Home Security Patch Tuesday april 2016

Patch Tuesday april 2016

30
patch

Het is tijd om te kijken naar Patch Tuesday van april 2016. Vorige week gaf Adobe al aan dat er een patch kwam voor de Adobe Flash Player (APSB16-10). Deze was gericht tegen een zero-day-bedreiging. Enkele weken eerder was er al sprake van een Badlock-kwetsbaarheid, die bekend werd gemaakt door het Samba-ontwikkelteam. Deze kwetsbaarheid geldt voor zowel Windows als Samba op Linux/Unix.

Badlock ziet er minder dreigend uit dan verwacht. Microsoft adresseert deze kwetsbaarheid met bulletin MS16-047, dat in de categorie ‘belangrijk’ valt. Het gaat om een Man-in-the-Middle-kwetsbaarheid, die is te gebruiken om als andere gebruiker in te loggen op applicaties die het SAMR- of LSAD-protocol gebruiken. Het SMB-protocol wordt niet aangetast. Alle versies van Windows zijn kwetsbaar hiervoor, van Vista tot Server 2012R2. We weten niet zeker hoe we deze kwetsbaarheid moeten beoordelen, maar hij staat in ieder geval niet hoog op de lijst.

Naast MS16-047 publiceerde Microsoft nog elf bulletins. Dat brengt het totaal dit jaar op bijna vijftig. Overigens ontbreekt op dit moment nog bulletin MS16-043. Dit bulletin adresseert dertig kwetsbaarheden, waaronder zero days. Bulletin MS16-039 biedt een oplossing voor een grafische component in Windows die van toepassing is op alle versies vanaf Vista tot Windows 10 en Server 2008 tot 2102R2. De kwetsbaarheid geldt ook voor de oudere Office-versies 2007 en 2010 en voor .NET, Skype en Lync. De twee zero days zijn onderdeel van het Windows-deel en hebben betrekking op het uitbreiden van de privileges van een normale gebruiker naar een beheerder. In de praktijk wordt deze kwetsbaarheid gecombineerd met een andere, zoals een fout in de Flash Player uit APSB16-10, die door Microsoft in MS16-050 is opgelost. In dit type scenario gaat een gebruiker naar een normale website waar hij wordt aangevallen via een zwakte in Flash, waarna de kwetsbaarheden van CVE-2016-0165/7 uit het MS16-039-bulletin worden benut. Om je hier tegen te wapenen, moet je zo snel mogelijk patchen: dat gaat zowel om MS16-050 voor Flash (APSB16-10 als je Firefox gebruikt) en MS16-039. Deze staan zeer hoog op onze lijst.

De volgende op de lijst is MS16-042, die vier kwetsbaarheden aanpakt in Microsoft Office. Microsoft beoordeelt dit bulletin als ‘kritisch’, wat alleen gebeurt als de kwetsbaarheid zonder gebruikersinteractie te misbruiken is. CVE-2016-0127 is inderdaad een Remote Code Execution-kwetsbaarheid (RCE) in het RTF-bestandsformaat. Dit wordt automatisch weergegeven in het preview-venster van Outlook en kan een aanvaller RCE bieden via een simpele e-mail. Als het even kan, zou ik de set-up zo aanpassen dat RTF-e-mails verboden zijn. Dit is mogelijk met de Office File Block Policy, die beschikbaar is in 2007/2010 en 2013.

Microsoft Internet Explorer (IE) en Edge worden gepatcht in de kritische bulletins MS16-037 en MS16-038. Beide hebben zes kwetsbaarheden (dit is de eerste keer dat Edge en IE eenzelfde aantal hebben) en Edge heeft meer serieuze problemen dan IE (en dat is ook voor het eerst). Geen van de kwetsbaarheden wordt op dit moment benut, maar aangezien de meeste exploits zich richten op de browser is het toch verstandig om ze goed up-to-date te houden. Vergeet niet dat Microsoft alleen de nieuwste browsers voor ieder besturingssysteem patcht: dat betekent IE11 voor Windows 7 en hoger, IE9 voor Vista, en IE10 voor Windows server 2012.

De laatste kritische kwetsbaarheid is te vinden in het XML Core-subsysteem. We hebben al een jaar geen patches meer gezien op dit gebied. MS16-040 levert een nieuwe versie van msxml.dll om de enkele kwetsbaarheid CVE-2016-0147 op te lossen. Een aanval gebeurt door een website die het kwaadaardige XML-format aanbiedt aan de doelmachine.

De overige kwetsbaarheden zijn als ‘niet-kritisch’ beoordeeld, maar kunnen toch nog een behoorlijke uitwerking hebben. Hyper-V bijvoorbeeld, wordt in MS16-045 gepatcht voor een guest naar host-escalatie die kritisch kan zijn in een gehoste omgeving, waar de aanvaller door het design toegang heeft tot de systemen. Kwetsbare systemen zijn Windows 8.1, Server 2012 en 2012 R2. MS16-041 adresseert een enkele kwetsbaarheid in .NET en MS16-049 een DoS-kwetsbaarheid in Windows 10-systemen in de HTTP.sys driver.

Adobe patchte Flash vorige week (out-of-band) in APSB16-10, en kwam op Patch Tuesday met updates voor Robohelp in APS16-12 en Creative Cloud Desktop in APSB16-11.

Met enkele zero days en direct te benutten kwetsbaarheden was april kritischer dan maart. De verwachting is dat de kwetsbaarheid in Adobe Flash om zich heen grijpt, zodat je moet zorgen voor work-arounds.

Wolfgang Kandek – CTO Qualys

 

 

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here