CVE-2015-2426: Kritieke kwetsbaarheid in Microsoft Windows

CVE-2015-2426: Kritieke kwetsbaarheid in Microsoft Windows

DearBytesAlertsCVE-2015-2426: Kritieke kwetsbaarheid in Microsoft Windows


Wat is er aan de hand?

Na de hack van Hacking Team zijn verschillende zero-day kwetsbaarheden bekend geworden, een van deze kwetsbaarheden was CVE-2015-2387. De kwetsbaarheid kan gebruikt worden om de gebruikersrechten te verhogen of het uitvoeren van arbitraire code en kunnen dus leiden tot totale controle over de computer van het slachtoffer. Microsoft heeft in eerste instantie een update (MS15-077) uitgebracht om de kwetsbaarheden te verhelpen, maar dit bleek uiteindelijk onvoldoende. Hierop is een tweede update uitgebracht, MS15-078 (CVE-2015-2426), waarin het probleem naar verwachting wel volledig is opgelost.

Update 23-07: Er is voorbeeld code ontdekt in de dump van Hacking Team om de kwetsbaarheid uit te buiten. Dit houdt in dat de code binnen afzienbare tijd misbruikt zal worden in publieke aanvallen. De beschikbare code lijkt echter gericht te zijn op het verhogen van gebruikersrechten en niet het verkrijgen van toegang tot een systeem. Het is daarom te verwachten dat Remote Code executie exploits nog op zich laten wachten.

Waarom is dit belangrijk?

Veel organisaties maken gebruik van Microsoft Windows en van het beperken van de gebruikersrechten. De kwetsbaarheid zou gebruikt kunnen worden om zelfstandig hogere rechten toe te kennen op een systeem. De kwetsbaarheid zou een aanvaller in staat kunnen stellen een systeem te compromitteren wanneer de gebruiker een document opent of website bekijkt die OpenType fonts bevat.

Op wie is dit van toepassing?

Dit is van toepassing op alle versies van Windows vanaf Vista. Onderstaand een volledige lijst, dit geldt voor zowel 32 als 64 bit versies van Windows.

  • Windows Vista
  • Windows Server 2008
  • Windows 7
  • Windows Server 2008 R2
  • Windows 8 and Windows 8.1
  • Windows Server 2012 and Windows Server 2012 R2
  • Windows RT and Windows RT 8.1
  • Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012 R2 (Server Core installation)

De niet meer door Microsoft ondersteunde versie, Windows Server 2003, is ook kwetsbaar. Het is onbekend of deze versie alsnog een update krijgt. Zie ook het artikel en video over Windows Server 2003 End-of-Life.

Wat kunt u doen?

Microsoft heeft updates beschikbaar gesteld waarmee de beschreven kwetsbaarheid wordt verholpen. We raden u aan om deze updates te installeren. Meer informatie over de kwetsbaarheid, de installatie van de updates en eventuele workarounds vindt u op:

https://technet.microsoft.com/en-us/security/bulletin/ms15-077

Wat doet DearBytes Managed Services?

Voor klanten waar DearBytes vulnerability management uitvoert, zal een inventarisatie gemaakt worden van kwetsbare systemen zodra hiervoor een update van McAfee MVM beschikbaar is. Deze inventarisatie zal aan u gerapporteerd worden.

Voor klanten waar DearBytes het beheer voert over IPS of IDS technologie, zullen detectiescripts worden geactiveerd om misbruik van de kwetsbaarheid te herkennen, zodra deze beschikbaar zijn.

De klanten in kwestie zullen op individueel niveau nader worden geïnformeerd.