Het is december en dus tijd voor de laatste Patch Tuesday van het jaar. Microsoft bracht deze maand zeven bulletins uit. Het totaal dit jaar komt uit op 85. In 2013 was het totaal 106 en in 2011 honderd. 2014 is met 85 dus aan de lage kant.
2014 was niettemin een dynamisch jaar met veel issues in nieuwe – en onverwachte – gebieden zoals OpenSSL en Linux. We zagen ook een groter aantal zero day-kwetsbaarheden dit jaar. Als we Microsoft en Adobe samen nemen, waren er 24 bulletins met kwetsbaarheden waarvoor nog geen patch was toen ze bekend werden. Verder zagen we dat security-researchers grondig naar Internet Explorer keken. Dat leidde tot een groot aantal Common Vulnerabilities and Exposure (CVE’s). Pas onlangs is dit aantal teruggelopen doordat Microsoft wijzigingen aanbracht in het geheugentoewijzingsproces in IE.
Terug naar de patches van deze maand. Er zijn vijf patches die kunnen leiden tot Remote Code Execution (RCE), de meest kritische kwetsbaarheid. Het gaat om:
- MS14-080 voor Internet Explorer en MS14-084 voor VBscript. In beide gevallen is een kwaadaardige webpagina het belangrijkste aanvalsmiddel. Denk aan de honderdduizenden Drupal-sites die onlangs kwetsbaar werden voor SQL-injectie in een kerncomponent.
- MS14-081 in Word, MS14-083 in Excel en MS14-082 in een Office-component. In deze gevallen is het aanvalsmiddel een document dat het slachtoffer moet openen. De aanvaller kan vervolgens de computer overnemen. Aanvallers zijn heel slim geworden in het vinden van de juiste documenttitels en content, zodat ontvangers snel geïnteresseerd zijn.
De overige twee bulletins gaan in op problemen met Outlook Web Access (OWA) van Microsoft Exchange en een grafische bibliotheek in Windows. De Exchange-patch zou vorige week verschijnen, maar is tegengehouden voor nog enkele laatste testissues. Het probleem met de grafische bibliotheek is te gebruiken om informatie over de geheugenlay-out van een machine te ontsluiten. Het heeft daardoor een aanvullende functie. Het biedt nuttige informatie bij een aanval, maar om een machine over te nemen heb je nog informatie uit andere bronnen nodig.
Adobe brengt ook twee security-advisories uit die beide als kritisch zijn bestempeld. Dat betekent dat ze te gebruiken zijn voor Remote Code Execution. APSB14-27 is een update voor Adobe Flash en APSB14-28 is een nieuwe versie van Adobe Reader en Acrobat. Wij raden aan om deze patches zo snel mogelijk door te voeren, omdat aanvallers Flash en PDF vaak gebruiken als aanvalsmiddelen. Gebruikers van Google Chrome en Internet Explorer 10 of 11 krijgen de Flash-update automatisch. Anderen moeten de laatste versies van Adobe zelf downloaden.
Tot slot was er een update voor de in oktober bekend geworden POODLE-kwetsbaarheid. Aanvankelijk was deze beperkt tot SSL v3. De kwetsbaarheid is te misbruiken om versleutelde gebruikersdata te decoderen als de hacker controle heeft over de browser van het slachtoffer. De POODLE-kwetsbaarheid zelf is niet op te lossen, omdat deze onderdeel is van de SSL-protocolspecificatie. De enige oplossing is om SSL v3 niet langer te gebruiken aan server- en client-zijde. Mozilla Firefox heeft SSL v3 al verwijderd uit zijn huidige versie (v34). Bij Google Chrome gaat dit gebeuren in de volgende versie (v40).
Niettemin zien we POODLE om zich heen grijpen. Eerder maakte Adam Langley van Google bekend dat POODLE ook bepaalde implementaties van TLS aantast. Deze zouden immuun zijn voor dit probleem. In dit geval gaat het om een patchbaar geval dat waarschijnlijk wordt veroorzaakt door hergebruik van broncode voor het decoderen vanuit een SSL-implementatie. SSL-accelerators van F5 en A10 Networks zijn kwetsbaar. Kijk voor patches bij deze leveranciers als je deze apparatuur gebruikt. De Qualys SSL Labs hebben een detectietool voor deze kwetsbaarheid: CVE-2014-8730. Lees ook de blog POODLE bites TLS van Ivan Ristic voor meer details.
Wolfgang Kandek – CTO, Qualys, Inc
