2018-1605: Microsoft Windows: Mehrere Schwachstellen ermöglichen u. a. die komplette Systemübernahme
Historie:
- Version 1 (2018-08-15 20:19)
- Neues Advisory
- Version 2 (2018-11-14 12:45)
- Microsoft hat seinen Sicherheitshinweis ADV180018 aktualisiert, um in der Sektion 'Microsoft Windows client customers' klarzustellen, wie die Schutzmaßnahmen für CVE-2018-5754 und CVE-2018-3620 zusammenhängen. Kunden welche die Schutzmaßnahmen gegen CVE-2017-5754 deaktiviert haben, müssen diese erneut aktivieren, um gegen die Schwachstelle CVE-2018-3620 geschützt zu sein (siehe FAQ #2). Die Sektion 'Microsoft Window Server customers' wurde um Informationen für Windows Server 2019 und Konfigurationen von VBS, Hyper-V und Hyper-Threading für verschiedene Versionenen von Windows Server ergänzt. Weiterhin wurde Windows 10 Version 1809 zur Liste der Versionen hinzugefügt, welche VBS unterstützen.
Betroffene Software
Systemsoftware
Betroffene Plattformen
Microsoft
Beschreibung:
Mehrere Schwachstellen in Dateiverknüpfungen, Diagnostic Hub Standard Collector, im DirectX Graphics Kernel, der Grafikkomponente, dem Kernelmodustreiber, der Kommandozeile, Microsoft COM for Windows, der PDF-Bibliothek und der Schriftartenbibliothek ermöglichen einem zumeist entfernten, nicht authentisierten Angreifer die komplette Kompromittierung betroffener Systeme oder die Ausführung beliebigen Programmcodes mit den Rechten des aktiven Benutzers. Der Angreifer muss zur aktiven Ausnutzung der Schwachstellen einen Benutzer zum Öffnen speziell präparierter Dateien oder zum Besuch speziell präparierter Webseiten verleiten. Mehrere Schwachstellen dieser Art können auch von einem lokalen, einfach authentifizierten Angreifer ausgenutzt werden. Darüber hinaus kann der entfernte Angreifer weitere Schwachstellen ausnutzen, um Informationen auszuspähen und Sicherheitsvorkehrungen zu umgehen und ein lokaler Angreifer kann mehrere Schwachstellen ausnutzen, um seine Privilegien zu eskalieren. Die Ausnutzung einer dieser Schwachstellen ist nur möglich, wenn der digitale Assistent Cortana aktiviert ist.
Die Schwachstelle CVE-2018-8414 in der Windows-Kommandozeile (Shell) steht in diesem Monat besonders im Fokus, da sie bereits aktiv für Angriffe ausgenutzt wird. Darüber hinaus erwartet der Hersteller die aktive Ausnutzung weiterer Schwachstellen, durch die sich betroffene Systeme aus der Ferne übernehmen lassen.
Microsoft informiert im Security Advisory ADV180018 zusätzlich über mehrere Schwachstellen in Intels Core- und Xeon-Prozessoren, über die der Hardwarehersteller kürzlich Informationen veröffentlicht hat. Die unter der Bezeichnung 'L1 Terminal Fault' (L1TF) geführten Schwachstellen können über Updates für den Kernel (CVE-2018-3620) oder den Hypervisor (CVE-2018-3646) vollständig behoben werden. Das Update für CVE-2018-3620 erfordert dabei auf Serversystemen den aktivierten Schutz vor Ausnutzung der Schwachstelle CVE-2017-5754 (Meltdown, Microsoft nennt in seinem Sicherheitshinweis fälschlicherweise den Schwachstellenbezeichner CVE-2017-5354). Dieser Schutz ist für Windows Server standardmäßig deaktiviert, da mit Leistungseinbußen zu rechnen ist. Auf die Schwachstelle CVE-2018-3615 geht Microsoft nicht näher ein. Weitere Hinweise zum Update entnehmen Sie bitte dem referenzierten Advisory von Microsoft.
Es stehen Sicherheitsupdates zur Behebung der Schwachstellen zur Verfügung. Diese können im Microsoft Security Update Guide über die Kategorie 'Windows' identifiziert werden. Die Sicherheitsupdates sollten zeitnah eingespielt werden.
Schwachstellen:
CVE-2018-0952
Schwachstelle in Diagnostic Hub Standard Collector ermöglicht komplette SystemübernahmeCVE-2018-3615
Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von InformationenCVE-2018-3620
Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von InformationenCVE-2018-3646
Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von InformationenCVE-2018-8200 CVE-2018-8204
Schwachstellen in Device Guard ermöglichen Umgehen von SicherheitsvorkehrungenCVE-2018-8253
Schwachstelle in Microsoft Cortana ermöglicht PrivilegieneskalationCVE-2018-8339
Schwachstelle in Windows Installer ermöglicht PrivilegieneskalationCVE-2018-8340
Schwachstelle in Active Directory Federation Services ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2018-8341 CVE-2018-8348
Schwachstelle in Windows Kernel ermöglicht Ausspähen von InformationenCVE-2018-8342 CVE-2018-8343
Schwachstellen in Network Driver Interface Specification ermöglichen PrivilegieneskalationCVE-2018-8344
Schwachstelle in Windows Font Library ermöglicht komplette SystemübernahmeCVE-2018-8345 CVE-2018-8346
Schwachstellen in Dateiverknüpfungen ermöglichen komplette SystemübernahmeCVE-2018-8347
Schwachstelle in Windows Kernel ermöglicht PrivilegieneskalationCVE-2018-8349
Schwachstelle in Microsoft COM for Windows ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-8350
Schwachstelle in PDF Library ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-8394 CVE-2018-8396 CVE-2018-8398
Schwachstellen in Windows Graphics Device Interface ermöglichen Ausspähen von InformationenCVE-2018-8397
Schwachstelle in Windows Graphics Device Interface ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-8399 CVE-2018-8404
Schwachstellen in Windows Kernelmodustreiber ermöglichen komplette SystemübernahmeCVE-2018-8400 CVE-2018-8401 CVE-2018-8405 CVE-2018-8406
Schwachstellen in DirectX Graphics Kernel ermöglichen komplette SystemübernahmeCVE-2018-8414
Schwachstelle in Windows Shell ermöglicht Ausführung beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.