Home Security Patch Tuesday april 2015

Patch Tuesday april 2015

57
patch

Ook de Patch Tuesday van april volgt de 2015-trend van high-volume patches. Deze maand hebben we een volledige set van elf Microsoft-patches voor 26 kwetsbaarheden. Dit zijn kwetsbaarheden in Windows en Office op zowel servers als werkstations. Daarnaast publiceert Oracle zijn Critical Patch Update van het eerste kwartaal; de update repareert honderden kwetsbaarheden in meer dan 25 softwarecategorieën, waaronder Java, Oracle RDBMS en MySQL. Voeg hier nog de fixes in Adobe, Mozilla en Google Chrome aan toe naar aanleiding van de uitkomsten van de PWN2OWN-wedstrijd in Vancouver en iedere IT-beveiliger heeft deze maand twee keer zoveel werk als anders.

Laten we met Microsoft beginnen: elf bulletins van MS15-032 tot MS15-042 waarvan vier kritische. Maar de prioriteiten zijn helder deze maand.

Op nummer 1: MS15-033, het Office-bulletin. Dit adresseert vijf Remote Code Execution-kwetsbaarheden (RCE), waaronder een 0-day. CVE-2015-1641 is die 0-day en valt momenteel onder gelimiteerde aanvallen ‘in the wild’ op Word 2010. Dit geldt ook voor Word 2007, 2012 en zelfs Word 2011 op de Mac. Microsoft waardeert ‘m slechts op ‘important’, omdat een gebruiker eerst een kwaadaardig document dient te openen. Dit is een erg laag beveiligingsniveau bij de meeste organisaties, omdat medewerkers gewend zijn Word DOCX-documenten te openen en deze extensie als betrouwbaar ervaren. De aanvaller stuurt een e-mail met zo’n document als bijlage of link. Als de e-mail goed geformuleerd is, is de click-open-ratio zeker tien procent.

Naast de 0-day, adresseert het bulletin ook twee ‘critical’ kwetsbaarheden: CVE-2015-1649 en 1651. Allebei een RCE-type kwetsbaarheid in Office 2007 en 2010 die getriggerd worden door alleen al een bericht te lezen in het previewscherm van Outlook. Het previewscherm verkleint RTF-documenten automatisch en lag al eerder onder vuur met een 0-day een jaar geleden, in maart 2014. Toen liet Microsoft weten dat EMET hielp tegen deze aanval. Deze keer echter geen informatie over de effectiviteit van EMET.

Onze nummer twee patch is MS15-034, een RCE-type kwetsbaarheid voor servers. Het bulletin adresseert CVE-2015-1635 in de HTTP-stack op Windows Server 2008 en 2012, ook een gevaar voor Windows 7 en 8. Een aanvaller kan dit lek gebruiken om een code te laten draaien op je IIS-webserver onder het IIS-gebruikersaccount. Hij gebruikt dan een exploit voor een tweede, lokale kwetsbaarheid (EoP) om administrator te worden en een permanente exploit-code te installeren. De aanval is eenvoudig uit te voeren en moet snel de kop worden ingedrukt. Als je ‘m niet direct kan patchen, kijk dan naar aanbevolen workaround in IIS caching. Dit is de belangrijkste kwetsbaarheid voor je serverteam als je op Windows gebaseerde webservers draait op het internet.

Op een derde plek hebben we APS15-06 voor Adobe Flash. Adobe geeft toe dat er van een van de kwetsbaarheden (CVE-2015-3043) in het wild misbruik wordt gemaakt. Geef deze fix een hoge prioriteit, tenzij je werkt met Google Chrome of een van de nieuwere versies van Internet Explorer, want die updaten Flash automatisch voor je.

Nummer vier wordt bezet door MS15-032, de cumulatieve update voor Internet Explorer. Deze maand adresseerde het tien kwetsbaarheden, waarvan negen bestempeld als kritisch. Alle versies van Internet Explorer − van IE6 op Windows 2003 tot IE11 op het nieuwste Windows 8.1 − zijn de dupe. De aanvaller moet ervoor zorgen dat de gebruiker een kwaadaardige website opent. Meestal door ze een link in een e-mail te sturen of door controle zien te krijgen over een website die de gebruiker vaak bezoekt. De tweede methode wordt steeds vaker gesignaleerd in kwetsbaarheden in verschillende CMS’en en zorgt ervoor dat een hacker controle kan krijgen over honderdduizenden webservers, bijvoorbeeld in de SoakSoak campaign.

Het laatste kritische bulletin is een MS15-035, een kwetsbaarheid in het format van EMF graphics. Ook hier heeft de aanvaller hulp nodig van de gebruiker, nu om een grafisch bestand te verkleinen. Er zijn veel manieren om dit te doen: bijvoorbeeld door naar een website te surfen, een e-mail te openen of een fileshare te bekijken. Desalniettemin beperkt dit misbruik ervan zich tot desktops en laptops. De kwetsbaarheid is ook beperkt tot oudere versies van Windows, zoals Windows 7, Vista, Server 2003 en 2008. De nieuwste versies van Windows – 8 en 8.1 – lopen geen risico, net als voor Windows Server 2008R2 en 2012.

De overige bulletins zijn minder gevaarlijk en dekken kwetsbaarheden in Windows, Sharepoint en .NET en Hyper-V. Deze zijn mee te nemen in je normale patch-cyclus.

Oracle heeft een vooraankondiging gedaan van een grote patch-set in zijn Critical Patch Update April 2014. Ben je Oracle-klant, dan zijn er honderd kwetsbaarheden die met updates worden aangepakt. Er zit een essentiële update voor Java op de desktop bij die je direct even aandacht moet geven. Er is een update voor Outside-In, die er om bekend staat een update van Microsoft’s OWA te triggeren, een maand later. Dus bereid je serverteam voor op een update van de Exchange Server.

Vorige maand werd de Pwn2Own-wedstrijd georganiseerd tijdens CanSecWest, waar beveiligingsonderzoekers hun nieuwe exploits testten op standaard combinaties van browsers en besturingssystemen. Deze keer werden alle combinaties (Chrome, Firefox, IE op Windows en Safari op OSX) succesvol aangevallen en Pwn2Own’s sponsor beloonde de winnaars in totaal met 500.000 dollar, met als hoofdprijs 120.000 dollar. De kwetsbaarheden worden nu bekeken door de respectievelijke eigenaren. Mozilla publiceerde Firefox 36.0.4, deze versie fixt beide CVE’s en Google publiceerde een nieuwe versie van Chrome.

Wolfgang Kandek – CTO, Qualys, Inc.

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here