reklama

Grudniowe łatki Microsoftu – Edge i Explorer dziurawe jak ser szwajcarski

Strona główna Aktualności

O autorze

Hodowca maszyn wirtualnych i psów, poza tym stary linuksiarz, bonvivant i śmieszek. W 2012 roku napisał na DP o algorytmie haszowania Keccak i wciąż pamięta, jak on działa.

Kolejny drugi wtorek miesiąca za nami – aktualizacje Windowsa czas zacząć. A tak naprawdę to czas zacząć aktualizacje przeglądarek Microsoftu, ponieważ samo Windows okazało się w grudniu wyjątkowo mało dziurawe, podczas gdy Edge i Internet Explorer były nafaszerowane lukami. Specjalnie nie ma się jednak czym przejmować, żadna z nich nie była aktywnie atakowana.

W grudniu Microsoft wydał łącznie zaledwie 32 łatki, przeznaczone dla Internet Explorera, Edge, Windowsa, Office, SharePointa i Exchange. 20 z nich oznaczono jako krytyczne, 12 jako poważne. Jeśli chodzi o Windowsa, to niczego krytycznego tu nie było: dwie łatki trafiły do „siódemki”, dwie do Windows 8.1, a wszystkie wspierane obecnie odmiany Windowsa 10 dostały łącznie trzy poprawki.

Przyjrzyjmy się bliżej najciekawszym z załatanych luk:

CVE-2017-11927 to powrót do starych, niedobrych czasów Internet Explorera i plików skompresowanej pomocy CHM. Ten błąd w Windowsie może być wykorzystany przez napastnika do wydobycia z systemu skrótu hasła do protokołu NTLM, wykorzystywanego przy logowaniu się do sieci lokalnej. Mając niewielki klaster GPU pod ręką taki kryptograficzny skrót, łatwo z niego odtworzyć hasło użytkownika. Trzeba go jednak wpierw zachęcić do odwiedzenia strony, na której znajdzie się link do zasobu serwowanego przez ITS (InfoTech Storage Format).

Co to jest ITS? To taki archaiczny format przechowywania danych w plikach skompresowanej pomocy, który używa takich uchwytów jak ms-its, ms-itss oraz mk:@MSITStore, by uzyskać dostęp do zawartych w nich komponentów. Jak wyjaśnia Dustin Childs z Trend Micro Zero Day Initative, w teorii nie powinien on pozwalać na dostęp do zasobów poza lokalną strefą – dzięki łatce wydanej w 2005 roku – ale najwyraźniej udało się to obejść, prowadząc do sytuacji, w której zdalne zasoby mogą pozyskać wrażliwe dane.

CVE-2017-11899 to kolejna luka w mechanizmie Device Guard, mająca najwyraźniej wiele wspólnego z luką załataną w listopadzie. Chodzi o możliwość niepoprawnego zwalidowania niezaufanego pliku, tj. przedstawienie systemowi niepodpisanego pliku jako podpisanego. Otwiera to drogę do uruchomienia niezaufanych plików, ponieważ Device Guard ocenia zaufanie właśnie po podpisie. Dustin Childs podkreśla, że to dokładnie taka luka, na jakiej zależy autorom malware, pozwala bowiem dostarczyc do ofiary exploit rozpoznawany jako zaufany plik.

Uwagę ekspertów przykuł też CVE-2017-11885. To możliwość zdalnego uruchamiania kodu na systemach, na których działa usługa Routing and Remote Access (RRAS). Gill Langston z Qualysa przypomina, że w ogóle ta usługa nie powinna działać na systemach, które jej nie potrzebują, a te, które z niej korzystają powinny być niezwłocznie załatane.

Całego newsa poświęciliśmy lukom, które zostały załatane poza normalnym cyklem – CVE-2017-11937 i CVE-2017-11940. Przypomnijmy, że silnik antywirusowy Microsoft Malware Protection Engine po napotkaniu w trakcie skanowania odpowiednio spreparowanego pliku zawieszał się, uruchamiając z uprawnieniami systemu obcy kod. Mamy nadzieję, że wszyscy już korzystacie z tych łatek, bo pojawiły się sygnały o pierwszych próbach exploitowania tych podatności.

Dobrze, a teraz czas na chłopców do bicia, tj. przeglądarki firmy Microsoft. Dobrze, że Microsoft nie publikuje już zbiorczych biuletynów bezpieczeństwa, bo taki zbiorczy biuletyn wyglądałby fatalnie. Rozsiane na liście jest łącznie 19 krytycznych luk w Edge i Explorerze, opisanych jako podatności w silniku skryptowym wynikające z uszkodzenia pamięci. Ze względu na rolę tych wbudowanych w Windowsa przeglądarek, nawet osoby korzystające z Chrome czy Firefoksa powinny zadbać, by IE czy Edge załatane zostały.

Na koniec trzeba wspomnieć o trzech wydanych dokumentach doradczych Microsoftu. Pierwszy pozwala wyłączyć mechanizm DDE w Microsoft Wordzie, chroniąc w ten sposób przed coraz popularniejszym malware korzystającym z tego wektora ataku. Drugi wprowadza zmiany zwiększające bezpieczeństwo serwera Exchange. Trzeci przynosi skromną grudniową łatkę Adobe do komponentu Flash w Internet Explorerze. Czemu skromną? Adobe tym razem znalazło tylko jedną podatność, pozwalającą zdalnie zresetować plik globalnych ustawień.

© dobreprogramy
reklama

Komentarze

reklama