Microsoft Updates November 2013 – Burning the 0-Day

Der Microsoft-Patchdienstag im November 2013 beschert uns drei kritische Bulletins und fünf Bulletins, die als “wichtig” eingestuft werden. Das Sicherheitsbulletin MS13-088 repariert acht kritische und zwei wichtige Sicherheitslücken im Internet Explorer. Insgesamt behebt Microsoft 19 Probleme im Internet Explorer, in Office und Windows selbst.

Der Star der Show ist MS13-090, das CVE-2013-3918 behebt, eine ActiveX-Schwachstelle, die über den Internet Explorer attackiert wird und am 8. von den Jungs von FireEye entdeckt wurde, als sie von einer lang andauernden APT-Operation angegriffen wurde, die sie "DeputyDog" tauften. Als Teil dieser Operation hat die Gruppe strategisch eine weitere sorgfältig ausgesuchte Website unter Beschuss genommen und die Besucher dann auf ihre Zero-Day-Attacke umgeleitet. Das einfach als "nur ein weiteres Wasserloch" zu bezeichnen wird dem Ausmaß an Planung und Vorbereitung nicht gerecht, die erforderlich sind, um die zu kompromittierende Website auszuwählen und dann die 0-Day bei Attacken zu verbrennen. Die Identität der kompromittierten Website wurde in diesem Fall noch nicht öffentlich bekannt gemacht. Das Timing dieses 0-Day-Einsatzes könnte höchstwahrscheinlich auch etwas über den operativen Reifegrad dieser Gruppe aussagen. Ein anderer Aspekt ist, dass ich – wenn ich mich nicht täusche – in unserem Jahrzehnt des Studierens von Shellcoding–Techniken es meines Wissens noch niemals erlebt habe, dass ein "CreateRemoteThread" benutzt wird, um eine Payload in ein bedeutendes Exploit zu liefern.

Gleichzeitig werden mit MS013-088 weitere acht riesige Fehler im Internet Explorer korrigiert. Zweifellos sollten sie von Organisationen umgehend gepatcht werden, da das Speicherkorruptionsproblem zur Entwicklung von Exploits einladen könnte. Einige der acht CVE beinhalten Probleme mit der "Offenlegung von Informationen", die es Exploit-Entwicklern ermöglichen, ihren Exploit-Code weiter in den Prozessspeicher einzuschleusen und die als ernsthaft einzustufen sind.

Überraschenderweise patcht Microsoft Code in seinem WordPerfect-Converter "wpft532.cnv" aufgrund des Stapel-Überlauf-Problems CVE-2013-1324. Diese Sicherheitslücke ermöglicht Spearphish-Attacken in allen Versionen des Microsoft-Betriebssystems, doch auf 6-Bit-Plattformen kann die Komponente nicht präsent sein. Ich hätte nicht gedacht, Ende des Jahres 2013 über einen Stack-BoF in ihrem Code zu schreiben, aber hey, das ist wirklich dolles Zeugs.

Mehr Informationen über die Patches dieses Monats finden Sie auf der Website von Microsoft

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.