Oto majowe łatki Microsoftu, wśród nich są dwie na luki już używane przez hakerów

Strona główna Aktualności

O autorze

Majowe aktualizacje bezpieczeństwa Microsoftu łatają przynajmniej 67 luk, głównie w Windowsie, pakiecie biurowym Office, przeglądarkach Edge oraz Internet Explorer, silniku Chakra Core i frameworku .NET. 21 z nich zostało uznane za krytyczne, 32 pozwalają na zdalne uruchomienie kodu, a dwie były aktywnie wykorzystywane przez cyberprzestępców do ataków w Internecie. Konieczna jest więc jak najszybsza aktualizacja systemu – dzięki odwrotnej inżynierii wydanych łatek już niebawem wszyscy zainteresowani będą wiedzieli, jak takie ataki przeprowadzać.

0-day i być może 0-day

Najważniejsza z łatek dotyczy CVE-2018-8174, luki odkrytej przez chińskich badaczy z firmy Qihoo 360. Faktycznie tkwiła ona w silniku VBScriptu będącym systemowym komponentem przeglądarki Internet Explorer i pozwalała na zdalne uruchomienie kodu osadzonego na stronie internetowej (przez kontrolkę ActiveX) lub w dokumencie Microsoft Office. Wykorzystano ją w zakrojonej na szeroką skalę kampanii cyberszpiegowskiej.

Druga ważna łatka na lukę 0-day to CVE-2018-8120. Występuje ona tylko w Windowsie 7 oraz Windows Serverze 2008, a wynika z niewłaściwej obsługi obiektów w pamięci przez sterownik win32k (najpopularniejsze chyba źródło luk w Windowsie, będące kolekcją samych głupich pomysłów). Tutaj udany exploit sterownika interfejsu użytkownika pozwala napastnikowi dostać uprawnienia kernela.

Przed wydaniem majowych łatek publicznie znane były też luki CVE-2018-8141 oraz CVE-2018-8170, jednak Microsoft twierdzi, że nie były one wykorzystywane w atakach. Pierwsza z nich prowadzi do wycieków wrażliwych danych z kernela, druga wykorzystuje błąd w przetwarzaniu obrazu kernela, pozwalając na uzyskanie przez aplikację uprawnień administracyjnych – tym razem także w Windowsie 10.

Kto chce uciec z maszyny wirtualnej?

Co jeszcze ciekawego wśród luk? Naszą uwagę zwróciły dwa błędy w Hyper-V, CVE-2018-0959 oraz CVE-2018-0961. To prawdziwy koszmar administratorów – użytkownicy mogą w swoich maszynach wirtualnych uruchomić kod, który pozwoli przejąć kontrolę nad hostem i innymi maszynami wirtualnymi.

Interesująca jest też CVE-2018-8153 w serwerze poczty Exchange. Pozwala ona na wykorzystanie interfejsu Outlook Web Access do przekierowania nieświadomych internautów na strony phishingowe, wykradające ich loginy i hasła. Microsoft uznał to jednak za zagrożenie niskiej rangi, ponieważ wymagana jest interakcja z użytkownikiem.

RCE, raz rangi krytycznej, a raz niskiej

Druga ciekawa, a niskiej rangi luka to CVE-2018-8136. Zdalne wykonanie kodu i tylko niska ranga? No cóż, tutaj użytkownik musi być zalogowany do domeny. Pochwalić więc należy Microsoft, że chciało mu się tę lukę załatać.

Dziwne jest też CVE-2018-8115, zdalne uruchomienie kodu w bibliotece Windows Host Compute Service Shim (hcsshim). Microsoft wydał do niej łatkę tydzień temu, poza normalnym cyklem, udostępniając ją na GitHubie. Zagrożenie uznano za krytyczne, mimo że nie ma exploitów an

Mamy też już przedsmak problemów, jakie przyjdą z napędzanym oprogramowaniem Microsoftu Internetem Rzeczy. CVE-2018-8119 dotyczy Azure IoT SDK – błąd w przetwarzaniu certyfikatów bezpieczeństwa po protokole AQMP. Napastnik, który jest w stanie przeprowadzić atak man-in-the-middle, jest w stanie podszyć się pod serwer i przejąć dane z sensorów IoT.

Mamy też wśród łatek dla Windowsa łatkę dla dopiero co załatanego Flash Playera (ADV180008). Zignorować jej nie można – pomieszanie typów pozwoliło na zdalne uruchomienie kodu, a przecież wciąż flashowe obiekty napotykamy tu i ówdzie w sieci.

Na koniec należy wspomnieć, że wydane łatki już mają swoje problemy. Zainstalowanie ich na Windowsie 10 wersja 1607 może utrudnić późniejszą aktualizację systemu. Na Windowsie 10 wersja 1709 przy ustawionych innych językach niż angielski mogą pojawiać się komunikaty po angielsku. Z kolei Windows 7 SP1 i Windows Server 2008 R2 mogą zaliczyć niebieski ekran śmierci, jeśli działają na starych komputerach, nie wspierających rozkazów procesora SSE2. Zasadniczo jednak to drobiazgi, można założyć, że łatanie systemu nie powinno wiązać się w tym miesiącu z poważniejszymi kłopotami.

© dobreprogramy