Plattformen, Fachartikel

Andere Sichtweise zur ungepatchten “Denial of Service”-Sicherheitslücke in Microsoft Windows

Andere Sichtweise zur ungepatchten “Denial of Service”-Sicherheitslücke in Microsoft Windows

Kasper Lindgaard, Direktor Secunia Research von Flexera Software

Am 7. März 2017 meldete Secunia Research von Flexera Software an Microsoft eine Sicherheitslücke, welche über eine Schriftdatei ausgenutzt werden kann. Die „Denial of Service“ (DoS)-Sicherheitslücke wurde von IT-Sicherheitsexperten Behzad Najjarpour Jabbari von Secunia Research aufgedeckt. Während der Bearbeitung eines Typ 1 Font [1]in der „Adobe Type Manager Font Driver Library“ (AMTFD.dll) kann der Stack aufgebraucht werden und dies führt dann zu einem Absturz des Windows-Betriebssystems.

Angriffe, die Sicherheitslücken in der Verarbeitung von Schriftdateien im Rahmen eines Microsoft Windows-Betriebssystems ausnutzen, variieren je nach Schrift-Typ. Beim Internet Explorer können Sicherheitslücken in bestimmten Schrift-Typen beispielsweise ausgenutzt werden, wenn der Anwender eine bösartige Seite im Internet besucht. Die von Secunia Research entdeckte Sicherheitslücke wird jedoch beim Ansehen von Inhalten eines Verzeichnisses im Dateisystem oder auf einer Netzwerkfreigabe mittels des Explorers ausgelöst, wobei das Verzeichnis eine speziell präparierte Schriftdatei enthält.

 

Secunia Research meldete die Sicherheistlücke zusammen mit einer “Proof of Concept” (PoC) Schriftdatei am 7. März 2017 an Microsoft, um die Veröffentlichung und die Schließung der Sicherheitslücke mit dem Anbieter abzustimmen.

 

Daraufhin unterrichtete Microsoft am 10. April 2017 Secunia Research, dass „es sich um einen lokal authentifizierten DoS handelt, der nicht über das Netzwerk („remote“) ausgenutzt werden kann. Damit erfüllt er nicht die Voraussetzung für ein Servicing Down Level.“

 

Secunia Research stimmt mit dieser Auffassung nicht überein. Ein lokal authentifiziertes Benutzerkonto für einen Angreifer ist nach Ansicht von Secunia Research nicht zwingend notwendig, um Angriffe über eine speziell präparierte Typ 1 Schriftdatei zu starten. Auch bei der Ansicht eines Verzeichnisses auf einer Netzwerkfreigabe beispielsweise kann die Fontdatei dieselben negativen Folgen nach sich ziehen. Um die Sicherheitslücke ausnutzen zu können, muss zwar zunächst eine Ansicht des Verzeichnisses mit der entsprechenden Schriftdatei durch einen regulären Benutzer erfolgen, gerade dies gehört jedoch zu einer der grundlegendsten Aktionen, die ein Nutzer auf einem Windowssystem ausführt und stellt für potentielle Angreifer kein außergewöhnliches Hindernis dar.

 

Eine solche Schriftdatei kann auf unterschiedlichen Wegen in ein Unternehmen gelangen – sei es vom Internet heruntergeladen, abgespeichert aus einer Email eines Mitarbeiters, der Zugriff auf ein Verzeichnis auf einem freigegeben Netzwerk besitzt, durch einen automatischen Bearbeitungsprozess bei der Extrahierung von Archiven oder ähnlichem. Ein Angreifer braucht daher keinen direkten Zugriff auf ein freigegebenes Netzlaufwerk; er muss nicht einmal Teil des gleichen Unternehmens wie der Nutzer sein. Ungeachtet dessen wird der Angreifer in jedem dieser Szenarien potenziell als „remote“, und damit nicht lokal angesehen.

 

Es ist tatsächlich plausibel, dass eine Schriftdatei nicht als verdächtig eingestuft wird, bevor sie in einem Verzeichnis landet. Einmal dort abgelegt, reicht jedoch schon die Ansicht der Verzeichnisinhalte im Explorer um den Absturz des Windows-Betriebssystems auszulösen.

 

Secunia Research gab diese Einschätzung an Microsoft weiter, um die Sicherheitslücke im Interesse der Kunden von Flexera Software und Microsoft zu beheben. Microsoft blieb jedoch bei seiner ursprünglichen Aussage, die Sicherheitslücke erfülle nicht die Voraussetzung für ein „Servicing Down Level“.

 

„Von Seiten Microsoft erhielten wir keinen Anhaltspunkt, dass die Behebung der Sicherheitslücke in der im Rahmen der „Disclosure Policy“ von Secunia Research festgelegten Zeit erfolgt“, erklärt Kasper Lindgaard, Direktor Secunia Research von Flexera Software. „Daher haben wir uns entschlossen eine Veröffentlichungsfrist zu setzen – unabhängig davon, ob ein Patch zur Verfügung steht oder nicht. Auch das Angebot an Microsoft, die Bekanntgabe zu verschieben sofern die Behebung der Sicherheitslücke gemäß unseren Richtlinien in Aussicht gestellt wird, blieb ohne Ergebnis.“

 

Aus diesem Grund veröffentlichte Secunia Research am 24. April 2017 den Secunia Advisory SA75557 und bewertete die Vulnerability als eine über das Netzwerk ausnutzbare Sicherheitslücke in der Gefahreneinstufung “Mäßig kritisch” und mit dem Status “Ungepatcht”.

 

Kasper Lindgaard: “Natürlich ist es das gute Recht von Microsoft, einen anderen Standpunkt hinsichtlich dieser Sicherheitslücke zu vertreten. Bei Secunia Research sehen wir es als unsere Pflicht an, unsere Kunden zu warnen – selbst wenn kein Patch zur Verfügung steht. Uns ist auch weiterhin ein angemessener Umgang mit den von uns gemeldeten Sicherheitslücken wichtig, die schnellstmögliche Behebung durch den jeweiligen Anbieter und insbesondere die umfassende Information unserer Kunden.“

 

 

[1] https://de.wikipedia.org/wiki/PostScript-Fontformate#Formate