Der "Month of 0-Days" und Microsofts außerplanmäßige Patches sind die Themen dieses Standpunkt Sicherheit.

Ein heißer Monat

Dieser Monat hat es in sich. Vorigen Montag habe ich noch gelästert, wo denn die wöchentliche Schwachstelle für Microsofts "Summer of 0-Day-Schwachstellen" bleibt, schließlich gab es an den beiden Montagen davor jeweils eine. Zur Abwechslung gab es dann stattdessen 0-Day-Schwachstellen im Flash Player und Adobe Reader und Acrobat. Nicht zu vergessen die Schwachstelle in Firefox, die innerhalb von 4 Tagen sowohl bereits für Drive-by-Infektionen ausgenutzt als auch behoben wurde. Als vorläufige Krönung (der Monat ist ja noch nicht um, wer weiß, was für Schwachstellen diese Woche noch entdeckt werden) gibt es dann diese Woche noch einen außerplanmäßigen Microsoft-Patchday.

Damit dürfte der Juli einer der schlimmsten Monate seit langem sein, wenn es um IT-Sicherheit geht. An eine ähnliche Häufung derartiger Schwachstellen kann ich mich jedenfalls nicht erinnern.

Ein kleiner Rückblick:

6. Juli - Kritische Schwachstellen in mehreren Produkten werden für Angriffe ausgenutzt, darunter eine von Microsoft gemeldete Schwachstelle im Microsoft Video ActiveX-Control, die im Rahmen von Drive-by-Infektionen eingesetzt wird. Das besondere an dieser Schwachstelle: Sie war Microsoft seit dem "späten Frühjahr" 2008 bekannt, siehe Standpunkt Sicherheit vom 13. Juli.

13. Juli - Microsoft veröffentlicht ein Security Advisory zu einer Schwachstelle im Microsoft Office Web Components Control, die ebenfalls bereits im Rahmen von Drive-by-Infektionen ausgenutzt wird.

13. Juli - Auf Milw0rm wird ein Exploit für eine Pufferüberlauf-Schwachstelle in Firefox veröffentlicht

14. Juli - Microsofts Patchday bringt u.a. Patches für die am 6. Juli veröffentlichte Schwachstelle im Microsoft Video ActiveX-Control sowie für eine bereits seit Ende Mai bekannte Schwachstelle in DirectShow, die ebenfalls bereits für Angriffe ausgenutzt wurde.

14. Juli - Im Mozilla Security Blog wird bestätigt, das die am 13. veröffentlichte Schwachstelle in Firefox die Ausführung beliebigen Codes erlaubt.

17. Juli - Firefox 3.5.1 behebt die Pufferüberlauf-Schwachstelle, die inzwischen bereits für Angriffe ausgenutzt wird.

22. Juli - Symantec untersucht eine PDF-Datei, über die eine Schwachstelle im Flash-Player ausgenutzt werden soll.

22. Juli - Brian Krebs spekuliert, das Microsoft evtl. noch vor dem nächsten Patchday einen außerplanmäßigen Patch veröffentlichen wird, um eine größere Schwachstelle zu beheben. Die Schwachstelle im Microsoft Video ActiveX-Control ist demnach deutlich weitreichender bzw. tiefgreifender, als bisher bekannt ist.

23. Juli - Adobe bestätigt eine Schwachstelle im Flash Player, die durch eine gemeinsam genutzte Komponente auch den Adobe Reader und Acrobat betrifft. Patches für Windows, Mac OS X und Linux werden am 30. und 31. Juli erwartet.

24. Juli - Microsoft kündigt für den 28. Juli außerplanmäßige Patches an, die den Internet Explorer und Visual Studio betreffen.

Spekulationen zum "Patchday außer der Reihe"

Die bekannten Fakten zum außerplanmäßigen Patchday stehen in den Security-Hinweisen, hier nur eine kurze Zusammenfassung:

1. Die Schwachstelle im Microsoft Video ActiveX-Control wurde bereits im Frühjahr 2008 von Ryan Smith und Alex Wheeler an Microsoft gemeldet
2. Brian Krebs erwartete außerplanmäßige Patches, weil u.a. Halvar Flake festgestellt hat, das der betreffende Code auch noch anderswo verwendet wird und die Schwachstelle darin auf anderen Wegen als über das Video ActiveX-Control ausgenutzt werden kann
3. Ryan Smith wird am Dienstag zusammen mit Mark Dowd und David Dewey auf der Sicherheitskonferenz Black Hat einen Vortrag halten, der mit der Schwachstelle zusammen hängen könnte: "The Language of Trust: Exploiting Trust Relationships in Active Content". Ein Preview der Präsentation ist mit "Killbit Bypass Preview" betitelt und zeigt, wie ein ActiveX-Control trotz gesetztem Killbit geladen wird. Wenn sich das einfach erreichen lässt, wird es unangenehm - es gibt noch etliche Schwachstellen in ActiveX-Controls, die lediglich durch das Setzen des Killbits "behoben" wurden. Kann die Einstellung umgangen werden, gibt das reichlich Material für Drive-by-Infektionen.
4. Microsoft verrät zu den Security Bulletins nur folgendes:

   "While we can’t go into specifics about the issue prior to release, we can say that the Visual Studio bulletin will address an issue that can affect certain types of applications. The Internet Explorer bulletin will provide defense-in-depth changes to Internet Explorer to help provide additional protections for the issues addressed by the Visual Studio bulletin. The Internet Explorer update will also address vulnerabilities rated as Critical that are unrelated to the Visual Studio bulletin that were privately and responsibly reported."

Die Ratestunde beginnt

Aus 1., 2. und Teilen von 4. schließe ich, das der Patch für Visual Studio die Schwachstelle im Microsoft Video ActiveX-Control betrifft und dafür sorgt, das sie in den betreffenden Bibliotheken behoben wird. Danach müssen Dritthersteller, die die entsprechenden Funktionen verwenden, ihre Programme sehr wahrscheinlich neu kompilieren. Die "defense-in-depth changes" im Internet Explorer bestehen in fehlerfreien Bibliotheken. Die gehören zwar zum Teil zu Windows, aber Microsoft hat es ja schon öfter nicht so genau damit genommen, was nun zu Windows und was zum Internet Explorer gehört und munter Patches so verteilt, wie es gerade gut passte. Und nachdem der erste Patch im Setzen des Kill-Bits bestand, würde ein Austausch der betroffenen Bibliotheken die Schwachstellen tatsächlich beheben und nicht nur ein Stoppschild vors ActiveX-Control stellen.

Das sind die von Brian Krebs erwarteten Patches. Aber worin bestehen die kritischen Schwachstellen im Internet Explorer, die "unrelated to the Visual Studio bulletin" sind? Sie könnten das Umgehen der Killbit-Einstellungen in 3. betreffen. Eigentlich müssten sie es sogar, wenn man davon ausgeht, das Dowd, Smith und Dewey so fair waren und Microsoft rechtzeitig darüber informiert haben. Und die zusätzlichen Schachstellen wurden ja "privately and responsibly reported", und das Bulletin betrifft alle Versionen des Internet Explorers von 5.01 bis 8. Das, was dafür spricht, spricht aber genau so sehr dagegen: Schwachstellen an dem Tag zu beheben, an dem sie auf einer Konferenz vorgestellt werden, ist ziemlich ungeschickt (höflich ausgedrückt). Jedenfalls, wenn man schon mal was von Zeitverschiebung gehört hat. Die Schwachstellen werden evtl. ausgenutzt, bevor die letzten Benutzer die entsprechenden Patches überhaupt zu Gesicht bekommen. Von Umgebungen, in denen die Patches vor der Installation erst getestet werden, ganz zu schweigen. Entweder hätte Microsoft die Patches dann früher veröffentlichen oder den Vortrag verhindern müssen. Das wäre nicht der erste Vortrag, der verschoben wird, weil ein Hersteller nicht rechtzeitig mit den Patches fertig wird.

Eigentlich gibt es nur zwei Möglichkeiten:

1. Die zusätzlichen Schwachstellen sind neu und haben nichts mit dem Umgehen der Killbit-Einstellungen zu tun, für das Umgehen der Killbit-Einstellungen gibt es keinen Patch. Warum haben wir dann noch nichts davon gehört, das Microsoft eine Armee von Anwälten auf die Entdecker der Killbit-Schwachstelle und die Organisatoren der Black Hat gehetzt hat, um die Veröffentlichung der Schwachstelle zu verhindern?
2. Die zusätzlichen Schwachstellen sind das Umgehen der Killbit-Einstellungen. Warum werden die Patches dann erst an dem Tag veröffentlicht, an dem die Schwachstelle öffentlich vorgeführt wird? Spielt Steve Ballmer gerne russisches Roulette mit den Rechnern seiner Opfer, pardon, Kunden?

Eigentlich sind beide Möglichkeiten gleich (un-)wahrscheinlich. Mensch, ist das spannend!

Es gibt noch eine dritte Möglichkeit, aber ich hoffe sehr, die trifft nicht zu: Die zusätzlichen Schwachstellen sind neu, und Patches für die Killbit-Schwachstelle wurden bereits am letzten regulären Patchday heimlich mit verteilt: Nachdem Adobe Microsofts Patchday gekapert hat, hat Microsoft im Gegenzug Adobes Angewohnheit übernommen, nach und nach weitere behobene Schwachstelle zuzugeben.

Carsten Eilers