Am April-Patchday hat Microsoft wie angekündigt fünf als kritisch, zwei als wichtig und ein als moderat eingestuftes Security-Bulletin veröffentlicht, die insgesamt 23 Schwachstellen schließen. In Microsofts Security Resarch & Defense Blog wurde eine Übersicht über die Dringlichkeit der Patches veröffentlicht.

MS09-009 - 2 Schwachstellen in Excel

Das als kritisch eingestufte Security Bulletin MS09-009 betrifft Microsoft Excel: Je eine bisher unveröffentlichte und eine bereits bekannte Schwachstelle erlauben die Ausführung beliebigen Codes. Die Schwachstellen werden für Excel 2000 SP3 als kritisch, für Excel 2002 SP3, 2003 SP3 und 2007 SP1, Office 2004 und 2008 for Mac sowie den Office Excel Viewer und das Office Compatibility Pack als wichtig eingestuft. Die schon zuvor bekannte Schwachstelle wird bereits für gezielte Angriffe ausgenutzt.

MS09-010 - 4 Schwachstellen in Wordpad und Office

MS09-010 wird ebenfalls als insgesamt kritisch eingestuft und beschreibt zwei bisher unveröffentlichte und zwei bereits öffentlich bekannte Schwachstellen in WordPad und dem Office Text Converter, die die Ausführung beliebigen Codes erlauben. Das Bulletin wird für Office 2000 SP3 als kritisch eingestuft, für Office XP SP3 und Windows 2000 SP4, XP SP2/SP3 sowie Server 2003 SP1/SP2 als wichtig. Eine der bereits länger öffentlich bekannten Schwachstellen wird bereits für gezielte Angriffe ausgenutzt. Ein Eintrag im Security Research & Defense Blog beschreibt, wie die mögliche Angriffsfläche reduziert werden kann, wenn keine Dateien in alten Dokumentenformaten geöffnet werden müssen.

MS09-011 - 1 Schwachstelle in DirectX

Das als kritisch eingestufte Security Bulletin MS09-011 beschreibt eine bisher unveröffentlichte Schwachstelle in DirectX, die die Ausführung beliebigen Codes erlaubt, wenn eine entsprechend präparierte MJPEG-Datei in DirectShow geöffnet wird. Betroffen sind DirectX 8.1 für Windows 2000 SP4 und DirectX 9.0 für Windows 2000 SP4, SP SP2/SP3 sowie Server 2003 SP1/SP2.

MS09-013 - 3 Schwachstellen im Windows HTTP Services (WinHTTP)

MS09-013 wird für Windows 2000 SP4, XP SP2/SP3, Server 2003 SP1/SP2, Vista samt SP1 sowie Server 2008 als insgesamt kritisch eingestuft: Eine bereits veröffentlichte und zwei bisher nicht öffentlich bekannte Schwachstellen in Microsoft Windows HTTP Services (WinHTTP) erlauben u.a. die Ausführung beliebigen Codes. Im Einzelnen handelt es sich um eine Integer-Unterlauf-Schwachstelle beim Verarbeiten der Responses eines HTTP-Servers, die die Ausführung beliebigen Codes erlaubt, eine Spoofing-Schwachstelle in Folge der unvollständigen Verarbeitung des Distinguished Name eines Zertifikats und eine NTLM Credential Reflection Schwachstelle, die das Umgehen der Authentifizierung erlaubt. Die letztgenannte Schwachstelle wird in einem Eintrag im Security Research & Defense Blog näher beschrieben. Tools zur Ausnutzung dieser Schwachstelle wurden bereits vor einiger Zeit veröffentlicht, eine gleichartige Schwachstelle wurde am November-Patchday 2008 in SMB behoben.

MS09-014 - 6 Schwachstellen im Internet Explorer

Das Security Bulletin MS09-014 fasst insgesamt 6 Schwachstellen im Internet Explorer zusammen: Vier bisher unveröffentlichte und zwei bereits öffentlich bekannte Schwachstellen erlauben die Ausführung beliebigen Codes. Das Bulletin wird für den Internet Explorer 5.01 und 6 SP 1 auf Windows 2000 SP4, den Internet Explorer 6 und 7 auf Windows XP SP2/SP3 und Server 2003 SP1/SP2 sowie den Internet Explorer 7 auf Windows Vista samt SP1 und Server 2008 als insgesamt kritisch eingestuft.

Bei einer der Schwachstellen handelt es sich um die sog. "Carpet Bomb Schwachstelle", die z.B. in Verbindung mit Apples Safari ausgenutzt werden konnte. Ursache war ein unsicherer Suchpfad im Internet Explorer, der DLL-Dateien auch vom Desktop laden konnte. Ursprünglich stufte Microsoft das Problem gar nicht als Schwachstelle ein und wollte auch keinen Patch veröffentlichen. Ein Eintrag im Security Research & Defense Blog erklärt den Sinnungswandel.

Außerdem wurde ebenfalls die bereits oben beschriebene NTLM Credential Reflection Schwachstelle behoben, die das Umgehen der Authentifizierung erlaubt, auch hierzu gibt es einen Eintrag im Security Research & Defense Blog (den gleichen wie für MS09-013).

MS09-012 - 4 Schwachstellen in Windows

Mit dem als wichtig eingestuften Security Bulletin MS09-012 werden vier bereits öffentlich bekannte Schwachstellen in Windows 2000, XP, Server 2003, Vista und Server 2008 behoben, die alle lokale Privilegieneskalation erlauben. Sowohl ein Artikel von Microsofts Security Response Center (MSRC) als auch ein Eintrag im Security Research & Defense Blog enthalten weiterführende Informationen zu den Schwachstellen. Für eine davon wurden bereits Detailinformationen und ein Exploit veröffentlicht, siehe dazu den Eintrag im Bereich Security aktuell.

MS09-016 - 2 Schwachstellen im ISA-Server und Forefront

Das Security Bulletin MS09-016 wird als wichtig eingestuft: Je eine bisher unveröffentlichte und bereits bekannte Schwachstelle im Internet Security and Acceleration (ISA) Server und Microsoft Forefront Threat Management Gateway (TMG) erlauben DoS- und Cross-Site-Scripting-Angriffe.

MS09-015 - 1 Schwachstelle in SearchPath

Das von Microsoft als moderat eingestufte Security Bulletin MS09-015 korrigiert die bereits oben beschriebene "Carpet Bomb Schwachstelle" in SearchPath. Eine Schwachstelle, die relativ einfach die Ausführung beliebigen Codes aus der Ferne erlaubt und für die Proof-of-Concept-Exploits verfügbar sind, nur als "moderat" einzustufen erscheint ziemlich gewagt. Das die Schwachstelle bisher nur über Safari ausgenutzt wurde und Apple dort die "Schwachstelle" behoben hat, bedeutet nicht, das sie nicht mehr ausgenutzt werden kann. Was spricht dagegen, das sie über andere Programme ausgenutzt werden kann?

Bewertung der Schwachstellen

Das Internet Storm Center hat wie immer eine Übersicht über die veröffentlichten Patches erstellt. Drei der Bulletins wurden dabei mit der Aufforderung 'Patch now' versehen, da die entsprechenden Schwachstellen bereits ausgenutzt werden: Die Bulletins zu Excel, Wordpad/Text Converter und dem Internet Explorer.

Fazit: Wie immer gilt: Installieren Sie die Patches so schnell wie möglich. Diesmal ist das Auftauchen funktionsfähigen Exploitcodes für die kritische Schwachstelle teilweise sehr wahrscheinlich, zum Teil werden die Schwachstellen bereits ausgenutzt. Es möchte doch niemand das Debakel mit der RPC-Schwachstelle samt folgenden Wurmausbruch wiederholen, oder?

Carsten Eilers

Übersicht der Meldungen auf 'Security aktuell':

• Excel: Schwachstelle erlaubt Ausführung beliebigen Codes beim Öffnen einer Excel-Datei mit präpariertem Objekt darin (MS09-009)
• Excel (Update): Schwachstelle erlaubt Ausführung beliebigen Codes (MS09-009)
• Wordpad: Schwachstellen in WordPad und Office Text Converter erlauben Ausführung beliebigen Codes (MS09-010)
• Office: Schwachstellen in WordPad und Office Text Converter erlauben Ausführung beliebigen Codes (MS09-010)
• Wordpad (Update): Schwachstelle im WordPad Text Converter for Word 97 erlaubt Ausführung beliebigen Codes (MS09-010)
• DirectX: Schwachstelle beim Verarbeiten von MJPEG-Dateien erlaubt Ausführung beliebigen Codes (MS09-011)
• Windows: Vier Schwachstellen erlauben lokale Privilegienesklation (MS09-012)
• Windows (Update): Schwachstelle im Kernel erlaubt lokale Privilegieneskalation (MS09-012)
• WinHTTP: Drei Schwachstellen im Windows HTTP Services (WinHTTP) erlauben u.a. die Ausführung beliebigen Codes (MS09-013)
• Internet Explorer: 6 Schwachstellen erlauben Ausführung beliebigen Codes (MS09-014)
• SearchPath: Unsicherer Suchpfad im Internet Explorer erlaubt Einschleusen beliebigen Codes (MS09-015)
• ISA-Server: Zwei Schwachstellen erlauben DoS- und Cross-Site-Scripting-Angriffe (MS09-016)
• Forefront: Zwei Schwachstellen erlauben DoS- und Cross-Site-Scripting-Angriffe (MS09-016)