer eine Webseite mit einer präparierte URL besuchen. Microsoft weist in solchen Fällen immer darauf hin, dass der Angreifer das Opfer nicht dazu zwingen kann. Das ist aber auch gar nicht nötig, wenn die präparierte URL über Cross-Site-Scripting in eine beliebte Website eingeschleust wird. Die wird ganz freiwillig besucht.
  Außerdem kann die Schwachstelle über (HTML-)E-Mails ausgenutzt werden. Nun ja, HTML-E-Mails sind in meinen Augen sowieso nur zu einem einzigen Zweck gut: Zum sofortigen Löschen. Entweder ist es Spam oder ein Virus/Wurm. Der Anteil nützlicher HTML-E-Mails liegt zumindest bei mir irgendwo im Promillebereich. Und wenn ich die betrachte, bei denen der Plaintext-Teil so geistreiches wie "Sie verwenden vermutlich ein E-Mail-Programm, das die HTML-Version unserer E-Mail nicht darstellen kann. Da wir möchten, dass Sie die E-Mail im korrekten Format genießen können, ... (bla bla bla)" enthält, dann liegt der Anteil nützlicher Mails irgendwo zwischen '0, nichts' und 'kaum messbar. Ach ja: Mein E-Mail-Programm kann HTML-Mails darstellen. Aber dürfen tut es nicht. Und warum sollte ich auf den dann meist folgenden Link klicken, wenn ich nicht mal weiß, um was es geht?
• MS07-021
  Dieses Bulletin erfüllt gleich drei Wünsche auf einmal:
  • Zuerst schließt es eine seit Mitte Dezember 2006 bekannte Schwachstelle bei der Verarbeitung von Fehlermeldungen durch das Client/Server Run-time Subsystem (CSRSS).
    Microsoft stuft die Schwachstelle als kritisch ein. Ein Angreifer kann die Schwachstelle zur Ausführung beliebigen Codes mit SYSTEM-Rechten ausnutzen, wenn ein Benutzer ein präpariertes Programm startet oder eine präparierte Webseite besucht.
  • Dann wird eine seit Ende Dezember bekannte lokale Denial-of-Service-Schwachstelle im Client/Server Run-time Subsystem behoben. Microsoft stuft die Schwachstelle als niedrig bzw. mittel ein.
    Ich frage mich oft, wer lokale Denial-of-Service-Schwachstellen ausnutzt. Da kann man den Rechner auch einfach selbst ausschalten oder wenn dafür die nötigen Rechte fehlen, einfach den Stecker ziehen.
  • Zu guter Letzt schließt es eine bisher nicht bekannte Schwachstelle im Client/Server Run-time Subsystem, die lokalen Benutzern das Erlangen von SYSTEM-Rechten erlaubt. eEye hat ein eigenes Advisory veröffentlicht.
    Betroffen ist nur Vista, Microsoft stuft die Schwachstelle als wichtig ein. Es handelt sich eigentlich um eine normale lokale Privilegien-Eskalation. Das Besondere ist, dass nur Vista betroffen ist, da die betroffene DLL erst damit eingeführt wurde.
• MS07-022
  Unsichere Rechte für Mapped Memory Segmente erlauben lokalen Benutzern die Ausführung beliebigen Codes mit erhöhten Rechten. Microsoft stuft diese vorher nicht veröffentlichte Schwachstelle als wichtig ein. eEye hat ein eigenes Advisory veröffentlicht.
  Es handelt sich um eine normale lokale Privilegien-Eskalation ohne Besonderheiten.

12. April - 0-Day-Day
Wie üblich: Wenn Microsoft Schwachstellen stopft, kommt kurz darauf eine neue ans Licht. Die bösen Buben möchten ja nicht ohne auszunutzende Lücken dastehen und scheinen einen ausreichenden Vorrat auf Lager zu haben. Diesmal ist es eine Pufferüberlauf-Schwachstelle im RPC-Interface des DNS-Service. Sie erlaubt durch einen präparierten RPC-Request die Ausführung beliebigen Codes mit SYSTEM-Rechten und wird bereits aktiv ausgenutzt. Microsoft hat ein Security Advisory veröffentlicht und bereits mehrmals aktualisiert.

Die Übersicht des Internet Storm Centers hat damit ein zweites rotes Feld als Kennzeichnung einer kritischen Schwachstelle bekommen. Ansonsten sieht sie aber doch ganz gut aus, da waren schon mal deutlich mehr rote Felder zu sehen.

Warten wir mal ab, wann Microsoft die neue Schwachstelle patcht. Vielleicht gibt es ja schon bald den nächsten außerplanmäßigen Patch.

Carsten Eilers