r   e   k   l   a   m   a
r   e   k   l   a   m   a

Kwietniowe biuletyny Microsoftu: ucieczka z Hyper-V i zdalne uruchamianie kodu

Strona główna AktualnościBEZPIECZEŃSTWO

Załatane w kwietniu błędy w oprogramowaniu Microsoftu zmieściły się w 13 biuletynach bezpieczeństwa. W sumie jest jak zwykle, luki w Internet Explorerze, Office, Windowsie... ale jest wśród nich luka znacznie bardziej spektakularna, a dotykająca tych, którzy utrzymują serwery na Windowsie. Maszyny wirtualne działające na hoście z Hyper-V mogły otóż uzyskać dostęp do zasobów sprzętowych systemu-gospodarza.

Wspomniany błąd został ujęty w biuletynie MS16-045. Określony zaledwie jako „ważny”, wydaje się jednak krytycznym. Szczegółów nie ujawniono, ale możliwość ominięcia izolacji zapewnianej przez wirtualizację na systemach od Windows 8.1 po Windows Server 2012 R2, otwierająca drogę do zdalnego uruchomienia kodu na hoście, a nawet podejrzenia zawartości innych maszyn wirtualnych brzmi niezbyt miło.

Pozostałe błędy są już bardziej standardowe. Sześć luk w przeglądarce, w tym dotyczących możliwości zdalnego uruchamiania kodu przez złośliwe strony internetowe, zostało ujętych w biuletynach MS16-037 (dla Internet Explorera) i MS16-038 (dla Microsoft Edge). Patrząc po tym, jak wiele biuletynów dla IE zostaje powtórzonych następnie dla Edge'a można sądzić, że obie przeglądarki zbyt mało jednak dzieli.

r   e   k   l   a   m   a

MS16-039 przynosi łatkę do luki pozwalające na zdalne uruchamianie kodu w Windowsie, .NET Frameworku, Microsoft Office, kliencie Skype for Business i Microsoft Lyncu. Ponownie problem dotyczy uzłośliwionych fontów, które mogłyby być osadzone w dokumencie lub na stronie internetowej. Ciekawie wygląda też MS16-040. Tutaj błąd w systemowym komponencie XML Core Services pozwala na przejęcie kontroli nad zaatakowaną maszyną. Wystarczy kliknąć linka przesłanego w e-mailu czy wiadomości błyskawicznej.

MS16-041 dotyczy błędu w .NET Frameworku, otwierającym drogę do zdalnej instalacji i uruchomienia oprogramowania na komputerze ofiary. Na szczęście napastnik musi mieć w systemie już wcześniej założone konto. MS16-042 wiąże się z błędami obsługi pamięci w pakiecie Office. Jeśli użytkownika Office nakłonicie do otworzenia spreparowanych dokumentów, to być może uda się zdalnie uruchomić u niego złośliwy kod. Analogiczny błąd znajdziemy w Windows OLE (MS16-044) – i tu możliwe jest zdalne uruchomienie złośliwego kodu poprzez podesłanie ofierze spreparowanego pliku lub nakłonienie jej do wejścia na zainfekowaną stronę internetową.

Uruchomionemu zdalnie złośliwemu oprogramowaniu można nadać lepsze uprawnienia, np. administratora, za sprawą załatanego w biuletynie MS16-046 błędu w Windows Secondary Logon. Z kolei MS16-047 opisuje atak man-in-the-middle na komponenty Windows Security Account Manager oraz Local Security Authority Domain, pozwalający na obniżenie poziomu zabezpieczeń i podszycie się pod użytkownika przez napastnika, który może monitorować ruch sieciowy.

Pozostałe biuletyny to MS16-048 dotyczący błędu obsługi pamięci w komponencie Windows CSRSS, pozwalającego uzyskać dostęp administracyjny, MS16-049, umożliwiającego łatwe ataki DoS na maszyny z systemami Microsoftu (by zamrozić „okienka” wystarczy wysłać spreparowany pakiet HTTP), oraz MS16-050, który jest zbiorem łatek dostarczonych przez Adobe do Flash Playera.

Na koniec dość zabawna sprawa, którą być może ktoś kiedyś zmilitaryzuje. Okazuje się, że niektóre bezprzewodowe myszki Microsoftu mogą zadziałać jako klawiatury. Wystarczy wstrzyknąć w ich komunikację z komputerem odpowiednie pakiety, rozpoznawane jako naciśnięcia klawiszy. Na systemach z zablokowanymi klawiaturami otwiera to drogę do rozmaitych ciekawych ingerencji w system. Więcej na ten temat w poradzie bezpieczeństwa 3152550.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.