De CPU van juli 2015 van Oracle biedt een oplossing voor de zero-day kwetsbaarheid CVE-2015-2590 in Java die gerapporteerd werd door Trend Micro. Wij adviseren om deze patch met hoge prioriteit te behandelen. Let op: als u denkt dat u geen nieuwe Java kunt gebruiken met het oog op de eisen van oude versies is het verstandig om te kijken naar de deployment rulesets van Oracle.
Toen we begonnen met de interne voorbereiding voor deze update hebben we met elkaar bekeken wat de belangrijkste kwestie deze maand zou zijn. De kampen bleken verdeeld. Aan de ene kant waren er stemmen voor de end-of-life-situatie van Windows Server 2003 en aan de andere kant voor de mysterieuze kwetsbaarheid MS15-058 die de afgelopen maand niet door Microsoft werd vrijgegeven. Uiteindelijk wint een andere issue: de diverse zero-day kwetsbaarheden in Adobe Flash.
Op zondag 5 juli lekte een aanvaller 400 GB aan data van het Italiaanse softwarebedrijf HackingTeam. Deze data omvatte e-mails, documentatie en broncode die door verschillende journalisten en beveiligingsonderzoekers is bekeken. HackingTeam is bekend van Galileo. Met deze remote control-software richt het bedrijf zich op de overheidsmarkt.
Met Galileo kan een overheid met behulp van een agent computersystemen monitoren. Beveiligingsonderzoekers waren vooral geïnteresseerd in de manier waarop HackingTeam de agents op doelsystemen die Windows, Mac OS X, Linux, iOS of Android draaien, installeert. Zij gingen ervan uit dat Galileo enkele zero-day kwetsbaarheden gebruikt om systemen op afstand te infecteren.
Ze vonden tot nu toe vier zero-day kwetsbaarheden: drie in Adobe Flash en een in Microsoft Windows. Adobe heeft de eerste kwetsbaarheid deze week opgelost met een out-of-band patch (APSB15-16) die ook drie andere kwetsbaarheden oploste. Sindsdien zijn twee andere zero-day kwetsbaarheden in Adobe Flash aangetroffen die door Adobe zijn erkend in APSA15-04 en zijn opgelost. Beveiligingsonderzoekers zijn echter niet de enigen die in deze data zoeken naar kwetsbaarheden. Cybercriminelen hebben hun eigen onderzoek uitgevoerd en zijn erin geslaagd om alle drie de zero-day kwetsbaarheden te integreren in de grote exploit kits. Zolang er geen patch is, adviseren we om Flash te verwijderen, EMET op Windows te gebruiken om de browser veiliger te maken of Google Chrome te gebruiken omdat deze niet kwetsbaar is voor de eerste Flash zero-day. Voor meer informatie over de inbraak bij HackingTeam raad ik aan de blogpost te lezen van Steve Ragan van Salted Hash.
De zero-day kwetsbaarheden van Adobe en Microsoft zijn niet de enige die aandacht verdienen. Trend Micro rapporteerde een kwetsbaarheid in Java die van toepassing is op Java v8u45. Oracle heeft op 14 juli een patch uitgebracht die 25 kwetsbaarheden oplost, waaronder deze.
Wat betekent deze situatie voor u? We zien dit jaar dat verschillende zero-day aanvallen snel geïntegreerd worden in de belangrijkste aanvalsproducten. Dit heeft effect op iedere organisatie en iedere gebruiker; niet alleen op bedrijven die gericht worden aangevallen met geavanceerde middelen. Voor uw eigen bescherming kunt u om te beginnen proberen zo weinig mogelijk software te gebruiken. Een verwijderd pakket is weer een zorg minder qua beveiliging. In de tweede plaats is het zaak om snel te patchen. Blijf aanvallers voor. Zij worden steeds professioneler in het analyseren van patches en in reverse engineering van kwetsbaarheden die door patches worden opgelost. Denk ook aan extra maatregelen als EMET (Enhanced Mitigation Experience Toolkit) of andere ‘procesdwangbuizen’. Kijk voor Java naar de deployment rulesets waarmee Java selectief is in te stellen.
Na deze lange introductie kijken we naar de patches van dinsdag 14 juli. Er zijn fixes voor Adobe for Reader, Shockwave en veertien Microsoft-bulletins voor servers en clients. Oracle levert een pakket dat tientallen producten afdekt en meer dan honderd kwetsbaarheden oplost.
Voor Adobe en Microsoft zijn dit de belangrijkste bulletins:
- APSB15-18 lost de kwetsbaarheden CVE-2015-5122 en 5213 op. Voer deze patch direct door.
- MS15-065 speelt in op 28 kwetsbaarheden in Internet Explorer, waarvan er al drie bekend waren (CVE-2051-2413, CVE-2015-2419 en CVE-2015-2421 ). CVE-2015-2425 kwam ook naar voren uit de datadump van HackingTeam. Ik ben onder de indruk van de snelheid waarmee Microsoft een oplossing bood. Van de andere kwetsbaarheden zijn alle negentien van het type RCE. Daarmee kan een aanvaller een machine overnemen als de gebruiker naar een kwaadaardige, geïnfecteerde site surft.
- MS15-070 speelt in op acht Remote Code Execution-kwetsbaarheden (RCE)in Microsoft Office, waarvan een op dit moment wordt misbruikt (CVE-2015-2424).
- MS15-077 lost een kwetsbaarheid op in Adobe Type Manager die actief werd misbruikt (CVE-2015-2387).
- MS15-058 is een kwetsbaarheid die de vorige maand is blijven liggen. Het gaat om drie kritische RCE-issues in MS-SQL server, die geen beveiligingspatches heeft gehad sinds de laatste servicepack. Wanneer u MS-SQL gebruikt, is het belangrijk te kijken naar de toepasselijke scenario’s die duidelijk maken wie kwetsbaar is.
- MS15-067 is een kritische kwetsbaarheid in RDP. Wanneer u RDP gebruikt als remote access protocol op Windows 7 of 8 32 bit (64 bit is inderdaad niet kwetsbaar), moet dit hoog op uw lijst staan.
- MS15-068 lost twee kritische kwetsbaarheden op in Hyper-V. Kijk hiernaar als u deze virtualisatieoplossing gebruikt in uw productieomgeving.
De overige bulletins gaan om kritische of belangrijke issues in Windows. U moet deze implementeren nadat u de issues van Adobe en Microsoft heeft bekeken. Overigens heeft Adobe ook updates vrijgegeven voor Reader (met een oplossing voor 46 CVE’s) en Shockwave Player.
Tot slot: juli is de laatste maand waarin Microsoft patches uitbrengt voor Windows Server 2003. Negen van de veertien bulletins hadden betrekking op Windows Server 2003. Dat is een goede indicatie voor de mate waarin aanvallers issues in Windows 2003 gaan opzoeken. Op www.qualys.com/research zijn enkele voorbeelden te vinden van Windows XP. Er zijn maar twee manieren om bedreigingen voor Server 2003 te ontwijken: migreren naar een ander platform of een speciaal supportcontract sluiten met Microsoft, zodat u de nodige patches blijft ontvangen.
Wolfgang Kandek – CTO, Qualys.
