Drugi wtorek miesiąca: zdalny atak na gogle HoloLens, Edge dziurawe jak zwykle

Lipcowe wydanie poprawek dla oprogramowania Microsoftu obejmuje 54podatności, znalezione w Windowsie, Internet Explorerze, Edge,Office, frameworku .NET, Exchange, SharePoincie oraz… HoloLens.Tak, gogle rozszerzonej rzeczywistości Microsoftu okazały siępodatne na zdalne uruchomienie kodu – wysyłając im odpowiedniospreparowane pakiety radiowe, można było przejąć kontrolę nadurządzeniem. Ghost in the Shell coraz bliżej?

Z tych 54 luk łącznie aż 19 okazało się krytycznych. Firma zRedmond zapewnia, że żadna nie była wykorzystywana do ataków,mimo że jedna, CVE-2017-8584,dotycząca właśnie gogli HoloLens, była znana już wcześniej. Toakurat specjalnie nie dziwi, HoloLens to raczej rzadko spotykaneurządzenie. Biorąc jednak pod uwagę potencjalne militarnezastosowania HoloLens, zakładamy że badacze będą się terazim uważniej przyglądali.

Przyjrzyjmy się kolejnym ciekawym lukom. CVE-2017-8463to błąd w Eksploratorze Windows, który niewłaściwie obsługujepliki wykonywalne i zasoby podczas operacji zmiany nazwy. Tutajzdalne uruchomienie kodu wymaga od napastnika nieco sprytu: napastnikmusi wpierw udostępnić folder i szkodnika z uruchamialnymrozszerzeniem, a następnie przekonać ofiarę, że szkodnik jestfolderem – np. podmieniając jego ikonę. Dustin Childs z Zero DayInitative przekonany jest, że luka ta znajdzie już niebawemzastosowanie w kampaniach phishingowych i atakach ransomware, tymbardziej że występuje we wszystkich wersjach Windowsa.

Kolejna ciekawa luka, CVE-2017-8589,dotyczy usługi zdalnego wyszukiwania (Windows Search Remote),pozwalającej użytkownikom przeszukiwać zasoby wielu pecetów w tymsamym czasie. Wysłanie odpowiednio spreparowanej wiadomości doWindows Search pozwala przejąć kontrolę nad zaatakowanym systemem.W sieciach firmowych można nawet zrobić to zdalnie, bezuwierzytelnienia, aktywując podatność po protokole SMB. Trzebajednak podkreślić, że sama ta podatność z SMB nic wspólnego niema.

Jak zwykle sporo luk znaleziono w przeglądarkach Microsoftu.Wiele z nich odkryte było jeszcze za czasów ostatniego konkursuPwn2Own. Zdalne uruchomienie kodu w Edge lub Internet Explorerzeoferują nam więc CVE-2017-8594, CVE-2017-8595, CVE-2017-8596,CVE-2017-8617, CVE-2017-8598, CVE-2017-8601, CVE-2017-8603,CVE-2017-8604, CVE-2017-8605, CVE-2017-8606, CVE-2017-8607,CVE-2017-8608, CVE-2017-8609, CVE-2017-8610, CVE-2017-8618 orazCVE-2017-8619. Właściwie nie ma co tu komentować – większośćz tych ataków można przeprowadzić poprzez odpowiednio spreparowanestrony internetowe. Może mający takie problemy ze swoim kodemMicrosoft powinien wziąć się za przepisanie Edge w stworzonymprzez Mozillę języku Rust?

Kilka ciekawych luk występuje wśród tych oznaczonych jakoważne. CVE-2017-8590 pozwala lokalnemu procesowi na uzyskanieuprawnień administracyjnych poprzez błąd w sterowniku WindowsCommon Log File System. Podobnie też uprawnienia administracyjnemożna zdobyć (luka CVE-2017-8563) zmuszając Kerberosa dowykorzystania protokołu uwierzytelniania NTLM. Możliwe jest teżzdalne uruchomienie kodu przez PowerShella (CVE-2017-8565) orazstareńkiego WordPada (CVE-2017-8588).

Odkrycie wielu z tych błędów nie byłoby możliwe bez pracyniezależnych badaczy. Microsoft przedstawił długą listępodziękowań ekspertom z Google Project Zero, Zero DayInitiative firmy Trend Micro i wielu innym – to dzięki nimWindowsy mogą być bezpieczniejsze.

Tymczasem lipcowy biuletyn Adobe był najkrótszy w ostatnichczasach. Trzy luki we Flash Playerze i trzy w narzędziu AdobeConnect for Windows. Nie oznacza to oczywiście, że komukolwiekpolecamy korzystanie z Flasha, wręcz przeciwnie.