Windows 10 i "Łatkowy Wtorek" września: 20 krytycznych dziur w produktach Microsoftu

Jak co miesiąc, Microsoft uraczył nas pakietem aktualizacji bezpieczeństwa do swoich produktów. W tym miesiącu jest dość solidnie. Rozwiązano 129 problemów w zabezpieczeniach, a dwadzieścia z nich to tzw. krytyczne luki umożliwiające zdalne wykonanie kodu. Są one rozsiane po wielu produktach i oczywiście część z nich znajduje się także w Windows 10, również tym najnowszym.

Poszukiwaczom luk wciąż nie brakuje pomysłów na nowe kierunki poszukiwań. Windows jest na tyle duży, że nawet zbiór samych jego powszechnie znanych elementów sumuje się na całkiem pokaźną listę. Dlatego, gdy badacze nie zajmują się akurat sterownikiem systemu logowania (choć również jest w nim dziura, to szukają ich w systemie plików NTFS. Skutecznie. Dotychczasowa wersja NTFS pozwalała na nadużycia w procedurze weryfikowania uprawnień. Błąd jest zapewne antyczny.

W sumie to nawet nie trzeba się rozglądać szczególnie mocno. Podsystem Microsoft Graphics Component regularnie co miesiąc dostarcza nam nowych przygód. Tym razem znajdowało się z nim aż 12 luk. Zestaw płócien, kodeków do obrazów i mechanizmów rysujących GDI był podatny w większości na wycieki informacji, ale było też kilka problemów cięższego kalibru. Chodzi tu przede wszystkim o CVE-2020-1285, czyli błąd z cyklu "wyświetl i płacz", gdzie samo otworzenie złośliwej treści kończy się wykonaniem złośliwego kodu i podniesieniem uprawnień. Większość pozostałych problemów w Graphics Component, jak nadużycia DirectX, odkryli Chińczycy.

Swoją porcję błędów i poprawek otrzymał wreszcie OneDrive. Chmurowy dysk Microsoftu, choć bardzo prosty w obsłudze, "pod maską" dokonuje dość skomplikowanych operacji korzystając z mało znanych cech systemu plików. Ale to nie one były odpowiedzialne za problemy. Tym razem zawiniła konsekwencja przerobienia aplikacji systemowej UWP na elektronopodobne, międzyplatformowe i ciężkie dziwadło, z własnym instalatorem. Zaimplementowanie własnego updatera zamiast skorzystania z tuzina systemowych opcji, poskutkowało możliwością nadpisania plików.

Błędy w OneDrive odkrył Zhiniang Peng. To bardzo zdolny ekspert, będący autorem około stu zgłoszeń zidentyfikowanych błędów w Windows. Ostatnimi czasy dość jednoznacznie krytykuje politykę "spychologii" w Redmond, polegającą na próbach uniknięcia wypłacania nagród...

Poza tym, Windows okazał się mieć kilkadziesiąt dziur umożliwiających podniesienie uprawnień z wykorzystaniem specjalnie przygotowanej aplikacji. Takie metody są chętnie wykorzystywane przez wirusy celem uruchomienia pełnodyskowego szyfrowania. W większości wymagają one uruchomienia dedykowanego EXE, celującego w podatne API, więc nie stanowią bezpośredniego zagrożenia. Ale w połączeniu z bardziej "bezdotykowymi" dziurami, mogą stać się niebezpieczne.

Wśród ciekawszych błędów Windows we wrześniu znajdują się między innymi wadliwy COM-serwer (CVE-2020-0922), dostępny z poziomu języków skryptowych, pozwalający na podniesienie uprawnień. Jeden złośliwy JavaScript na stronie i włamywacz dostaje prawa administratora. Stresująco brzmi także możliwość nadpisywania bazy kluczy kryptograficznych własną zawartością (CVE-2020-0782).

Zachęcająco wygląda też kiepsko zabezpieczony składnik COM klienckiej warstwy chmurowej Windows 10 (CVE-2020-1471). Można go męczyć tak długo aż zaoferuje on prawa administratora. Winny jest mechanizm RetailDemo, umożliwiający zakładanie kont na potrzeby... wystawek demonstracyjnych w sklepach.

Interesującą wzmianką są niewątpliwie dziury w mechanizmie DNS systemu Active Directory. Choć system DNS w Windows ostatnimi czasy nie miał szczęścia (dalej nie ma) i był źródłem bardzo poważnych błędów, obecne dotyczą tylko "wbudowanego DNS", czyli podzbioru funkcji przeznaczonego tylko do usługi katalogowej. Umożliwia on uwierzytelnionym użytkownikom (każdemu z wstępem do domeny) podniesienie sobie uprawnień do poziomu "Local System", czyli powyżej administratora. Podatności pozwalające na to, czyli CVE-2020-0718 i CVE-2020-0761, odkrył Dirk-jan Mollema.

Aktualizacje są już dostępne w Windows Update oraz WSUS. Pobiorą się i zainstalują automatycznie. Adresatami są wszystkie obsługiwane wersje Windows, czyli "od serwerowej Visty w górę". Oczywiście, systemy starsze od Windows 8.1 wymagają dodatkowej licencji na łatki.