Archiv der Kategorie: Kunden

Virtual Patching ist jetzt gefragt

Originalbeitrag von Pawan Kinger, Director Deep Security Labs / Re-Blog von blog.trendmicro.de

Nachdem Microsoft drei kürzlich veröffentlichte Sicherheitslücken noch nicht gepatcht hat, rückt der Einsatz von Intrusion Prevention System (IPS) wieder in den Mittelpunkt des Interesses. Dieses virtuelle Patching soll vor vor Angriffen über diese Lücken schützten und ermöglicht es, Systeme so lange abzusichern, bis der Anbieter einen Patch dafür bereitstellt.

Folgende Komponenten waren von den Sicherheitslücken betroffen:

  1. Core SMB Service
  2. Microsoft Internet Explorer und Microsoft Edge
  3. Graphics Device Interface

CVE-2017-0016

Hier handelt es sich um einen Speicherbeschädigungs-Fehler (Memory Corruption) beim Handling des SMB-Verkehrs durch Windows. Um einen solchen Angriff durchzuführen, muss ein Computer oder Nutzer geködert werden, sich mit einem bösartigen SMB-Server zu verbinden. Der Server liefert Pakete, die dann den Computer zum Absturz bringen. Machbarkeits-Exploit-Code für diese Lücke ist bereits öffentlich geworden.

Die Sicherheitslücke erlaubt keine Remote-Ausführung von Code, und die Auswirkungen sind auf eine Denial-of-Service beschränkt. Gegenmaßnahmen könnten folgende sein:

  • Einschränken des nach draußen gehenden Ports 139 und 445,
  • Einsatz von IPS-Schutz.

CVE-2017-0037

Dabei handelt es sich um eine Art „Confusion“-Lücke im Microsoft Internet Explorer und Edge Browser. Um die Schwachstelle auszunützen, muss ein Angreifer einen Nutzer überzeugen, einen bösartigen Weblink anzuklicken. Den Link kann ein potenzielles Opfer über eine Mail, einen Chat oder eingebettet in Dokumente erhalten. Details zur Lücke, einschließlich eines Proof-of-Concept Codes ist bei Google Project Zero erhältlich.

Bei einer Attacke kann der Angreifer mit denselben Privilegien wie der angemeldete Nutzer beliebigen Code ausführen. Folgende Maßnahmen sind nützlich:

  • Einsatz von IPS-Schutz,
  • E-Mail-Filter für Phishing-Angriffe,
  • Web Reputation, um gehostete Skripts zu blocken
  • Reduzieren von Konten mit Administratorrechten

CVE-2017-0038

Die Lücke befindet sich in der Graphics Device Interface (GDI)-Komponente von Windows. GDI wird zum Rendern etwa von Bildern und Fonts auf einem Gerät oder Drucker verwendet. Ein Angreifer müsste einen Nutzer dazu „überreden“, ein Image oder einen Font darzustellen. Diese könnten auch in ein Dokument eingebettet werden. Der Angriff wird über einen Mail-Anhang oder über File-Sharing gestartet. Details zur Lücke, einschließlich eines Proof-of-Concept Codes ist bei Google Project Zero erhältlich.

Die Lücke legt Hauptspeicher offen, sodass vertrauliche Informationen durchgestochen werden. Folgende Maßnahmen sind sinnvoll:

  • Einsatz von IPS-Schutz
  • Schulung von Mitarbeitern, keine Anhänge zu öffnen oder Links, die nicht aus vertrauensvollen Quellen kommen anzuklicken.

Trend Micro Deep Security™ schützt vor diesen Sicherheitslücken. Details zu den Regeln und Veröffentlichungsterminen rund um die Sicherheitslücken liefert die folgende Übersicht.

CVE

Deep Security Rule Release-Datum

Veröffentlichungsdatum

Rule Name

CVE-2017-0016

Feb 2, 2017

Feb 1, 2017

1008138-Microsoft Windows Stack Overflow Remote Code Execution Vulnerability

CVE-2017-0038

Feb 20, 2017

Feb 21, 2017

1008171-Microsoft Windows Graphics Component Information Disclosure Vulnerability (CVE-2017-0038)

CVE-2017-0037

Feb 27, 2017

Feb 25, 2017

1008153-Microsoft Internet Explorer And Edge Memory Corruption Vulnerability (CVE-2017-0037)

TippingPoint-Kunden sind über die folgenden MainlineDV-Filter geschützt:

  • 26893: SMB: Microsoft Windows mrxsmb20.dll Denial-of-Service Vulnerability
  • 26904: HTTP: Microsoft Windows EMF Parsing Information Disclosure Vulnerability

 

Weiterführende Artikel:

  1. Lektion im Patching: Der Aufstieg der SAMSAM Crypto-Ransomware
  2. Außer der Reihe-Patch für eine weitere Windows Zero-Day-Lücke
  3. Internet Explorer Zero-Day betrifft alle Versionen des Browsers

kommende Webinare


Nebst der anstehenden TechTour durch die Schweiz und Österreich finden in nächster Zeit auch wieder wichtige Webinare statt. Hier eine kleine Übersicht:

03.03.2017 von 10:00 Uhr bis 11:00 Uhr
Sandbox Analyse von unbekannten Bedrohungen auf dem Endpoint

15.03.2017 von 14:00 Uhr bis 15:00 Uhr
Trend Micro Endpoint Sensor: Protokollierung von Ereignissen auf Endpunkten zur schnellen Analyse

28:03.2017 von 10:00 Uhr bis 11:00 Uhr
Endpoint Application Control – Kontrolle von Prozessen und Applikationen

Trend Micro TechTour – JETZT anmelden


XGen Endpoint Security Tech Tour

Lernen Sie die neue Klasse der Endpoint Security kennen

Ransomware, Advanced Persistent Threats, Zero-Day-Exploits – Endpunkte sind heute einer Vielzahl unterschiedlichster Bedrohungen ausgesetzt, die sich mit herkömmlichen Ansätzen und einzelnen Technologien nicht mehr beherrschen lassen. Mit XGen Endpoint Security bietet Trend Micro daher jetzt eine neue Lösung, die bewährte Gegenmassnahmen mit Innovationen wie maschinellen Lernverfahren kombiniert. Davon profitieren Anwender in jeder Phase: Bei der Abwehr bekannter Angriffe, dem Aufspüren noch unbekannter Bedrohungen und der abgestimmten Reaktion kommen immer die besten Technologien zum Einsatz. Damit geht XGen Endpoint Security weit über sogenannte Next-Gen-Produkte hinaus.

Registrieren Sie sich jetzt für die XGen Endpoint Security Tech Tour und erfahren Sie alles über mehrschichtige, zukunftsweisende Endpunktsicherheit von Trend Micro.

Webinar mit Raimund Genes, CTO von Trend Micro

Trend Micro Sicherheitsvorhersagen 2017

2016 war das Jahr der Cyber-Erpressung. Ransomware hat die Schlagzeilen beherrscht. Doch was kommt danach? Wird es Ransomware 2.0 geben? Welche Gefahren ergeben sich durch IoT? Welche Folgen hat die Europäische Datenschutzgrundverordnung für Unternehmen?

Trend Micro erklärt, mit welchen Bedrohungen im Jahr 2017 zu rechnen ist und über welche Vektoren diese eintreten werden. Verschaffen Sie sich und Ihren Kunden einen Vorsprung! Besuchen Sie dieses Webinar.

Mittwoch, 11. Januar 2017 von 14:00 Uhr bis 15:00 Uhr
Anmeldung

Kunden und Partner Statement Videos 2016

TM_Logo_4c_Only

Auf der VMworld Europe 2016 haben wir verschiedene Kunden und Partner gebeten, uns kurze Statements auf Video abzugeben. Hören und sehen Sie, was Kunden wie UKCloud, Vives University, Beaumont Hospital oder Partner wie Arrow, Bechtle oder VMware zu sagen haben.

VMworld 2016 Video Archiv