Maj 2017 – IE i Office atakowane przez złośliwe strony i obrazki EPS

Biuletynów bezpieczeństwa Microsoftu jużnie ma, zorientowanie się w tym, co firma z Redmond naprawiła izałatała w danym miesiącu stało się znacznie trudniejsze: portalSecurity Updates Guide na pewno nam tego nie ułatwi. Jak jednak wkażdy drugi wtorek miesiąca poprawki zostały wydane, przynoszącnie tylko załatanie tej groźnejluki w silniku antywirusowym, ale jeszcze 54 inne łatki, w tym14 dla luk, które określono jako krytyczne.

W ostatnim miesiącu cyberprzestępcy aktywnie wykorzystywali trzyz załatanych właśnie luk. CVE-2017-0222w Internet Explorerze 10 i 11 dotyczy niewłaściwej obsługiobiektów w pamięci i pozwala na uruchomienie kodu poprzezspreparowane strony internetowe. CVE-2017-0261w Microsoft Office 2010, 2013 i 2016 to błąd w parserze formatugrafiki wektorowej EPS, który pozwala na uzłośliwienie dokumentuOffice poprzez osadzenie w nim spreparowanego obrazka i zdalneuruchomienie kodu. Cały ten kod działa oczywiście z uprawnieniamizalogowanego użytkownika, ale nie szkodzi, jeśli potrzebne sąuprawnienia administratora, to można skorzystać z CVE-2017-0263,które poprzez bbłąd w sterowniku działającym w trybie kernelapozwala na podniesienie uprawnień.

Opisywana przez nas wcześniej podatność CVE-2017-0290w silniku antywirusowym Microsoft Malware Protection Engine,domyślnie przecież włączonym w Windowsie 8.1 i 10 iwykorzystywanym w licznych produktach, pozwalała przejąć systempoprzez samo przeskanowanie podejrzanego pliku. Nie ma to jakuruchamiać malware przez silniki antywirusowe – na pociechę możnapowiedzieć tylko tyle, że nie ma dowodów na to, by tę dopiero coodkrytą przez Travisa Ormandy’ego z Google Project Zero lukęwcześniej wykorzystywano. Upewnijcie się w każdym razie, żezaktualizowaliście silnik antywirusowy Microsoftu do wersji1.1.10701.0, bo bez tego może być w następnych tygodniachnieciekawie.

Pozostałe krytyczne błędy dotyczą przeglądarek Edge iInternet Explorer, jak zwykle chodzi o zdalne uruchamianie kodupoprzez luki CVE-2017-0221, CVE-2017-0229, CVE-2017-0224,CVE-2017-0227, CVE-2017-0228, CVE-2017-0235, CVE-2017-0236,CVE-2017-0240 oraz CVE-2017-0266 – wystarczy uzłośliwiona stronainternetowa. To samo dotyczy użytkowników Microsoft Office, którymwystarczy uzłośliwiony dokument – załatano więc lukiCVE-2017-0281, CVE-2017-0265, CVE-2017-0264 oraz CVE-2017-0262.

To jeszcze nie koniec, nie mogło się obyć bez zestawukrytycznych luk w protokole SMB. Załatano więc luki CVE-2017-0272,CVE-2017-0279, CVE-2017-0278 oraz CVE-2017-0277. Na szczęścieodkryte podatności dotyczą one tylko starej wersji protokołu(SMBv1), ale z drugiej strony jest on wciąż domyślnie włączony wkażdym Windowsie od „siódemki” po Windows Server 2016. Gdymetodami odwrotnej inżynierii luki te uda się odtworzyć, zapewnetrafią do arsenału narzędzi służących do włamań naniezaktualizowane systemy.

Ostatnia krytyczna poprawka w tym miesiącu dotyczy .NETFrameworka i .NET Core. Luka CVE-2017-0248pozwalała na wykorzystanie nieważnych do danych zastosowańcertyfikatów SSL.

Tyle, jeśli chodzi o Microsoft i krytyczne zagrożenia, ale niemożna zapomnieć o Adobe Systems i tym wszystkim co robione jest, byFlash Player nie był aż tak groźny. W tym miesiącu jestzaskakująco – jak na Flasha – spokojnie. Tylkosiedem krytycznych luk, z których żadna nie była exploitowana. Microsoft poprawki te wydaje do wbudowanego komponentu Flash poprzezwłasny mechanizm, użytkownicy innych przeglądarek muszą czekaćna aktualizację poprzez ich kanały.

Z pozostałymi lukami, które zabezpieczono w maju 2017 rokumożecie zapoznać się… nie, wcale nie przez Security UpdatesGuide. Google Project Zero ułatwił wszystkim życie, publikująctabelę– zestawienie wszystkich wydanych przez Microsoft poprawek, wraz zich krótkim opisem i klasyfikacją.