r   e   k   l   a   m   a
r   e   k   l   a   m   a

Czerwcowe biuletyny bezpieczeństwa: Windows XP uodpornione na ataki NSA

Strona główna AktualnościBEZPIECZEŃSTWO

Czerwcowe poprawki bezpieczeństwa Microsoftu znów nas zaskoczyły – i to nie tylko liczbą. Łącznie 96 podatności, w tym 27 luk pozwalających na zdalne uruchomienie kodu to dużo, ale bywało już gorzej. Natomiast drugi miesiąc z rzędu wydać łatki dla od dawna już niewspieranego Windowsa XP, to wygląda naprawdę dziwnie. Czyżby wspieranie starych systemów wchodziło Microsoftowi w nawyk?

Przyjrzyjmy się na początku temu, co jak przyznaje Microsoft, ma status 0-day. Te luki są aktywnie wykorzystywane przez hakerów:

Powrót ETERNALBLUE?

CVE-2017-8464 to luka związana z uzłośliwionym skrótem do pliku. Okazuje się, że po spreparowaniu pliku referencyjnego takiego skrótu, zawierającego odniesienie do ikony zawierającej kod, można nakłonić użytkownika do kliknięcia – i w konsekwencji uruchomienia malware na jego komputerze. Badacze z Internet Storm Center sugerują, że najłatwiejszą do przeprowadzenia formą ataku jest zestawienie uzłośliwionego udostępnionego zasobu, a następnie przekazanie linka ofierze.

r   e   k   l   a   m   a

Druga ciekawa luka, CVE-2017-8543, może mieć coś wspólnego z exploitem ETERNALBLUE. Odpowiednio spreparowane żądanie wyszukiwania SMB do usługi Windows Search pozwala na zdalne uruchomienie kodu – i to z uprawnieniami administratora. W biuletynie Microsoft nic nie pisze o tym, by exploit wymagał uwierzytelnienia, więc jeśli tak jest, to mamy zagrożenie bardziej niż krytyczne.

Trzecia exploitowana luka to CVE-2017-8461. Umożliwia ona zdalne wykonanie kodu z uprawnieniami użytkownika przez usługę RPC. Choć szczegółów nie podano, sprawa wygląda poważnie – w Windowsie mnóstwo usług ze sobą rozmawia po RPC, włącznie z Active Directory, narzędziami administracyjnymi czy konsolami MSC.

Kto znał, ten znał

Trzy luki zdaniem Microsoftu były wcześniej znane, ale podobno nikt ich nie wykorzystywał. CVE-2017-8498, CVE-2017-8530 i CVE-2017-8523 dotyczą odpowiednio wyciekania danych z Microsoft Edge, podatności Edge na atak typu XSS i przekierowanie użytkownika na stronę ze złośliwym kodem, oraz obejścia zabezpieczeń Same Origin Policy i nakłonienia użytkownika do załadowania strony ze złośliwą treścią.

Z tych luk, które nie były publicznie znane, można wspomnieć o CVE-2017-8527 – kolejnym bugu w bibliotece odpowiedzialnej za przetwarzanie fontów. Jak zwykle, złośliwy font, osadzony np. na stronie internetowej czy w dokumencie przesłanym załącznikiem, pozwoli na uruchomienie kodu. Inna ciekawostka to CVE-2017-0176, które pozwala na atak na serwer zdalnego pulpitu – jeśli ten ma włączoną obsługę uwierzytelniania Smart Cards. Nie obyło się bez luk w Windows OLE – CVE 2017-8487 to błąd w bibliotece olecnv32.dll, która nie sprawdza poprawności danych wejściowych i pozwala na zdalne uruchomienie w ten sposób kodu.

XP znów odporne na NSA

Na Technecie Microsoft wyjaśnia, że że to wyjątkowa sytuacja: użytkownicy systemów Windows XP, Windows Vista, Windows 8, Windows Server 2003 i Windows Server 2003 R2 otrzymują wyjątkowo łatki, mimo że systemy te oficjalnie nie są wspierane. Nie należy sądzić, że będzie to stała praktyka, Microsoft wciąż zaleca korzystanie z Windowsa 10. Biorąc jednak pod uwagę to, że łącznie z Windows XP i Windows 8 korzysta wciąż ponad 120 mln internautów, zabezpieczenie tych systemów jest kluczowe dla bezpieczeństwa samej Sieci… o ile komuś będzie się chciało ręcznie te łatki instalować.

I tak wydane poprawki zawierają wszystkie poprawki do błędów w Windowsie exploitowanych za pomocą cyberbroni ujawnionych przez Shadow Brokers, w tym EXPLODINGCAN, ENGLISHMANDENTIST oraz ESTEEMAUDIT – atakujących serwer IIS, Outlooka i Exchange oraz protokół zdalnego pulpitu.

A co tam panie w Adobe?

Jak zwykle Flash Player dostał swoje łatki wraz z oprogramowaniem Microsoftu. Tylko dziewięć krytycznych luk pozwalających na zdalne uruchomienie kodu. Błędy typu use after free i memory corruption, czyli też to co zwykle. Znalazła się też jedna krytyczna luka w Shockwave Playerze. Jeśli ktoś w czerwcu 2017 roku uparł się, by dalej używać Flasha… no cóż, nawet nam go specjanie nie żal.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.