Łatkowy Wtorek października: przejęcie UEFI, ucieczka z Hyper-V i błąd w IPv6 Strona główna Aktualności14.10.2020 01:10 Łatkowy wtorek października (fot. Andrew Martin, Pixabay) Udostępnij: O autorze Kamil J. Dudek @wielkipiec Na regularne tematy zazwyczaj trudno pisać coś ciekawego lub odkrywczego. Windows Update okazuje się łamać tę konwencję i co miesiąc dostarczać nowości na tyle "innowacyjnych", że trudno o nudę. Dostarcza to oczywiście mniej radości, gdy przychodzi przygotowywać w związku z tym nowe obrazy instalacyjne (zapewniam). Na ile jest to pilne tym razem? Mniej, niż poprzednio. Ale to trudny rachunek. Gdy Microsoft wydał sierpniowe łatki bezpieczeństwa, bardzo poważna luka w NETLOGON była opisana tak okrężnie, że świat wpadł w związku z nią w popłoch dopiero miesiąc później, gdy udostępniono gotowe exploity. Łatwo więc o przeoczenia, w tym z powodów "psychologicznych", więc aktualizacje krytyczne najlepiej pobierać i instalować tak szybko, jak to tylko możliwe. Co tym razem? Łatek październikowych jest cała góra, z czego spora część dotyczy nieupoważnionego zdobycia wyższych uprawnień wskutek uruchomienia złośliwego kodu. Jest jednak kilka wyróżniających się punktów programu, w kwestiach technicznych (pisanie po UEFI) lub ze względu na powagę problemu (wykonanie kodu wskutek wyświetlenia dokumentu, CVE-2020-16911). UEFI Z perspektywy technicznej, błędem o najciekawszych implikacjach jest dziurawa ochrona EFIVARS, CVE-2020-16910. Pozwala on na pisanie po obszarze chronionym UEFI i dotyczy tylko Windows 10. Jest obecnie zagrożeniem teoretycznym, wymaga sporych przygotowań wstępnych, i samodzielnie będzie trudny do wykorzystania, wspomagając raczej (również teoretyczne) inne ataki wymierzone w UEFI. Tych z czasem będzie coraz więcej. Shit, I think this patch Tuesday might have patched one of the RDP 0days I've been sitting on.— MalwareTech (@MalwareTechBlog) October 13, 2020 Hyper-V Drugą ciekawostką jest ucieczka z hipernadzorcy: to groźna kategoria ataków pozwalająca na takim nadużyciu maszyny wirtualnej, by operator wirtualizacji wykonał kod na komputerze-hoście. Maszyny wirtualne bywają uznawane za mechanizmy separacji zabezpieczeń. Możliwość oszukania Hyper-V (CVE-2020-16891) i wołania kodu na serwerze to poważna sprawa. Problem dotyczy wszystkich wersji Windows, w tym jakimś cudem Windows 7. Czyżby chodziło o składnik Virtual PC? IPv6 Rzeczą mniej ciekawą, ale o wiele poważniejszą, jest CVE-2020-16898. To poważny błąd w implementacji IPv6, a dokładniej standardu RFC 6106 (DNS via Router Advertisement). Wskutek wysłania odpowiednio przygotowanego pakietu TCP, możliwe jest wykonanie kodu na maszynie, z uprawnieniami stosu sieciowego (a więc wysoko). Przed atakiem nie chroni zapora. Konieczne jest wyłączenie obsługi "RA Based DNS Config" lub IPv6 w całości. Problem dotyczy Windows 10 w wersji 1709 i nowszych. Office Październik 2020 to także ostatni raz, gdy aktualizacje otrzymuje Office 2010. Na pożegnanie było ich 5. Jedna z nich, CVE-2020-16933, dotyczy problemów logicznych związanych z obsługą plików LNK. Pozostałe należą do kategorii "wykonanie kodu wskutek otwarcia dokumentu, nawet bez makr" i chodzi w nich o składnik Microsoft Graph. Microsoft Graph to program z ubiegłej epoki (fot. Kamil Dudek) Wydawałoby się zatem, że to antyczne składniki Office'a wywołują problemy. Jet, ODBC, LNK, EQNEDT, Graph... Czyżby lekarstwem była aktualizacja do najnowszej wersji? Niekoniecznie. CVE-2020-16947 pozwala przejąć kontrolę nad komputerem z Outlookiem przy użyciu złośliwego maila. Wystarczy podgląd/powiadomienie. Nie ma ucieczki od błędów w oprogramowaniu, jak zwykle. Oprogramowanie Bezpieczeństwo IT.Pro Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Windows 10: nowa aktualizacja powinna pomóc w instalacji innych 23 kwi 2020 Oskar Ziomek Oprogramowanie 70 Majowa aktualizacja Windows 10 za pasem: wersja RTM dostępna dla wszystkich testerów 17 kwi 2020 Oskar Ziomek Oprogramowanie 214 Nowa aktualizacja Windows 10 wskrzesi Twój stary dysk twardy 28 kwi 2020 Jakub Krawczyński Oprogramowanie 142 Majowa aktualizacja Windows 10 opóźniona – Microsoft łata lukę bezpieczeństwa 5 maj 2020 Oskar Ziomek Oprogramowanie Bezpieczeństwo 47
Udostępnij: O autorze Kamil J. Dudek @wielkipiec Na regularne tematy zazwyczaj trudno pisać coś ciekawego lub odkrywczego. Windows Update okazuje się łamać tę konwencję i co miesiąc dostarczać nowości na tyle "innowacyjnych", że trudno o nudę. Dostarcza to oczywiście mniej radości, gdy przychodzi przygotowywać w związku z tym nowe obrazy instalacyjne (zapewniam). Na ile jest to pilne tym razem? Mniej, niż poprzednio. Ale to trudny rachunek. Gdy Microsoft wydał sierpniowe łatki bezpieczeństwa, bardzo poważna luka w NETLOGON była opisana tak okrężnie, że świat wpadł w związku z nią w popłoch dopiero miesiąc później, gdy udostępniono gotowe exploity. Łatwo więc o przeoczenia, w tym z powodów "psychologicznych", więc aktualizacje krytyczne najlepiej pobierać i instalować tak szybko, jak to tylko możliwe. Co tym razem? Łatek październikowych jest cała góra, z czego spora część dotyczy nieupoważnionego zdobycia wyższych uprawnień wskutek uruchomienia złośliwego kodu. Jest jednak kilka wyróżniających się punktów programu, w kwestiach technicznych (pisanie po UEFI) lub ze względu na powagę problemu (wykonanie kodu wskutek wyświetlenia dokumentu, CVE-2020-16911). UEFI Z perspektywy technicznej, błędem o najciekawszych implikacjach jest dziurawa ochrona EFIVARS, CVE-2020-16910. Pozwala on na pisanie po obszarze chronionym UEFI i dotyczy tylko Windows 10. Jest obecnie zagrożeniem teoretycznym, wymaga sporych przygotowań wstępnych, i samodzielnie będzie trudny do wykorzystania, wspomagając raczej (również teoretyczne) inne ataki wymierzone w UEFI. Tych z czasem będzie coraz więcej. Shit, I think this patch Tuesday might have patched one of the RDP 0days I've been sitting on.— MalwareTech (@MalwareTechBlog) October 13, 2020 Hyper-V Drugą ciekawostką jest ucieczka z hipernadzorcy: to groźna kategoria ataków pozwalająca na takim nadużyciu maszyny wirtualnej, by operator wirtualizacji wykonał kod na komputerze-hoście. Maszyny wirtualne bywają uznawane za mechanizmy separacji zabezpieczeń. Możliwość oszukania Hyper-V (CVE-2020-16891) i wołania kodu na serwerze to poważna sprawa. Problem dotyczy wszystkich wersji Windows, w tym jakimś cudem Windows 7. Czyżby chodziło o składnik Virtual PC? IPv6 Rzeczą mniej ciekawą, ale o wiele poważniejszą, jest CVE-2020-16898. To poważny błąd w implementacji IPv6, a dokładniej standardu RFC 6106 (DNS via Router Advertisement). Wskutek wysłania odpowiednio przygotowanego pakietu TCP, możliwe jest wykonanie kodu na maszynie, z uprawnieniami stosu sieciowego (a więc wysoko). Przed atakiem nie chroni zapora. Konieczne jest wyłączenie obsługi "RA Based DNS Config" lub IPv6 w całości. Problem dotyczy Windows 10 w wersji 1709 i nowszych. Office Październik 2020 to także ostatni raz, gdy aktualizacje otrzymuje Office 2010. Na pożegnanie było ich 5. Jedna z nich, CVE-2020-16933, dotyczy problemów logicznych związanych z obsługą plików LNK. Pozostałe należą do kategorii "wykonanie kodu wskutek otwarcia dokumentu, nawet bez makr" i chodzi w nich o składnik Microsoft Graph. Microsoft Graph to program z ubiegłej epoki (fot. Kamil Dudek) Wydawałoby się zatem, że to antyczne składniki Office'a wywołują problemy. Jet, ODBC, LNK, EQNEDT, Graph... Czyżby lekarstwem była aktualizacja do najnowszej wersji? Niekoniecznie. CVE-2020-16947 pozwala przejąć kontrolę nad komputerem z Outlookiem przy użyciu złośliwego maila. Wystarczy podgląd/powiadomienie. Nie ma ucieczki od błędów w oprogramowaniu, jak zwykle. Oprogramowanie Bezpieczeństwo IT.Pro Udostępnij: © dobreprogramy Zgłoś błąd w publikacji