Bei den beiden Zero-Day-Schwachstellen handelt es sich um CVE-2018-8373 und CVE-2018-8414. Beide wurden öffentlich bekannt gegeben. Eine solche Bekanntmachung wird immer dann nötig, wenn klar ist, dass einem Angreifer ausreichend viele Informationen über eine Schwachstelle zur Verfügung stehen.
CVE-2018-8373 ist ein Schwachpunkt, der sich aus dem Umgang der Scripting-Engine des Internet Explorers mit Objekten im Speicher ergibt. Angreifer könnten sie zur Ausführung von Remotecode nutzen. In diesem Fall hätten sie die gleichen Rechte wie ein angemeldeter Benutzer, einschließlich aller Administratorrechte. Da diese Anfälligkeit im IE 9, 10 und 11 existiert, betrifft sie alle Windows-Betriebssysteme, angefangen vom Server 2008 bis hin zu Windows 10.
Der zweite Zero-Day-Exploit, CVE-2018-8414, ist eine Schwachstelle in der Ausführung von Code, sofern die Windows-Shell Dateipfade nicht ordnungsgemäß validiert. Auch hier kann ein Angreifer Code remote starten und damit Benutzerrechte erlangen. Es hat sich gezeigt, dass diese Schwachstelle nicht sehr weit verbreitet ist, da sie nur unter Windows 10 1703 und neuer sowie Server 1709 und Server 1803 offen ist.
- Wir empfehlen jedem Administrator, diesen beiden Schwachstellen mit höchster Priorität über die Fixes von Microsoft zu schließen.
Und täglich grüßt das Murmeltier: Meltdown & Spectre
Auch im August waren die Themen Meltdown und Spectre wieder zentrale Elemente des Patch Tuesday. Zum Schutz vor neuen Varianten der beiden Sicherheitslücken hat Microsoft das Advisory 180018veröffentlicht. Dieser Ratgeber („Microsoft Guidance to migate L1TF variant“) behebt drei Schwachstellen – CVE-2018-3615, CVE-2018-3620 und CVE-2018-3646. In seinem Advisory schreibt Microsoft: „Spekulativeausführungsseitige Channel-Schwachstellen – wie beispielsweise L1 Terminal Fault (L1TF) – lassen sich einsetzen, um den Inhalt des Speichers über eine vertrauenswürdige Grenze hinweg zu lesen. In diesem Fall könnten Informationen offengelegt werden.“ Die Behebung dieser Schwachstellen erfordert sowohl ein Software- als auch Firmware-Update (Mikrocode). Als vorübergehende Abhilfe empfiehlt Microsoft die Deaktivierung von Hyper-Threading, was erhebliche Auswirkungen auf die Performance haben kann. Ähnlich der vorherigen Anleitung zu diesen Schwachstellen wird auch im Advisory 180018 deutlich, dass ihr Management und ihre Behebung zeitaufwändig und mühsam ist. Die aktuelle Variante ist übrigens auch unter dem Codenamen Foreshadow bekannt. Eine ausführliche Erklärung und weitere Informationen bietet diese Usenix-Seite.
- Wir empfehlen, die Hinweise von Microsoft sorgfältig durchzulesen, bevor Sie Maßnahmen ergreifen.
- Testen Sie Ihre nicht produktiven Systeme, bevor Sie auf breiter Basis fortfahren.
Zum Patch Tuesday im August hat Microsoft Updates für viele seiner Produkte veröffentlicht. Besonders hervorzuheben sind neue Updates für .NET, die interessanterweise nur eine Schwachstelle beheben. Die Veröffentlichung des vorangegangenen Updates verursachte im Juli eine Reihe von Stabilitätsproblemen. Es kann davon ausgegangen werden, dass nun neben der zentralen Sicherheitslücke auch eine Reihe von Fixes mitgeliefert werden.
- Testen Sie die Updates sorgfältig, bevor Sie sie auf Produktionsmaschinen anwenden.
Zu den genannten Angriffspunkten gesellt sich im August eine kritischen Schwachstelle in SQL 2016 und 2017. Exchange wurde zudem mit Updates für Exchange 2010, 2013 und 2016 für zwei2 CVEs gepatcht. Visual Studio 2015 und 2017 runden das Bild mit einem CVE ab.
Offene Flanke bei Oracle…
Am 17. Juli hatte Oracle sein vierteljährliches Critical Patch Update (CPU) veröffentlicht. Werfen Sie einen Blick in das Advisory, das Ihnen die neuesten Updates zur Verfügung stellt – unter anderem auch für Java. Am 10. August hatte Oracle zudem ein seltenes Out-of-Band-Advisoryfür CVE-2018-3110 bereitgestellt. Mit einer CVSS v3-Basisbewertung von 9,9 ist diese Schwachstelle einfach auszunutzen und bietet direkten Shell-Zugriff auf Ihre Datenbank.
- Wenn Sie die Oracle-Datenbankversionen 11.2.0.4 oder 12.2.0.1 unter Windows verwenden, empfehlen wir Ihnen dringend, diesen neuesten Patch zügig zu installieren.
- Beachten Sie, dass Updates für jede Oracle-Version unter Linux und Windows 12.1.0.2 bereits im Juli-CPU bereitgestellt wurden. Dieser neue Hinweis bezieht sich auf frühere Versionen der Datenbank.
… und bei Adobe
Nachdem Adobe in seinem planmäßigen Update im letzten Monat 104 Schwachstellen behoben hat, war eigentlich nicht damit zu rechnen, dass ein weiteres Reader- und Acrobat-Update zwei neue kritische Schwachstellen beheben muss. Daneben hat das Unternehmen seinen Flash Player wie üblich aktualisiert, um fünf Schwachstellen abzustellen. Ebenfalls wurden Updates für Creative Cloud und andere Adobe-Produkte veröffentlicht.
- Es ist ratsam auch in diesem Monat eine Adobe-Patch-Routine zu fahren.
Fazit
Der Patch-Zyklus geht mit Macht weiter. Schauen Sie sich alle kürzlich veröffentlichten Sicherheitsupdates von Microsoft und Drittanbietern genau an und planen Sie entsprechend. Vielleicht bleibt Ihnen dann ja noch Zeit für ein paar Sonnenstrahlen und die eine Erdbeer-Margarita am Pool.
Ivanti: Die Stärke der Unified IT. Ivanti verbindet die IT mit dem Sicherheitsbetrieb im Unternehmen, um den digitalen Arbeitsplatz besser zu steuern und abzusichern. Auf PCs, mobilen Geräten, virtualisierten Infrastrukturen oder im Rechenzentrum identifizieren wir IT-Assets – ganz gleich, ob sie sich On-Premise oder in der Cloud verbergen. Ivanti verbessert die Bereitstellung des IT-Services und senkt Risiken im Unternehmen auf Basis von Fachwissen und automatisierten Abläufen. Durch den Einsatz moderner Technologien im Lager und über die gesamte Supply Chain hinweg hilft Ivanti dabei, die Lieferfähigkeit von Firmen zu verbessern – und das, ohne eine Änderung der Backend-Systeme.
Ivanti hat seinen Hauptsitz in Salt Lake City, Utah, und betreibt Niederlassungen auf der ganzen Welt. Weitere Informationen finden Sie unter www.ivanti.de. Folgen Sie uns über @GoIvanti.
Ivanti
Lyoner Straße 12
60528 Frankfurt am Main
Telefon: +49 (69) 667780134
http://www.ivanti.de
Telefon: +49 (69) 941757-28
E-Mail: christine.butsmann@ivanti.com
Senior Account Manager
Telefon: +49 (611) 74131918
E-Mail: ivanti@finkfuchs.de