MS15-034 en andere kritieke updates

MS15-034 en andere kritieke updates

DearBytesAlertsMS15-034 en andere kritieke updates

Gisteren zijn er diverse kritieke updates uitgebracht. Een opsomming vindt u onderaan dit bericht, maar we lichten er eentje in het bijzonder uit.

MS15-034, wat is er aan de hand?

Microsoft heeft een kwetsbaarheid in het Windows besturingssysteem bekend gemaakt. Het gaat hier specifiek om een kwetsbaarheid in het verwerken van http verzoeken door de Internet Information Services (IIS).

Indien een speciaal voor dit doeleinde geprepareerd http verzoek door de aanvaller naar het Windows besturingssysteem wordt gestuurd, kan IIS dit verzoek verkeerd verwerken (HTTP protocol stack kwetsbaarheid). Hierdoor zijn aanvallers in staat om – in het ergste geval – eigen code uit te voeren op een kwetsbaar systeem.

Bijkomend risico is dat de kwetsbaarheid zich bevindt in de http.sys module van Windows, welke in de kernel uitgevoerd wordt. Het uitbuiten van deze kwetsbaarheid geeft de aanvaller dan ook direct de hoogste rechten binnen Windows.

Waarom is dit belangrijk?

IIS is een veel voorkomende Webserver, met een marktaandeel van 33%. Dit betekent dat het aantal potentieel kwetsbare systemen zeer groot is. Ook Windows clients, zoals bijvoorbeeld Windows 7 en Windows 8, kunnen IIS draaien en zijn daarmee kwetsbaar.
De dreiging neemt verder toe doordat IIS rechtstreeks vanaf het internet te benaderen is. Aanvallers kunnen daardoor eenvoudig de kwetsbaarheid proberen uit te buiten.
Op dit moment is er nog geen publieke exploit beschikbaar die een aanvaller de mogelijkheid geeft aanvullende code uit te voeren. Er zijn al wel proof-of-concepts beschikbaar gesteld die een aanvaller in staat stellen de server onbeschikbaar te maken. (Denial of Service)

Update[19-04]: De exploit voor de kwetsbaarheid wordt op dit moment te koop aangeboden via verschillende kanalen, vandaag is voor het eerst door een partij bevestigd dat de software werkt. De geleverde exploit werkt standaard tegen Windows Server 2008 en Windows Server 2012 en kost 12.200 dollar.

ms15-034_exploit

Op wie is dit van toepassing?

De HTTP protocol stack kwetsbaarheid is van toepassing op Windows 7 en Windows 8 clients (zowel 32 als 64 bits versies), alsmede Windows Server 2008 en Windows Server 2012 (ook R2 uitvoeringen).

Wat kan ik er aan doen?

Totdat Microsoft met een patch komt om deze kwetsbaarheid op te lossen, kan men de Kernel Caching van IIS uit zetten. Deze ‘work-around’ voorkomt weliswaar uitbuiting van de kwetsbaarheid door aanvallers, maar kan leiden tot prestatie problemen van de IIS.

Wat doet DearBytes?

Voor klanten waar DearBytes het beheer uitvoert van vulnerability management, zal DearBytes een inventarisatie maken van de kwetsbare systemen en deze rapportage met u delen. Zodra een patch beschikbaar is, zal deze worden geïmplementeerd.

Voor klanten waar DearBytes de Intrusion Prevention / Detection omgeving beheert zullen – zodra deze beschikbaar zijn – detectierules worden geactiveerd om misbruik te herkennen en – na uw akkoord – te blokkeren.

Het DearBytes Incident Response team is continu in staat van paraatheid om u te helpen. Neem contact op voor de snelst mogelijke inzet.

Overige kritieke Patches van vandaag:

Microsoft:

  • MS15-032: 10 Kritieke Patches voor Internet Explorer met betrekking tot het extern uitvoeren van Code.
  • MS15-033: 5 Kritieke Patches voor Microsoft Office met betrekking tot het extern uitvoeren van Code (CVE-2015-1641, CVE-2015-1649, CVE-2015-1650, CVE-2015-1651, CVE-2015-1639).
  • MS15-035: Kritieke Patch voor kwetsbaarheid in Grafische component van Windows besturingssystemen met betrekking tot het extern uitvoeren van Code (CVE-2015-1645).

Adobe:

  • APSB15-06: Kritieke update voor Adobe Flash Player voor Windows, Macintosh en Linux (CVE-2015-3043).