Grudniowe biuletyny bezpieczeństwa Microsoftu: 75 podatności i wyciek prywatnych kluczy

Znów za nami drugi wtorek miesiąca, znów Microsoft wydał swojebiuletyny bezpieczeństwa, mające ochronić maszyny z Windows przednajnowszymi zagrożeniami. Tym razem dostaliśmy ich tuzin, łącznieobejmujących 75 luk – i znów na pierwszym planie są problemy zprzeglądarkami z Redmond. To jednak nie wszystko. Mówi się oprzykrej wpadce firmowego działu bezpieczeństwa, któregopracownicy zaoferowali hakerom fajny prezent, tj. klucze prywatne docertyfikatu SSL/TLS dla domeny xboxlive.com.

Przyjrzyjmy się jednak tym łatkom po kolei. MS15-124to biuletyn zbiorczych łatek, eliminujących liczne, krytyczne lukiw Internet Explorerze w wersjach od 7 do 11, pozwalające na zdalneuruchomienie wrogiego kodu z uprawnieniami zalogowanego użytkownika.Zbyt wiele informacji nie ujawniono, wiemy jedynie, że chodziło oobsługę obiektów w pamięci przez IE i silnik VBScriptu,niewłaściwe zachowanie filtru XSS, błędy w przetwarzaniu typówtreści i polityk międzydomenowych.

Co ciekawe, tym razem Microsoft Edge miało więcej luk niżInternet Explorer. Również krytyczny biuletyn MS15-125,oprócz łatek pokrywających się z tymi, które dostał IE,eliminuje też podatność pozwalającą na obejście randomizacjiprzestrzeni adresowej (ASLR), błędy w parsowaniu odpowiedzi HTTPoraz dodaje walidację uprawnień do przeglądarki.

Nowe luki znaleziono też w silniku VBScriptu – ale dotyczą onejuż tylko Visty i Windows Servera 2008. Biuletyn MS15-126mówi o możliwości zdalnego wykonania kodu przez spreparowanewitryny, exploitujące podatności Internet Explorera, albo osadzaniukontrolek ActiveX w dokumentach Microsoft Office, którewykorzystywałyby silnik renderujący przeglądarki.

Kolejna luka dotyczy tylko Windows Servera, w tym najnowszego 2012R2. Jeśli ktoś znalazł upodobanie w trzymaniu usługi DNS naoprogramowaniu Microsoftu, to powinien szybko zainstalować krytycznybiuletyn MS15-127,pozwalający na zdalne uruchomienie na serwerze złośliwego kodu.Serwerowi jest wysyłana po prostu odpowiednio spreparowane żądanierozwiązania adresu domenowego, wykorzystujące podatność typu useafter free. Zaatakowany serwer uruchomi kod z uprawnieniami lokalnegoużytkownika.

Dla domowych użytkowników Windowsa znacznie bardziejinteresująco wygląda biuletyn MS15-128.Oczywiście krytyczny, a przy tym dotyczący ogromnie popularnegooprogramowania. Luka pozwalająca na zdalne uruchamianie kodu tkwiław błędnej obsłudze fontów webowych przez systemową bibliotekę.Wystarczyło więc zwabić użytkownika na stronę zawierającązłośliwe fonty, by zaatakować w ten sposób zarówno wszystkiewspierane obecnie wersje Windows, jak i wszystkie wspierane wersje.NET Frameworka, biznesowe komunikatory Lync 2010, 2013 i Skype forBusiness 2016, a także Microsoft Office 2007 i 2010 i odtwarzaczuSilverlight.

Jeszcze nie macie dosyć? Biuletyn MS-129dotyczy już tylko Silverlighta. Odpowiednio spreparowana aplikacjawebowa mogła poprzez załataną właśnie lukę uruchomić zdalniekod, a także naruszyć uprawnienia dostępu do odczytu i zapisu wlokalnym systemie plików. Problem dotyczył parsowania adresówinternetowych i zachowania spójności pamięci przy randomizacji jejprzestrzeni adresowej (ASLR). Niejako potwierdziła się przy tymwieloplatformowość Silverlighta – atak działał też na Maku.

Biuletyn MS15-128 nie wyczerpał wszystkich problemów z fontami.Otóż dla Windows 7 i Windows Servera 2008 dostaliśmy krytycznybiuletyn MS15-130,który rozwiązuje problem w interfejsach programowania Uniscribe,wykorzystywanych do zaawansowanej kontroli typograficznej. Błądparsowania pozwalał napastnikowi nie tylko na uruchamianie własnegokodu, ale też na przeglądanie i modyfikowanie danych w systemie czytworzenie nowych kont użytkownika z pełnymi uprawnieniami.

Niewiele jest podobnie potencjalnie groźnych formatów danych, codokumenty Microsoft Office – chyba tylko PDF może z nimikonkurować. Krytyczny biuletyn MS15-131dotyczy właśnie ich. Błędy w obsłudze obiektów w pamięcipozwalały na zdalne wykonanie kodu przemyconego w spreparowanychdokumentach Worda i Excela, zagrożone są tu nawet najnowsze wersjeOffice (w tym 2016), nie tylko na Windowsa, ale też na Maka. Nawetzwykły Microsoft Excel Viewer jest tu dobrą powierzchnią ataku.Wygląda na to, że ataki wykorzystujące tę lukę już trwają.

Niestety na tym nie koniec. Cztery kolejne, już niekrytycznebiuletyny dotyczą zagrożeń oznaczonych już tylko jako poważne(MS15-132, MS15-133, MS15-134, i MS15-135). Dotyczą przetwarzaniadanych na wejściu przez załadowaniem bibliotek systemowych, błęduw protokole Windows Pragmatic General Multicast, pozwalającego napodwyższenie uprawnień, niewłaściwego parsowania linków przezWindows Media Center (nie ma lekko, plik .mcl też może zawieraćzłośliwe oprogramowanie) oraz błędów w kernelu NT pozwalającychna podwyższenie uprawnień i ataki DoS. Niestety wiadomo już, żeMS-135 jest aktywnie wykorzystywane w atakach.

Wspomnieć należy też o poradzie 3123040,według której doszło do niechcącego ujawnienia kluczy prywatnychdla certyfikatu dla domeny *.xboxlive.com. Mogły być onewykorzystane do ataków typu man-in-the-middle. Certyfikat zostałjuż unieważniony, firma z Redmond aktualizuje listę zaufanychcertyfikatów we wszystkich systemach z rodziny Windows, byzlikwidować zagrożenie.

Nie ma co się jednak specjalnie obrażać na Microsoft. Chwilęwcześniej swoje zestawyłatek dla Flash Playera wydało Adobe. Łatają one niebagatelne75 luk pozwalających na zdalne wykonanie kodu i trzy pozwalające naobejście zabezpieczeń systemowych. Widać tu, że Flash jestprawdziwie multiplatformowy. Lukami cieszyć się mogli nie tylkoużytkownicy „okienek”, ale też Maka, Linuksa i Androida, obecnebyły nie tylko we Flashu, ale też w Adobe AIR i AIR SDK. Producent Flasha ma na swoje usprawiedliwienie chyba tylko to, że w przeciwieństwie do Microsoftu, nie opowiada, że w nieautoryzowanych kopiach jego oprogramowania kryje się złośliwe oprogramowanie. Po grudniowym cyklu łatek widać, że Windows, Flash i Java wciąż są zakałami cyberbezpieczeństwa, jednak to tylko wtyczki Flasha i Javy chce się przecież wysłać na emeryturę.