Home Security Patch Tuesday mei 2016

Patch Tuesday mei 2016

89

Voordat ik dieper in ga op de Microsoft- en Adobe-updates van deze maand (zeventien in totaal), benadruk ik nog eens de urgentie van een andere kwetsbaarheid die u misschien gemist hebt. Het populaire open source-programma ImageMagick is momenteel doelwit van een actieve aanval op internet. Kwetsbaarheid CVE-2016-3714 (in de bijbehorende kwetsbaarheidsbrandingcampagne ook wel ImageTragick genoemd) maakt remote code execution (RCE) mogelijk via het uploaden van beelden. Op dit moment is er geen patch beschikbaar, maar er is wel een tijdelijke oplossing gepubliceerd die huidige aanvallen neutraliseert. Wij bevelen hetzelfde aan als de aanvallers doen: doorzoek uw infrastructuur op aanwezigheid van ImageMagick en pas dan de tijdelijke oplossing toe in het policy.xml-bestand. Ik heb dit meteen gedaan op mijn locaties, ook al gebruik ik ImageMagick alleen in commandline-modus voor het creëren van thumbnails. Overigens is de tijdelijke oplossing de afgelopen twee weken completer geworden, dus het is de moeite waard er nog eens naar te kijken als u ‘m al toegepast had.

Terug naar de Microsoft– en Adobe-updates. Beide hebben ze updates voor momenteel actief aangevallen kwetsbaarheden en in totaal zeventien bulletins gaan in op meer dan honderd fouten in software.

Bovenaan onze lijst staat de update voor Internet Explorer (MS16-051) die een kritiek REC-type kwetsbaarheid CVE-2016-0189 aanpakt, dat momenteel doelwit van aanvallen is. De kwetsbaarheid bevindt zich in de JavaScript-engine, en in Vista en Windows 2008 is de engine apart van de browser verpakt. Dus draait u op deze varianten van Windows (slechts twee procent draait nog op Vista), dan moet u MS16-053 installeren.

Daarnaast is er APSA16-02, een zero-day advisory voor Adobe Flash. Hoewel er nog geen patch voor beschikbaar is, is het belangrijk de situatie in de gaten te houden. Adobe verwacht later deze week een nieuwe versie van Flash uit te brengen. De kwetsbaarheid waar het om gaat, is getagd als CVE-2016-4117 en is momenteel doelwit van aanvallen ‘in the wild’.

Ik raad aan eerst deze drie kwetsbaarheden aan te pakken, voor u zich richt op de andere issues. In de resterende bulletins is het raadzaam te kijken naar:

  • MS16-054 voor Office, dat twee kritische kwetsbaarheden in het RTF-bestand aanpakt. Deze zijn te triggeren via de Outlook-preview zonder dat uw gebruikers daadwerkelijk op het kwaadaardige bestand klikken. Ik beveel aan ‘File Block’ te gebruiken om RTF te verwijderen uit de bestandsformaten die u accepteert. Zo wint u wat extra robuustheid en tijd om het volledige probleem aan te pakken.
  • MS16-052 voor Microsoft Edge-browser onder Windows 10. Deze richt zich op vier kritische kwetsbaarheden, slechts iets minder dan de oudere Internet Explorer in MS16-051, maar geen enkele is momenteel rechtstreeks doelwit.
  • MS16-055, een patch voor het grafisch subsysteem in Windows. Gezien het feit dat het om een GDI-kwetsbaarheid gaat, kunnen aanvalsvectoren zowel web-based als document-gebaseerd zijn. Getroffen versies van Windows zijn die van Vista tot Windows 10.
  • MS16-057 voor de Windows Shell. De patch lost een kritische kwetsbaarheid in de kern-UI van Windows op die een aanvaller in staat kan stellen RCE uit te voeren op het systeem.
  • MS16-062 voor de Windows Kernel-drivers. Alle kwetsbaarheden hier zijn lokaal, maar ze zijn van het soort dat aanvallers gebruiken om hun privileges te vergroten zodra het ze gelukt is op het systeem te komen.
  • MS16-056 en MS16-059 voor Windows Journal en Windows Media Center zijn gericht op bestandsformaatkwetsbaarheden in deze applicatie. Kijk mee als u deze draait, want kwetsbaarheden doen zich vrij frequent voor en het is slechts een kwestie van tijd voor aanvallers deze nieuwe aanvalsmogelijkheden zien. Omdat hij lijkt op MS15-134 (ondersteund in Metasploit) verwacht ik dat MS16-059 binnenkort wordt opgenomen in exploit toolkits.
  • MS16-058 voor IIS. Als u IIS draait als webserver is het de moeite waard om te bekijken of aanvallers de mogelijkheid hebben de benodigde privileges voor uw systeem te behalen.
  • APSB16-14 voor Adobe Reader. Dit is zijn tweemaandelijkse update en richt zich op 92 afzonderlijke CVE’s.

Dat is het voor mei. De zero-days en de mogelijke omvang daarvan maken dit een van de serieuzere Patch Tuesdays van de afgelopen tijd. Zorg dat u in de gaten blijft houden wat er gebeurt.

Wolfgang Kandek, CTO van Qualys

 

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in