Deze maand kwamen er acht bulletins uit, wat het totale aantal dit jaar brengt op 63. In vier van deze bulletins gaat het om Remote Code Execution-kwetsbaarheden (RCE) en in één om een kwetsbaarheid in de kernel, die nog niet is misbruikt. Gek genoeg is er sprake van een gat in de reeks bulletins en is bulletin MS15-058 kennelijk nog niet klaar voor publicatie.
Internet Explorer (IE) staat bovenaan op mijn aanbevelingslijst. Dat is al een jaar het geval, met af en toe een uitzondering door dringende zero day-meldingen in Microsoft- en Adobe-producten. Beveiligingsexperts blijven veel kwetsbaarheden in IE rapporteren. Dat zijn er gemiddeld ongeveer twintig:
Aanvallers kunnen deze kwetsbaarheden met behulp van reverse engineering misbruiken door ‘before’ en ‘after’ images van de browser te bekijken en exploits te maken voor de meest stabiele image. Een van de maatregelen die je hiertegen kunt nemen, is snel te patchen. Ik raad aan om IE-bulletins binnen een week toe te passen, zodat je aanvallers voor bent. Voor meer informatie over hoe aanvallers exploits uitrollen, verwijs ik naar het nieuwste SIR-rapport van Microsoft. Hierin vind je een analyse van de ontwikkel- en deployment-timelines voor MS14-064 van eind vorig jaar.
Nu terug naar 2015: MS15-056 is de cumulatieve update van deze maand voor Internet Explorer (IE) en lost 24 kwetsbaarheden op. Dit omvat twintig kritische kwetsbaarheden die RCE mogelijk maken doordat een aanvaller een trigger plaatst op een kwaadaardige webpagina. Alle versies van IE en Windows zijn kwetsbaar. Wacht daarom niet met patchen.
De prioriteit is MS15-059 voor Microsoft Office. Dit bulletin is van toepassing op alle actuele versies: 2007, 2010 en 2013. De aanvaller moet een doelwit zo ver zien te krijgen dat deze een geïnfecteerd office-bestand opent, waarna de aanvaller de computer van het slachtoffer kan overnemen. Microsoft beschouwt dit bulletin als ‘belangrijk’. Wij beoordelen het als een patch met hoge prioriteit. Het feit dat RCE mogelijk is, en het gemak waarmee een aanvaller een doelwit kan overhalen een bestand te open door social engineering, zorgt voor een hoog risico.
Patch voor Flash
Op de derde plaats komt Adobe Flash. De patch van deze maand lost dertien kwetsbaarheden op, waarvan er vier als kritisch werden beschouwd. Adobe Flash wordt dankzij zijn flexibiliteit en programmeerkracht opnieuw veelvuldig misbruikt. Zet patch APSB15-11 daarom hoog op de prioriteitenlijst. Wanneer je Google Chrome of IE10/11 gebruikt, heb je minder werk want deze browsers zorgen zelf voor het patchen van Flash. Bij andere browsers, zoals Firefox, Opera en Safari op de Mac moet je de Flash-patch handmatig doorvoeren.
De bulletins MS15-057 en MS15-060 zijn beide kritisch en kunnen gebruikt worden om het systeem van een doelwit over te nemen. MS15-057 gaat om een kwetsbaarheid in de Windows Media Player. Een aanvaller kan een geïnfecteerd bestand aanbieden. Wanneer dat wordt afgespeeld, wordt de code actief en heeft de aanvaller volledige controle. MS15-060 gaat om een kwetsbaarheid in de algemene controls van Windows, die te benaderen zijn via het Internet Explorer Developer Menu. Een aanvaller moet dit menu triggeren om succesvol te zijn. Het uitschakelen van de developer mode in Internet Explorer (waarom staat dat standaard eigenlijk aan?) is een bekende work-around en een goede afweermaatregel.
De resterende kwetsbaarheden draaien om lokale kernelproblemen in Windows (MS15-061 en MS15-063) en serverproblemen (MS15-062). Dit biedt een fix voor ADF. MS15-064 lost zwakheden op in Microsoft Exchange Server (in het Outlook Web Access-component).
Wacht niet met een patch. Doe dit bij voorkeur binnen twee weken. Bereid je verder voor op veel werk de komende maand. Dan komen er naast de normale Microsoft- en Adobe-patches nieuwe Oracle-patches bij.
Wolfgang Kandek – CTO, Qualys, Inc.
