- Dołączył
- 23 Wrzesień 2016
- Posty
- 3893
- Reakcje/Polubienia
- 1229
źródło: dobreprogramy.pl (Adam Golański)Windows dziurawy bardziej niż zwykle, w marcu samo Edge ma 32 łatki
Microsoft w ostatnich miesiącach bardzo się stara, by jego partnerzy i klienci odnieśli wrażenie, że w dziedzinie strategii bezpieczeństwa w Redmond panuje bałagan. Zapowiadane zaniechanie wydawania poprawek bezpieczeństwa w postaci biuletynów nie doszło do skutku. W drugi wtorek marca, miesiąc po niewydaniu lutowych poprawek, spodziewaliśmy się obiecywanej od jesieni przeszukiwalnej bazy danych, Security Updates Guide. Nic z tego. Znów tradycyjne biuletyny – i to aż 18, z czego dziewięć uznanych za krytyczne. I tak, wiele w tym luk, które były już wykorzystywane, mimo że Microsoft utrzymuje inaczej.
Przegląd zaczynamy tradycyjnie od biuletynów oznaczonych jako krytyczne. Niektóre z nich łatają bezprecedensową liczbę luk. Chyba za wcześnie pochwaliliśmy Microsoft, że robi lepszą robotę niż Adobe. Nie, obie firmy mogą sobie znów podać ręce, może jeszcze zaprosić do tego kolegów z Oracle.
Wyrozumiali hakerzy nie nadużywają luk 0-day?
Zaloguj lub Zarejestruj się aby zobaczyć!to biuletyn dla Internet Explorera, który łata 12 luk. Mamy tu więc błędy w silniku skryptowym pozwalające na zdalne uruchamianie kodu, do tego błędy w obsłudze obiektów w pamięci pozwalające na wycieki informacji, niepoprawne parsowanie adresów HTTP, luki pozwalające na podwyższenie uprawnień… czyli w sumie normalnie. Interesujące jest to, że mimo wcześniejszego publicznego ujawnienia wielu tych luk, Microsoft utrzymuje, że niemal żadna nie była exploitowana. Jedynie CVE-2017-0149, pozwalająca na zdalne uruchomienie kodu przez uszkodzenie pamięci została oznaczona jako 0-day.
Co to jest 12 luk? Microsoft Edge, załatane w biuletynieZaloguj lub Zarejestruj się aby zobaczyć!, miało 32 luki, z czego sześć było już publicznie znanych przed załataniem. I tym razem hakerzy mieli dobre serca, nie zdecydowali się zdaniem Microsoftu luk tych wykorzystać w swoich atakach, mimo że mamy tu całą paletę atrakcji – błędy w parsowaniu HTTP pozwalające na phishing, wycieki informacji, a nawet uszkodzenia pamięci pozwalające na zdalne uruchomienie kodu.
Robi wrażenie też lista błędów, które były nieujawnione i niewykorzystywane w atakach – 18 (sic!) luk w silniku skryptowym, błąd w silniku PDF, trzy błędy pozwalające na obejście zabezpieczeń Edge, jedno uszkodzenie pamięci, cztery luki pozwalające na wyciek danych.
Zaloguj lub Zarejestruj się aby zobaczyć!to łatanie hiperwizora Hyper-V, cztery luki dotyczą podatności na zdalne uruchomienie kodu, sześć pozwala na ataki Denial of Service (w tym jedna na ataki na switch sieciowy), jedna umożliwia wycieki informacji z maszyn wirtualnych. Ponownie hakerzy mieli serce i nie robili żadnych DDoS–ów na Hyper-V, mimo że jedna z podatności była publicznie znana.
Zaloguj lub Zarejestruj się aby zobaczyć!to biuletyn dla biblioteki Windows PDF. Tutaj błąd w obsłudze obiektów w pamięci pozwalał na zdalne uruchomienie kodu. Uzłośliwiony dokument PDF otwierany w Edge wystarczył, by uruchomić w przeglądarce kod. Inne systemy niż Windows 10 były bezpieczne.
W biuletynieZaloguj lub Zarejestruj się aby zobaczyć!dla Windows SMB widzimy pięć luk pozwalających na zdalne uruchomienie kodu i jedną pozwalającą na wyciek informacji, ale żadna z nich nie była publicznie ujawniona, żadna nie była exploitowana. A co z tą luką pozwalającą na zdalne zawieszenie Windowsa, o której słyszeliśmy jużZaloguj lub Zarejestruj się aby zobaczyć!od niezależnego badacza? Ona z jakiegoś powodu trafiła do innego biuletynu.
Zaloguj lub Zarejestruj się aby zobaczyć!dotyczy Windows Uniscribe, czyli tego zestawu usług i interfejsów do wyrafinowanej typografii. Tym razem miały one w sobie 29 luk. Osiem z nich pozwalało na zdalne uruchomienie kodu, 21 na wycieki informacji. Żadna luka nie była publicznie znana ani wykorzystywana.
Zaloguj lub Zarejestruj się aby zobaczyć!to taki biuletyn–worek z różnymi poprawkami. Mamy tu więc błąd w obsłudze bibliotek DLL (i oczywiście zdalne uruchamianie kodu), możliwość obejścia zabezpieczeń Device Guard, wycieki informacji z usługi DNS Windowsa, uszkodzenie pamięci w iSNS Serverze, podwyższenie uprawnień w Windows HelpPane, oraz ten wspomniany wcześniej błąd w protokole SMB 2.0 i 3.0, pozwalający na zdalne zawieszanie Windowsa. Ponownie Microsoft utrzymuje, że nikt zdalnie Windowsa zawieszać nie chciał.
Biuletyn dla Graphics Device Interface (GDI) oznaczony został jakoZaloguj lub Zarejestruj się aby zobaczyć!. Jest naprawdę ciekawy, tym bardziej, że mamy w nim, uwaga… nieznany wcześniej 0-day. To CVE-2017-0005, jeden z czterech błędów pozwalających na podwyższenie uprawnień. Pozostałe błędy dotyczą wycieków informacji i zdalnego uruchomienia kodu (CVE-2017-0014 – znów publicznie znany, ale przez nikogo nie wykorzystywany). Do biuletynu wrzucono też łatki dla Microsoft Color Management Module, który z jakiegoś powodu pozwala na wycieki danych z pamięci.
Zaloguj lub Zarejestruj się aby zobaczyć!to już sprawka Adobe – zbiorczy zestaw łatek dla Flash Playera. Tym razem tylko siedem dziur, wszystkie pozwalały na zdalne uruchomienie kodu.
Ważne łamane na krytyczne
Klasyfikacja luk krytycznych – kwestia umowna. Widać to poZaloguj lub Zarejestruj się aby zobaczyć!, biuletynie uznanym za ważny, mimo że dotyczy luk pozwalających na zdalne uruchomienie kodu w Microsoft Office (także na Maku). Do tego siedem błędów w obsłudze pamięci pozwalających na wycieki informacji, podatność na ataki DoS, podatność na atak XSS w SharePoint Serverze 2013 i obejście zabezpieczeń w Lyncu na Maka.
Drugi ważny biuletyn, który mógłby być krytycznym, toZaloguj lub Zarejestruj się aby zobaczyć!. Dotyczy on czterech luk, w tym luki w kernelu Windowsa pozwalającej na podwyższenie uprawnień, która była już publicznie znana (ale której oczywiście nie używano). Mamy tu też luki w Rejestrze, obsłudze współdzielonych folderów i Windows Transaction Managerze. Do tego mamy ciekawyZaloguj lub Zarejestruj się aby zobaczyć!, tj. osiem luk w sterownikach trybu kernela, które również można było wykorzystać do podwyższenia uprawnień.
Zaloguj lub Zarejestruj się aby zobaczyć!to biuletyn dla Microsoft Exchange Outlook Web Accessu (tam też podwyższenie uprawnień),Zaloguj lub Zarejestruj się aby zobaczyć!dotyczy zaś IIS Servera, który pozwalał na przeprowadzenie ataków XSS, dających dostęp do normalnie niedostępnych informacji.Zaloguj lub Zarejestruj się aby zobaczyć!to z kolei załatanie wycieków informacji z Windows Active Directory Federation Services,Zaloguj lub Zarejestruj się aby zobaczyć!to wyciek informacji z Windows DVD Makera (i to przez Cross-Site Request Forgery), zaśZaloguj lub Zarejestruj się aby zobaczyć!to łatka na wyciek informacji z Windows DirectShow.
Stawkę zamykaZaloguj lub Zarejestruj się aby zobaczyć!– to wyciek informacji z Microsoft XML Core Services. Luka publicznie nieznana, a jednak aktywnie wykorzystywana w atakach.
Jedno jest pewne – przez najbliższe dni administratorzy systemów Microsoftu będą mieli sporo roboty. Łatki już w drodze, aby Windows mógł być znowu bezpieczny.