Patch Tuesday van maart 2015 is geweest en net als vorige maand zijn er meer issues dan je verwacht in een normale maand. Daarnaast zijn er buiten de patches om twee zaken die aandacht verdienen: FREAK en Superfish.
FREAK
FREAK is een kwetsbaarheid in SSL, die is ontdekt door het team van SMACKTLS. De kwetsbaarheid stelt een aanvaller met een Man-in-the-Middle-positie (MITM) in staat om de SSL-communicatie van een computer te downgraden naar een export grade cipher (512 bit RSA), die relatief eenvoudig (binnen 24 uur) te kraken is. Wanneer de aanvaller de sleutel heeft, kan hij meeluisteren met de communicatie en deze zelfs aanpassen of herrouteren naar een valse site. SMACKTLS heeft een korte video op hun website, waar ze een demo laten zien aan de hand van de site van de National Security Agency (NSA).
Het goede nieuws is: er is zo goed als een oplossing. OpenSSL loste het op met CVE-2015-1637 in januari en Apple brengt een dezer dagen patches uit in 2015-002 voor Mac OS X en iOS 8.2 voor de iPhone. Microsoft updatet de kwetsbare SChannel library in MS15-031. Individuele systemen – servers en clients – zijn te checken bij SSL Labs.
Superfish
Superfish maakt een advertentiemodule voor browsers. Daarbij zoekt de module naar de beste advertentie op basis van surfgedrag. Lenovo is klant bij Superfish en installeerde de module op enkele laptops voor consumenten. Om SSL-verkeer te volgen, installeert Superfish een lokale netwerk-shim op de machine. Deze vangt alle SSL decrypts op en versleutelt deze opnieuw met een eigen certificaat. Om dit transparant te doen, installeert Superfish een eigen root certificate authority op de machine. Ga je naar een SSL-site, dan ziet dat er normaal uit in de browser. Bekijk je echter het certificaat, dan is dat ondertekend door Superfish, Inc. Deze aanpak is op zich al behoorlijk twijfelachtig, omdat al je surfgedrag naar Superfish wordt gestuurd voor analyse. Maar de implementatie heeft ook twee belangrijke kwetsbaarheden.
- Het certificaat dat wordt gebruikt voor het ondertekenen van nieuw verkeer is hetzelfde voor alle machines. Daardoor kan een aanvaller met de kennis van het certificaat op de eigen machine het verkeer op andere systemen manipuleren. Dat vereist wel een MITM-positie.
- De module probeert self-signed certificaten uit te schakelen maar doet dat alleen voor overduidelijke self-signed certificaten. Andere worden ongewijzigd doorgelaten. Daardoor kan een aanvaller self-signed certificaten gebruiken voor een aanval. Ook hier is een MITM-positie een vereiste.
Beveiligingsonderzoekers wisten het certificaat snel te ontrafelen en vonden het wachtwoord in de code. Robert Graham van ErrataSec liet zien hoe een MITM-aanval mogelijk is met een kleine computer, de RaspBerry PI. Wij raden aan om de Superfish-software en het certificaat te verwijderen. Hoe dat moet, is te vinden op http://support.lenovo.com/en/product_security/superfish_uninstall.
Microsoft
Bij Microsoft waren er deze maand veertien patches, waarvan vijf kritische. De hoogste prioriteit heeft MS15-018, een bulletin voor Internet Explorer. Alle versies van IE zijn kwetsbaar van IE6 (op Windows Server 2003) tot IE11. De nieuwe versie pakt twaalf kwetsbaarheden aan, waarvan tien kritische. Deze konden gebruikt worden om code op de doelmachine uit te voeren. Een van de kwetsbaarheden is bekend gemaakt, maar dat is niet een van de Remote Code Execution-typen. Een scenario is dat een aanvaller kwaadaardige HTML-code op een website plaatst die gecontroleerd wordt. Slachtoffers worden hier naar toe geleid. Ook kan een site gehackt worden en wacht de aanvaller tot een slachtoffer langskomt. MS15-019 is het zusterbulletin van MS15-018 en lost het VBScript-component voor IE6 en IE7 op in nieuwere browsers. Installeer dit bulletin eerst.
MS15-022 is het volgende bulletin als het gaat om mate van belangrijkheid. Het adresseert vijf kwetsbaarheden in Microsoft Office. Een is kritisch en betreft de RTF-parser. The RTF-parser is automatisch uit te voeren in het preview-scherm bij het ontvangen van een e-mail. Daarom beschouwt Microsoft dit als kritisch. Omdat twee andere kwetsbaarheden Remote Code Execution mogelijk maken, komt dit bulletin ook hoog te staan in onze lijst.
MS15-021 adresseert acht op fonts gebaseerde kwetsbaarheden in Windows. Een aanvaller kan via een corrupt font toegang krijgen tot een machine en dan gebruikmaken van Remote Code Execution. Aanvallen zijn mogelijk via een webpagina of een document (bijv. Office of PDF.)
Stuxnet
MS15-020 is het laatste kritische bulletin deze maand. Een aanvaller verleidt het slachtoffer een directory op een website te bezoeken en een document te openen. Windows Text Services kent een kwetsbaarheid waardoor de aanvaller toegang heeft tot Remote Code Execution op de machine. Het bulletin biedt ook een oplossing voor CVE-2015-0096. Deze kwetsbaarheid heeft een verband met de originele Stuxnet-kwetsbaarheid CVE-2010-2568. HP ZDI relateert deze kwetsbaarheid aan Microsoft en biedt een prima technische verhandeling op hun blog.
De overigens bulletins hebben een lagere plek op de lijst, omdat ze geen mogelijkheden bieden voor Remote Code Execution. Informatielekken en lokale escalatie van privileges zijn wel mogelijk. Het grootse deel is bestemd voor Windows. MS15-026 is echter een bulletin voor Microsoft Exchange en adresseert enkele privilege-escalatie- en lekkage-issues. Bekijk dit bulletin even als je gebruikmaakt van Outlook Web Access.
Adobe
Adobe brengt de APSB15-05 voor Flash uit, die door Microsoft is ingebed in Internet Explorer. Deze komt pas donderdag uit. Microsoft schrijft in KB2755801: “Op 10 maart 2015 publiceerde Microsoft een update (3044132) voor Internet Explorer 10 op Windows 8, Windows Server 2012, Windows RT, en voor Internet Explorer 11 op Windows 8.1, Windows Server 2012 R2, Windows RT 8.1, Windows Technical Preview en Windows Server Technical Preview. De update adresseert de kwetsbaarheden omschreven in Adobe Security bulletin APSB15-05 (beschikbaar op 12 maart 2015). Voor meer informatie over deze update, inclusief downloadlinks, zie: Microsoft Knowledge Base Article 3044132.”
Tot zover de maand maart. Patch systemen zo snel mogelijk, en kijk ook naar eventuele blootstelling aan Superfish. Denk eraan dat er ook tal van andere applicaties zijn die je root certificate store aanpassen en te gebruiken zijn om communicatie af te luisteren.
Wolfgang Kandek – CTO, Qualys, Inc.