Malware nutzt IE-Sicherheitslücke CVE-2016-3298 aus

Publiziert am 25. Oktober 2016 von Günter Born

Die im Internet Explorer 9 bis 11 entdeckte Sicherheitslücke CVE-2016-3298 wird aktiv in Malvertising-Kampagnen ausgenutzt. Microsoft hat zwar im September 2016 Patches und im Oktober 2016 nochmals die Sicherheits-Updates MS16-118/MS16-126 ausgerollt. Diese erwiesen sich aber als ausgesprochene Problembären. Im Blog-Beitrag knüpfe ich mal ein paar lose Fäden zusammen und versuche ein Gesamtbild zu zeichnen.

Anzeige

Die Sicherheitslücken CVE-2016-3298 und CVE-2016-3351

Die Sicherheitslücke CVE-2016-3298 wird als kritisch eingestuft und ermöglicht eine Remote Codeausführung. Die Sicherheitslücke tritt im Internet Explorer 9 bis zum Internet Explorer 11 auf und betrifft praktische alle Windows-Versionen (im Support sind noch Windows Vista SP2 bis Windows 10 sowie die Windows Server-Pendants). Symantec hat in diesem Beitrag und hier auf das Problem und Fixes von Microsoft hingewiesen. Auch CVE-2016-3351 segelt in der gleichen Klasse.

Die Sicherheitslücken werden in Malvertising-Kampagnen ausgenutzt

Vom Sicherheitsanbieter Proofpoint habe ich gerade die Information erhalten, dass die Sicherheitslücke CVE-2016-3298 in Malvertising-Kampagnen aktiv ausgenutzt wird. Die Gruppen AdGholas und GooNky verwendeten die Sicherheitslücke, die Remote Code-Ausführung ermöglicht, um (Erpressungs-) Trojaner und Schadsoftware auf Windows-Systeme zu installieren.

In diesem Beitrag befassen sich die Experten von Proofpoint bereits im September 2016 mit der Sicherheitslücke CVE-2016-3298 und der Ausnutzung in Malvertising-Kampagnen. Dort wird ein per Angler Exploit-Kit vorgenommener Angriff beschrieben. Am 13. September 2016 hat Microsoft ein Sicherheitsbulletin (MS16-104) zur Behebung der Schwachstelle CVE-2016-3351 veröffentlicht, das einen Patch für die Browser Internet Explorer und Edge umfasst. Ich hatte im Blog-Beitrag Microsoft Patchday: Updates September 2016 berichtet.

Bei Proofpoint hat man die Malvertising-Angriffe verfolgt und stieß erstmals im April 2016 drauf, dass die Sicherheitslücke CVE-2016-3298 ausgenutzt wurde. Die Anatomie der Angriffe in einer AdGholas-Kampagne mittels eines Exploit-Kit(EK)-Markt sind in einem weiteren Blog-Beitrag vom 11. Oktober 2016 hier beschrieben. Just am 11. Oktober 2016 hat Microsoft mit MS16-118 nachgelegt (dazu später mehr – über den Patch hatte ich im Blog-Beitrag Microsoft Patchday 11. Oktober 2016 berichtet). Und es gab am 11. Oktober 2016 noch MS16-126, um eine Schwachstelle im Microsoft Internet Messaging API zu schließen. Beide Updates haben m.W. zwar nicht direkt mit den, in den Proofpoint-Dokumenten beschriebenen, IE-Sicherheitslücken zu tun (das wurde ja beim September-Update behoben). Aber es lohnt, einen Blick auf die Sicherheits-Updates für den IE vom September/Oktober 2016 zu werfen.

Das Problem mit den Sicherheits-Updates vom September/Oktober

Normalerweise würde man jetzt sagen: Ok, es gab eine Sicherheitslücke im IE, aber die wurde im September 2016 und weiterhin im Oktober 2016 geschlossen – und gut ist. Leider ist das Ganze nicht so einfach und nicht wirklich erledigt. Wer meinen Blog verfolgt, weiß um die vielen Update-Probleme am und um den Patchday. Also ich von Proofpoint die Hinweise auf die beiden oben verlinkten Beiträge bekam, reifte der Entschluss, die "ganze Geschichte" aufzubereiten.

Gestern habe ich im Blog-Beitrag Bugs in Windows- und Office-Updates (Sept./Okt. 2016) – Teil 1 auch das Update KB3185319 (MS16-104: Security update for Internet Explorer: September 13, 2016) thematisiert. Dieses Update enthielt zwei Bugs, die zu Problemen beim Öffnen von URL-Verknüpfungen und bei der ActiveX-Installation per AXIS-Installer führten. Wer diese Bugs nicht haben wollte, blockte oder deinstallierte das Update – und war für die oben erwähnten Malvertising-Kampagnen angreifbar. Das einer der IE-Bugs Fehler per Hotfix geschlossen wurde, ist in obigem Beitrag erwähnt.

Dann kam der Oktober-Patchday und alles wird gut? Denn der Patchday brachte auch das Sicherheits-Update MS16-118 für den IE. Über das kritische Sicherheits-Update MS16-118 hatte ich zwar im Blog-Beitrag Microsoft Patchday 11. Oktober 2016 berichtet. Es ist davon auszugehen, dass diese Sicherheitslücke durch Malvertising-Kampagnen in Exploit-Kits ausgenutzt wird. Also sofort patchen? Mitnichten, denn der Patch hatte es in sich. Schon bald musste Microsoft vor dem Patch warnen und Administratoren im Business-Bereich das Blocken der Updates empfehlen (siehe KB3194798, KB3192392, KB3185330, KB3185331 killen SCOM). Hintergrund war, dass diese Updates die Management Konsole des System Center Operations Manager (SCOM) in bestimmten Szenarien zum Absturz brachten.

Am 19. Oktober 2016 gab es dann Folge-Updates (siehe Windows 10: Kumulative Updates KB3200068, KB3199125 fixen SCOM-Bug), die dieses Problem unter Windows 10 beheben sollten. Ob es einen Fix für Windows 7/Windows 8.1 gibt, weiß ich gar nicht – ich habe da, ehrlich gesagt, den Überblick verloren. Notieren wir fürs Protokoll: Es gab Sicherheits-Updates, die die Sicherheitslücken schließen sollen. Aber diese Patches haben gravierende Nebenwirkungen, so dass sie in bestimmten Szenarien nicht installierbar sind.

Anzeige

Im gestrigen Blog-Beitrag Das Microsoft Windows-/Office-Update-Desaster – Teil 2 habe ich noch einen anderen, kritischen Punkt angesprochen. Ab Oktober 2016 verwendet Microsoft ja Rollup Updates für Windows 7 SP1 und Windows 8.1. Weil das ziemlich chaotisch läuft, Microsoft Telemetrie-Updates in Sicherheits-Rollups einschmuggelt und Fixes in Preview Rollup-Updates samt Telemetriedaten-Erfassungs-Verbesserungs-Updates ausrollt, sitzen die Administratoren und Anwender auf einem heißen Stuhl. Keiner weiß mehr, was ihm da per WSUS oder Windows Update auf die Maschinen gespült wird und ob diese im Anschluss noch booten bzw. welche Bugs es dann gibt. Führt dazu, dass Administratoren in Firmenumgebungen die Installation der Rollup Updates in WSUS und Anwender in Windows Update erst einmal blocken. Ergo: Es gibt zwar theoretisch Patches zum Schließen solcher Lücken – aber in der Praxis steht es in den Sternen, ob sich diese Updates auch einspielen lassen.

In Konsequenz dürften zwischenzeitlich eine Menge Windows-Systeme laufen, wo die IE-Sicherheitslücke CVE-2016-3298 noch ausgenutzt werden kann. Hat Microsoft prima hin gekriegt – oder wie seht ihr das? Habe ich was übersehen? Gibt es Ergänzungen – speziell von Seiten der Administratoren?

Ähnliche Artikel:
Oktober-Patchday: Einstieg in Windows 7/8.1 Rollup-Updates
Windows 10: Kumulative Updates Oktober 2016
Warnung SCOM 2012R2-Absturz durch Rollup Update KB3192392/KB3185331 KB3194798, KB3192392, KB3185330, KB3185331 killen SCOM
Bugs in Windows- und Office-Updates (Sept./Okt. 2016) – Teil 1
Das Microsoft Windows-/Office-Update-Desaster – Teil 2

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Internet Explorer, Sicherheit, Windows 10, Windows 7, Windows 8.1, Windows Server abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Malware nutzt IE-Sicherheitslücke CVE-2016-3298 aus

  1. Marco sagt:
    25. Oktober 2016 um 14:43 Uhr

    Gut auf den Punkt gebracht.

    Antworten
  2. ldlx sagt:
    25. Oktober 2016 um 20:26 Uhr

    Der Schmutz kommt mir auch nicht ins Haus… weder zu Hause noch in meine verwalteten Umgebungen, insgesamt knapp 250 Rechner.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.