DFN-CERT Portal

Schwachstellen

DFN-CERT-2017-1614: Microsoft Windows: Mehrere Schwachstellen ermöglichen die komplette Systemübernahme

Historie

Version 1 (2017-09-13 17:04)
Neues Advisory

Betroffene Software

Microsoft Windows

Betroffene Plattformen

Microsoft Windows 7 SP1 x64
Microsoft Windows 7 SP1 x86
Microsoft Windows 8.1 x64
Microsoft Windows 8.1 x86
Microsoft Windows 10 x64
Microsoft Windows 10 x86
Microsoft Windows 10 x64 v1511
Microsoft Windows 10 x86 v1511
Microsoft Windows 10 x64 v1607
Microsoft Windows 10 x86 v1607
Microsoft Windows 10 x64 v1703
Microsoft Windows 10 x86 v1703
Microsoft Windows RT 8.1
Microsoft Windows Server 2008 SP2 x64 Server Core Installation
Microsoft Windows Server 2008 SP2 x86 Server Core Installation
Microsoft Windows Server 2008 SP2 Itanium
Microsoft Windows Server 2008 SP2 x64
Microsoft Windows Server 2008 SP2 x86
Microsoft Windows Server 2008 R2 SP1 x64 Server Core Installation
Microsoft Windows Server 2008 R2 SP1 Itanium
Microsoft Windows Server 2008 R2 SP1 x64
Microsoft Windows Server 2012
Microsoft Windows Server 2012 Server Core Installation
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2012 R2 Server Core Installation
Microsoft Windows Server 2016
Microsoft Windows Server 2016 Server Core Installation

Lösung

Patch

Microsoft Security Update Guide

Beschreibung

Mehrere Schwachstellen in verschiedenen Windows-Komponenten ermöglichen auch einem entfernten, nicht authentisierten Angreifer die komplette Systemübernahme und dadurch die Ansicht und Manipulation aller auf dem System vorhandenen Daten, das Erstellen neuer Benutzerkonten mit umfassenden Rechten und die Installation beliebiger Programme. Darüber hinaus sind verschiedene Denial-of-Service-Angriffe, das Umgehen von Sicherheitsvorkehrungen, das Ausspähen von Informationen, die sich für weitere Angriffe ausnutzen lassen und die Eskalation von Privilegien in unterschiedlichen Ausprägungen möglich. Einige der Schwachstellen lassen sich nur ausnutzen, indem ein Benutzer zu bestimmten Aktionen verleitet wird. Dies kann beispielsweise der Besuch einer speziell präparierten Webseite oder die Installation und Ausführung von zur Verfügung gestellten Anwendungen umfassen. Auch die Ansicht eines Dokuments in der Vorschau ist einer der Angriffsvektoren, mit dem sich ein betroffenes System kompromittieren lässt.

Es stehen Sicherheitsupdates zur Behebung der Schwachstellen zur Verfügung. Diese können im Microsoft Security Update Guide über die Kategorie 'Windows' identifiziert werden.

Weiterhin weist Microsoft darauf hin, dass für Windows 10 Version 1507 seit dem 9. Mai 2017 nur noch jene Kunden, die Windows 10 2015 LTSB und Windows 10 IoT Enterprise 2015 LTSB Editionen verwenden, Sicherheits- und Qualitätsupdates hierfür erhalten. Microsoft empfiehlt Kunden, die eine nicht mehr unterstützte Edition von Windows 10 Version 1507 verwenden, auf die neueste Version von Windows 10 zu aktualisieren. Für weitere Informationen sei auf den Microsoft Knowledge Base Article 4015562 verwiesen.

Schwachstellen

CVE-2017-8746: Schwachstelle in Windows Device Guard ermöglicht Umgehen von Sicherheitsvorkehrungen

Microsoft Windows enthält eine Schwachstelle im Windows Device Guard, die auf einer fehlerhaften Verarbeitung von Benutzerprogrammen in Windows PowerShell-Sitzungen beruht. Ein lokaler, einfach authentisierter Angreifer, dem es gelingt, speziell gestalteten Code in ein als vertrauenswürdig angesehenes Skript einzuschleusen, kann die Schwachstelle ausnutzen, um den Sicherheitsmechanismus Device Guard zu umgehen.

CVE-2017-8720: Schwachstelle in Win32k ermöglicht Erlangen von Administratorrechten

Eine Schwachstelle in Windows Win32k beruht auf einer fehlerhaften Verarbeitung von Objekten im Speicher. Ein lokaler, nicht authentisierter Angreifer kann die Schwachstelle dazu ausnutzen, seine Privilegien zu erweitern und in der Folge Programme zu installieren, Daten auszuspähen, zu verändern oder zu löschen sowie Konten mit administrativen Privilegien zu erstellen.

CVE-2017-8716: Schwachstelle in Windows Sicherheitsfunktion ermöglicht Umgehen von Sicherheitsvorkehrungen

Microsoft Windows enthält eine Schwachstelle im Windows Control Flow Guard, die auf einer fehlerhaften Verarbeitung von Objekten im Speicher beruht. Ein lokaler, nicht authentisierter Angreifer, dem es gelingt, eine speziell gestaltete Anwendung auszuführen, kann die Schwachstelle ausnutzen, um den Sicherheitsmechanismus Control Flow Guard zu umgehen.

CVE-2017-8714: Schwachstelle in Remote Desktop Virtual Host ermöglicht Ausführen beliebigen Programmcodes

In der 'VM Host Agent Service of Remote Desktop Virtual Host'-Rolle in verschiedenen Versionen von Microsoft Windows existiert eine Schwachstelle durch die fehlerhafte Behandlung von Benutzereingaben angemeldeter Benutzer. Ein lokaler, einfach authentisierter Angreifer, dem es gelingt, ein speziell gestaltetes Zertifikat auf einem Gastsystem auszustellen, kann die Schwachstelle ausnutzen, um über den VM Host Agent Service auf dem Host-System beliebigen Programmcode auszuführen.

CVE-2017-8710: Schwachstelle in Windows ermöglicht Ausspähen von Informationen

Eine Schwachstelle in Windows existiert im Microsoft Common Console Document (.msc), die auf einer fehlerhaften Verarbeitung von XML-Eingaben mit externen Entitäten beruht. Ein entfernter, nicht authentisierter Angreifer, der einen Benutzer zum Öffnen eines speziell gestalteten Dokumentes verleiten kann, kann diese Schwachstelle ausnutzen, um beliebige Dateien auszulesen.

CVE-2017-8709 CVE-2017-8719: Schwachstellen in Windows Kernel ermöglichen Ausspähen von Informationen

Zwei Schwachstellen im Windows Kernel basieren auf einer fehlerhaften Verarbeitung von Objekten im Speicher, wodurch sensible Informationen offengelegt werden. Ein lokaler, einfach authentisierter Angreifer, dem es gelingt, eine speziell gestaltete Anwendung auszuführen, kann die Schwachstellen ausnutzen, um Informationen auszuspähen.

CVE-2017-8708: Schwachstelle in Windows Kernel ermöglicht Ausspähen von Informationen

Eine Schwachstelle im Windows Kernel beruht auf einer fehlerhaften Initialisierung einer Speicheradresse, wodurch sensible Informationen offengelegt werden. Ein lokaler, einfach authentisierter Angreifer, dem es gelingt, eine speziell gestaltete Anwendung auszuführen, kann die Schwachstelle ausnutzen, um Informationen auszuspähen.

CVE-2017-8706 CVE-2017-8707 CVE-2017-8711 CVE-2017-8712 CVE-2017-8713: Schwachstellen in Windows Hyper-V ermöglichen Ausspähen von Informationen

In Hyper-V existieren mehrere Schwachstellen aufgrund der fehlerhafte Behandlung von Benutzereingaben angemeldeter Benutzer. Ein lokaler, einfach authentisierter Angreifer, dem es gelingt, eine speziell gestaltete Anwendung auf einem Gastsystem auszuführen, kann die Schwachstellen ausnutzen, um Informationen über Speicheradressen des Host-Systems auszuspähen.

CVE-2017-8704: Schwachstelle in Windows Hyper-V ermöglicht Denial-of-Service-Angriff

In Hyper-V existiert eine Schwachstelle aufgrund der fehlerhaften Behandlung von Benutzereingaben privilegierter Benutzer. Ein lokaler, einfach authentisierter Angreifer, dem es gelingt, eine speziell gestaltete Anwendung auf einem Gastsystem auszuführen, kann die Schwachstelle ausnutzen, um das Host-System zum Absturz zu bringen (Denial-of-Service).

CVE-2017-8702: Schwachstelle in Windows ermöglicht Privilegieneskalation

Eine Schwachstelle in Windows existiert im Windows Error Reporting (WER), die auf einer fehlerhaften Verarbeitung und Ausführung von Dateien beruht. Ein lokaler, einfach authentisierter Angreifer, dem es gelingt, eine speziell gestaltete Anwendung auszuführen, kann die Schwachstelle ausnutzen, um seine Privilegien zu erweitern.

CVE-2017-8699: Schwachstelle in Windows Shell ermöglicht Ausführen beliebigen Programmcodes

Eine Schwachstelle in der Windows Shell beruht auf einer fehlerhaften Überprüfung von Zielen beim Kopieren von Dateien. Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode zur Ausführung zu bringen. Dazu muss er einen Benutzer dazu verleiten, ein speziell gestaltetes Dokument zu öffnen oder eine Webseite zu besuchen. Falls der Benutzer über administrative Rechte verfügt, kann der Angreifer das betroffene System vollständig kompromittieren.

CVE-2017-8692 CVE-2017-8696: Schwachstellen in Uniscribe ermöglichen Übernahme des Systems

Microsoft Windows Uniscribe enthält zwei Schwachstellen, die auf einer fehlerhaften Verarbeitung von Objekten im Speicher beruhen. Ein entfernter, nicht authentisierter Angreifer kann die Schwachstellen ausnutzen, wenn es ihm beispielsweise gelingt einen Anwender zum Öffnen einer speziell präparierten Datei zu verleiteten, die er dem Anwender z.B. per Mail zusendet. Sollte der Anwender mit Administratorrechten ausgestattet sein, kann dies zur Übernahme der Kontrolle des Systems durch den Angreifer führen und diesem in der Folge ermöglichen Programme zu installieren, Daten zu sichten, zu verändern und zu löschen sowie Nutzer mit vollen Rechten anzulegen.

CVE-2017-8688: Schwachstelle in Windows GDI+ ermöglicht Ausspähen von Informationen

Eine Schwachstelle in Windows GDI+ basiert auf einer fehlerhaften Verarbeitung von Objekten im Speicher, wodurch sensible Informationen offengelegt werden. Ein lokaler, einfach authentisierter Angreifer, dem es gelingt, eine speziell gestaltete Anwendung auszuführen, kann die Schwachstelle ausnutzen, um Informationen auszuspähen.

CVE-2017-8687: Schwachstelle in Win32k ermöglicht Ausspähen von Informationen

Eine Schwachstelle in Windows Win32k beruht auf einer fehlerhaften Behandlung von Speicheradressen, wodurch sensible Informationen über Adressen des Kernel-Speichers offengelegt werden. Ein lokaler, einfach authentisierter Angreifer, dem es gelingt, eine speziell gestaltete Anwendung auszuführen, kann die Schwachstelle ausnutzen, um Informationen auszuspähen.

CVE-2017-8686: Schwachstelle in Windows DHCP Server ermöglicht Ausführen beliebigen Programmcodes

Eine Schwachstelle in Windows existiert im DHCP Server, die auf der fehlerhaften Verarbeitung von Objekten im Speicher beruht. Ein entfernter, nicht authentisierter Angreifer, dem es gelingt, speziell präparierte Pakete an einen DHCP Server im Failover-Modus zu senden, kann die Schwachstelle dazu ausnutzen, um beliebigen Programmcode auszuführen oder den DHCP-Dienst in einen Denial-of-Service-Zustand zu versetzen.

CVE-2017-8684 CVE-2017-8685: Schwachstellen in Windows GDI+ ermöglichen Ausspähen von Informationen

Zwei Schwachstellen im Windows Graphics Device Interface (GDI) beruhen auf einer fehlerhaften Verarbeitung von Objekten im Speicher, wodurch sensible Informationen über Adressen des Kernel-Speichers offengelegt werden. Ein lokaler, einfach authentisierter Angreifer, dem es gelingt, eine speziell gestaltete Anwendung auszuführen, kann die Schwachstellen ausnutzen, um Informationen auszuspähen.

CVE-2017-8679: Schwachstelle in Windows Kernel ermöglicht Ausspähen von Informationen

Eine Schwachstelle in Windows existiert in Windows Kernel, die auf einer fehlerhaften Verarbeitung von Objekten im Speicher beruht, wodurch sensible Informationen offengelegt werden. Ein lokaler, einfach authentisierter Angreifer, dem es gelingt, eine speziell gestaltete Anwendung auszuführen, kann die Schwachstelle ausnutzen, um Informationen auszuspähen.

CVE-2017-8677 CVE-2017-8678 CVE-2017-8680 CVE-2017-8681 CVE-2017-8683: Schwachstellen in Win32k ermöglichen Ausspähen von Informationen

Mehrere Schwachstellen in Windows Win32k basieren auf einer fehlerhaften Verarbeitung von Objekten im Speicher, wodurch sensible Informationen offengelegt werden. Ein lokaler, einfach authentisierter Angreifer, dem es gelingt, eine speziell gestaltete Anwendung auszuführen, kann die Schwachstellen ausnutzen, um Informationen auszuspähen.

CVE-2017-8675: Schwachstelle in Win32k ermöglicht Erlangen von Administratorrechten

Eine Schwachstelle in Windows existiert in Win32k, die auf einer fehlerhaften Verarbeitung von Objekten im Speicher beruht. Ein lokaler, einfach authentisierter Angreifer kann die Schwachstelle dazu ausnutzen seine Privilegien zu erweitern und in der Folge Programme zu installieren, Daten auszuspähen, zu verändern oder zu löschen sowie Konten mit administrativen Privilegien zu erstellen.

CVE-2017-8628: Schwachstelle in Microsoft Bluetooth Treiber ermöglicht Umgehen von Sicherheitsvorkehrungen

Eine Schwachstelle in Windows existiert im Microsoft Bluetooth Treiber aufgrund eines Fehlers in der Behandlung von Anfragen über Bluetooth, wodurch ein Angreifer in der Umgebung eines betroffenen Systems als Mittelsmann (Man-in-the-Middle, MitM) Datenverkehr auf sein eigenes System umleiten und mitlesen kann. Ein nicht authentisierter Angreifer im benachbarten Netzwerk kann Sicherheitsvorkehrungen umgehen. Voraussetzung für die Ausnutzung ist, dass Bluetooth auf dem betroffenen System aktiviert ist.

CVE-2017-0161: Schwachstelle in NetBIOS ermöglicht Ausführen beliebigen Programmcodes

Eine Schwachstelle in Windows existiert in den NetBT Session Services aufgrund einer Wettlaufsituation in der Sequenzierung von Operationen. Die Schwachstelle kann mit Hilfe speziell präparierter NetBT Session Service-Pakete, die an ein betroffenes System gesendet werden, ausgenutzt werden. Ein entfernter, nicht authentisierter Angreifer kann beliebigen Programmcode ausführen.

CVE-2017-8695: Schwachstelle in Uniscribe ermöglicht das Ausspähen von Informationen

Microsoft Windows Uniscribe enthält eine Schwachstelle, die auf einer Offenlegung von Informationen im Speicher beruht. Ein entfernter, nicht authentisierter Angreifer kann die Schwachstelle ausnutzen, wenn es ihm beispielsweise gelingt einen Anwender zum Öffnen einer speziell präparierten Datei zu verleiteten, die er dem Anwender z.B. auf einer von ihm kontrollierten Seite zur Verfügung stellt, und in der Folge Informationen ausspähen, die einer weiteren Kompromittierung des Systems dienlich sein können.

CVE-2017-8682: Schwachstelle in Win32k ermöglicht Übernahme des Systems

In der Windows Font Bibliothek existiert eine Schwachstelle bei der Verarbeitung manipulierter, eingebetteter Zeichensätze. Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle ausnutzen, mittels eines schädlich präparierten Schriftartenfonts, um beliebigen Programmcode zur Ausführung zu bringen. Dazu muss er einen Benutzer dazu verleiten, ein speziell gestaltetes Dokument zu öffnen oder eine Webseite zu besuchen, welche diesen Font enthält. Falls der Benutzer über administrative Rechte verfügt, kann der Angreifer das betroffene System vollständig kompromittieren.

CVE-2017-8676: Schwachstelle in Windows GDI ermöglicht das Ausspähen von Informationen

Microsoft Windows enthält eine Schwachstelle im Grafikinterface GDI, die auf einer fehlerhaften Verarbeitung von Objekten im Speicher beruht. Ein lokaler, einfach authentisierter Angreifer, dem es gelingt eine speziell angefertigten Anwendung auszuführen, kann diese Schwachstelle ausnutzen, um Informationen auszuspähen.

CVE-2017-8728 CVE-2017-8737: Schwachstellen in Microsoft Windows-PDF-Bibliothek ermöglichen Ausführung beliebigen Programmcodes mit Benutzerrechten

Zwei Schwachstellen in der Microsoft Windows-PDF-Bibliothek existieren aufgrund einer möglichen Speicherkorruption (Memory Corruption), die durch fehlerhafte Verarbeitung von Objekten im Arbeitsspeicher hervorgerufen wird. Ein entfernter, nicht authentifizierter Angreifer kann die Schwachstellen auf Windows 10-Systemen mit Microsoft Edge ausnutzen, indem er einen Benutzer dazu verleitet, eine Webseite mit bösartig manipulierten PDF-Inhalten zu öffnen, da die PDF-Inhalte automatisch dargestellt werden. Auf allen anderen betroffenen Systemen muss der Angreifer den Benutzer dazu verleiten, ein manipuliertes PDF-Dokument zu öffnen, welches er z.B. per E-Mail an den Benutzer sendet. Ein Angreifer, der die Schwachstellen erfolgreich ausnutzt, kann in der Folge beliebigen Programmcode mit den Rechten des angemeldeten Benutzers zur Ausführung bringen. Arbeitet der Benutzer mit Administratorrechten kann dies zur vollständigen Übernahme des Systems durch den Angreifer führen.

CVE-2017-9417: Schwachstelle in Broadcom Komponente ermöglicht Ausführung beliebigen Programmcodes

In bestimmten Umgebungen (beispielsweise Google Android, Apple iOS, macOS) verarbeiten Broadcom BCM43xx WLAN-Chips und möglicherweise weitere Chips des gleichen Herstellers alle WLAN-Pakete. Aufgrund von Programmierfehlern im diesen Chips eigenen Betriebssystem HNDRTE besteht für einen Angreifer unabhängig von den Sicherheitsvorkehrungen des eingesetzten Betriebssystems die Möglichkeit, aus der Ferne beliebigen Programmcode zur Ausführung zu bringen. Die Schwachstelle ist unter dem Namen 'Broadpwn' bekannt.

Referenzen

© DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf des schriftlichen Einverständnisses des Rechteinhabers.