DFN-CERT Portal

Schwachstellen

DFN-CERT-2016-1672: Microsoft Windows: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes

Historie

Version 1 (2016-10-12 18:12)
Neues Advisory
Version 2 (2016-12-14 10:39)
Microsoft hat seinen Sicherheitshinweis MS16-124 überarbeitet und informiert darüber, dass drei Updates mit einer Erkennungsänderung erneut veröffentlicht wurden. Die Änderungen beheben ein Vorrangproblem, das bei manchen Benutzern beim Versuch aufgetreten ist, die reinen Sicherheitsupdates für Oktober zu installieren. Weitere Informationen finden Sie in den zugehörigen Microsoft Knowledge Base Artikeln 3192391, 3192393 und 3192392 (Referenzen anbei).
Version 3 (2016-12-14 11:08)
Microsoft hat seine Sicherheitshinweise MS16-120, MS16-122, MS16-123 und MS16-126 ebenfalls überarbeitet und informiert auch dort über die erneute Veröffentlichung der schon genannten Oktober-Updates 3192391, 3192393 und 3192392 aufgrund einer Erkennungsänderung zur Behebung des erwähnten Vorrangproblems.
Version 4 (2017-09-14 12:19)
Microsoft hat seinen Sicherheitshinweis MS16-123 aktualisiert, um darauf hinzuweisen, dass Windows 10 Version 1703 für 32-bit Systeme und Windows 10 Version 1703 für x64-basierte Systeme von der Schwachstelle CVE-2016-3376 betroffen sind. Privatkunden von Windows 10 erhalten automatisch Sicherheitsupdates. Unternehmenskunden, die Windows 10 Version 1703 einsetzen, weist Microsoft an sicherzustellen, dass das Update 4038788 installiert ist, um gegen diese Schwachstelle geschützt zu sein.

Betroffene Software

Malicious Software Removal Tool
Microsoft Windows

Betroffene Plattformen

Microsoft Windows 7 SP1 x64
Microsoft Windows 7 SP1 x86
Microsoft Windows 8.1 x64
Microsoft Windows 8.1 x86
Microsoft Windows 10 x64
Microsoft Windows 10 x86
Microsoft Windows 10 x64 v1511
Microsoft Windows 10 x86 v1511
Microsoft Windows 10 x64 v1607
Microsoft Windows 10 x86 v1607
Microsoft Windows 10 x64 v1703
Microsoft Windows 10 x86 v1703
Microsoft Windows RT 8.1
Microsoft Windows Server 2008 SP2 x64 Server Core Installation
Microsoft Windows Server 2008 SP2 x86 Server Core Installation
Microsoft Windows Server 2008 SP2 Itanium
Microsoft Windows Server 2008 SP2 x64
Microsoft Windows Server 2008 SP2 x86
Microsoft Windows Server 2008 R2 SP1 x64 Server Core Installation
Microsoft Windows Server 2008 R2 SP1 Itanium
Microsoft Windows Server 2008 R2 SP1 x64
Microsoft Windows Server 2012
Microsoft Windows Server 2012 Server Core Installation
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2012 R2 Server Core Installation
Microsoft Windows Vista SP2
Microsoft Windows Vista SP2 x64

Lösung

Patch

Microsoft Sicherheitshinweise MS16-122 (Microsoft Videokontrolle)

Patch

Microsoft Sicherheitshinweise MS16-123 (Windows Kernel-Modustreiber)

Patch

Microsoft Sicherheitshinweise MS16-124 (Windows Registry)

Patch

Microsoft Sicherheitshinweise MS16-125 (Diagnose Hub)

Patch

Microsoft Sicherheitshinweise MS16-126 (Microsoft Internet Messaging API)

Patch

Microsoft Sicherheitshinweise MS16-120 (Microsoft Grafikkomponente)

Beschreibung

In Microsoft Windows existieren insgesamt 19 Schwachstellen in den Komponenten Windows-Grafikkomponente, Videosteuerung, Windows Kernel-Modustreiber, Windows Registry, Diagnose Hub und Microsoft Internet Messaging API (nähere Informationen siehe Microsoft Security Bulletins MS16-120, MS16-122, MS16-123, MS16-124, MS16-125 und MS16-126). Lokale wie entfernte, auch nicht authentifizierte Angreifer können die Schwachstellen dazu ausnutzen, beliebigen Programmcode mit den Rechten des Benutzers, des Administrators oder des Kernels auszuführen.

Microsoft informiert zusätzlich über ein Softwareupdate für das Microsoft Windows-Tool zum Entfernen bösartiger Software.

Schwachstellen

CVE-2016-7188: Schwachstelle im Windows Diagnostics Hub ermöglicht Ausführen beliebigen Programmcodes

Im Windows Diagnostics Hub Standard Collector Service existiert eine Schwachstelle, die auf unzureichender Überprüfung von Eingaben basiert, dadurch das Laden von unsicheren Bibliotheken erlaubt und so eine Privilegieneskalation ermöglicht. Ein lokaler, einfach authentifizierter Angreifer kann diese Schwachstelle dazu ausnutzen, beliebigen Programmcode mit den Rechten des Windows Diagnostics Hub Standard Collector Service (d.h. SYSTEM) auszuführen. Dazu muss er eine speziell präparierte Anwendung auf dem betroffenen System ausführen.

CVE-2016-3393: Schwachstelle in der Windows Grafikkomponente ermöglicht Ausführen beliebigen Programmcodes

Die Grafikkomponente des Windows Kernels verarbeitet Objekte im Hauptspeicher nicht korrekt. Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle dazu ausnutzen, beliebigen Programmcode mit den Rechten des Benutzers auszuführen, indem er ihn dazu bringt, ein von ihm manipuliertes Dokument oder eine Webseite anzusehen. Verfügt der Benutzer über Administratorrechte, kann das System vollständig übernommen werden.

CVE-2016-3341: Schwachstelle im Windows Transaction Manager ermöglicht Ausführen beliebigen Programmcodes

Im Windows Transaction Manager existiert eine Schwachstelle, die darauf basiert, dass Objekte im Hauptspeicher nicht korrekt verarbeitet werden, wodurch eine Privilegieneskalation ermöglicht wird. Ein lokaler, am System angemeldeter Angreifer kann diese Schwachstelle dazu ausnutzen, beliebigen Code mit den Rechten des Kernels auszuführen.

CVE-2016-3270: Schwachstelle im Windows Kernel ermöglicht Ausführen beliebigen Programmcodes

Die Grafikkomponente des Windows Kernels verarbeitet Objekte im Hauptspeicher nicht korrekt. Ein lokaler, am System angemeldeter Angreifer kann diese Schwachstelle dazu ausnutzen, beliebigen Programmcode mit den Rechten des Kernels auszuführen.

CVE-2016-3266 CVE-2016-3376 CVE-2016-7185 CVE-2016-7211 : Mehrere Schwachstellen im Windows Kernel-Modustreiber ermöglichen Ausführen beliebigen Programmcodes

Im Windows Kernel-Modustreiber existieren mehrere Schwachstellen, die darauf basieren, dass Objekte im Hauptspeicher nicht korrekt verarbeitet werden, wodurch eine Privilegieneskalation ermöglicht wird. Ein lokaler, am System angemeldeter Angreifer kann diese Schwachstellen dazu ausnutzen, beliebigen Programmcode mit den Rechten des Kernels auszuführen und das betroffene System vollständig übernehmen.

CVE-2016-0142: Schwachstelle in der Microsoft Videokontrolle ermöglicht Ausführen beliebigen Programmcodes

Die Microsoft Videokontrolle ('Video Control') verarbeitet Objekte im Hauptspeicher nicht korrekt. Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle dazu ausnutzen, beliebigen Programmcode mit den Rechten des Benutzers auszuführen, wenn er diesen dazu bringt, von ihm manipulierte Inhalte anzusehen. Dies gilt auch für die Preview Funktion. Verfügt der Benutzer zum Zeitpunkt des Angriffs über Administratorrechte, kann das gesamte System übernommen werden.

CVE-2016-0070 CVE-2016-0073 CVE-2016-0075 CVE-2016-0079: Mehrere Schwachstellen im Microsoft Windows Kernel ermöglichen Ausspähen von Informationen

In der Windows Kernel API existieren mehrere Schwachstellen, die auf unzureichende Sicherheitsbeschränkungen in der Kernel API basieren und einen Zugriff auf vertrauliche Informationen in der Windows Registry ermöglichen. Ein lokaler, einfach authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern und an Informationen außerhalb seiner Berechtigungen zu gelangen. Dazu muss er eine speziell präparierte Anwendung auf dem betroffenen System ausführen. Mit Hilfe der vertraulichen Informationen kann der Angreifer eventuell weitere Angriffe durchführen.

CVE-2016-7182: Schwachstelle beim Parsen von TrueType Fonts im Windows Kernel ermöglicht Ausführen beliebigen Programmcodes

Die Grafikkomponente des Windows Kernels enthält einen Fehler beim Parsen von TrueType Fonts, wodurch Objekte im Hauptspeicher nicht korrekt verarbeitet werden. Ein lokaler, am System angemeldeter Angreifer kann diese Schwachstelle dazu ausnutzen, beliebigen Programmcode mit den Rechten des Kernels auszuführen.

CVE-2016-3396: Schwachstelle in Windows Grafikkomponente GDI ermöglicht Ausführen beliebigen Programmcodes

In der Grafikkomponente GDI von Microsoft Windows existiert eine Schwachstelle, die darauf basiert, dass die Windows Font Library speziell präparierte, eingebettete Fonts nicht ordnungsgemäß verarbeitet. Ein entfernter, nicht authentifizierter Angreifer kann die Schwachstelle dazu ausnutzen, beliebigen Programmcode mit den Rechten des Benutzers auszuführen, wenn er diesen dazu verleiten kann, ein speziell präpariertes Dokument zu öffnen oder eine speziell präparierte Webseite zu besuchen. Falls der Benutzer über administrative Rechte verfügt, kann der Angreifer das betroffene System vollständig kompromittieren. Dies ermöglicht dem Angreifer beliebige Programme zu installieren, Dateien zu lesen / verändern / löschen oder Benutzerkonten mit sämtlichen Rechten zu erstellen.

CVE-2016-3209 CVE-2016-3262 CVE-2016-3263: Schwachstellen in Microsoft Windows Grafikkomponente GDI ermöglichen Ausspähen von Informationen

In der Grafikkomponente GDI von Microsoft Windows existieren mehrere Schwachstellen, durch die der Inhalt des Arbeitsspeichers offengelegt werden kann. Die erlangten Informationen können von einem Angreifer anschließend verwenden, um die Address Space Layout Randomization (ASLR) in Windows zu umgehen und weitere Angriffe, wie beispielsweise das Ausführen beliebigen Programmcodes, durchzuführen. Für die erfolgreiche Ausnutzung der Schwachstellen muss sich ein Angreifer an einem System anmelden und eine speziell präparierte Applikation ausführen. Ein lokaler, einfach authentifizierter Angreifer kann durch diese Schwachstellen an vertrauliche Informationen gelangen, die er für weitere Angriffe nutzen kann.

CVE-2016-3298: Schwachstelle in Internet Explorer ermöglicht Ausspähen von Informationen

Aufgrund der fehlerhafte Behandlung von Objekten im Speicher besteht eine Schwachstelle im Microsoft Internet Explorer in den Versionen 9, 10 und 11, die es einem Angreifer ermöglicht die Existenz bestimmter Dateien auf einem System nachzuweisen. Ein entfernter, nicht authentisierter Angreifer kann diese Schwachstelle ausnutzen, indem er einen Benutzer dazu verleitet eine präparierte Webseite zu besuchen, welche zur Ausnutzung der Schwachstelle gestaltete Inhalte bereitstellt, und so Informationen ausspähen.

Referenzen

© DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf des schriftlichen Einverständnisses des Rechteinhabers.