r   e   k   l   a   m   a
r   e   k   l   a   m   a

Windows dziurawy bardziej niż zwykle, w marcu samo Edge ma 32 łatki

Strona główna AktualnościBEZPIECZEŃSTWO

Microsoft w ostatnich miesiącach bardzo się stara, by jego partnerzy i klienci odnieśli wrażenie, że w dziedzinie strategii bezpieczeństwa w Redmond panuje bałagan. Zapowiadane zaniechanie wydawania poprawek bezpieczeństwa w postaci biuletynów nie doszło do skutku. W drugi wtorek marca, miesiąc po niewydaniu lutowych poprawek, spodziewaliśmy się obiecywanej od jesieni przeszukiwalnej bazy danych, Security Updates Guide. Nic z tego. Znów tradycyjne biuletyny – i to aż 18, z czego dziewięć uznanych za krytyczne. I tak, wiele w tym luk, które były już wykorzystywane, mimo że Microsoft utrzymuje inaczej.

Przegląd zaczynamy tradycyjnie od biuletynów oznaczonych jako krytyczne. Niektóre z nich łatają bezprecedensową liczbę luk. Chyba za wcześnie pochwaliliśmy Microsoft, że robi lepszą robotę niż Adobe. Nie, obie firmy mogą sobie znów podać ręce, może jeszcze zaprosić do tego kolegów z Oracle.

Wyrozumiali hakerzy nie nadużywają luk 0-day?

MS17-006 to biuletyn dla Internet Explorera, który łata 12 luk. Mamy tu więc błędy w silniku skryptowym pozwalające na zdalne uruchamianie kodu, do tego błędy w obsłudze obiektów w pamięci pozwalające na wycieki informacji, niepoprawne parsowanie adresów HTTP, luki pozwalające na podwyższenie uprawnień… czyli w sumie normalnie. Interesujące jest to, że mimo wcześniejszego publicznego ujawnienia wielu tych luk, Microsoft utrzymuje, że niemal żadna nie była exploitowana. Jedynie CVE-2017-0149, pozwalająca na zdalne uruchomienie kodu przez uszkodzenie pamięci została oznaczona jako 0-day.

r   e   k   l   a   m   a

Co to jest 12 luk? Microsoft Edge, załatane w biuletynie MS17-007, miało 32 luki, z czego sześć było już publicznie znanych przed załataniem. I tym razem hakerzy mieli dobre serca, nie zdecydowali się zdaniem Microsoftu luk tych wykorzystać w swoich atakach, mimo że mamy tu całą paletę atrakcji – błędy w parsowaniu HTTP pozwalające na phishing, wycieki informacji, a nawet uszkodzenia pamięci pozwalające na zdalne uruchomienie kodu.

Robi wrażenie też lista błędów, które były nieujawnione i niewykorzystywane w atakach – 18 (sic!) luk w silniku skryptowym, błąd w silniku PDF, trzy błędy pozwalające na obejście zabezpieczeń Edge, jedno uszkodzenie pamięci, cztery luki pozwalające na wyciek danych.

MS17-008 to łatanie hiperwizora Hyper-V, cztery luki dotyczą podatności na zdalne uruchomienie kodu, sześć pozwala na ataki Denial of Service (w tym jedna na ataki na switch sieciowy), jedna umożliwia wycieki informacji z maszyn wirtualnych. Ponownie hakerzy mieli serce i nie robili żadnych DDoS–ów na Hyper-V, mimo że jedna z podatności była publicznie znana.

MS17-009 to biuletyn dla biblioteki Windows PDF. Tutaj błąd w obsłudze obiektów w pamięci pozwalał na zdalne uruchomienie kodu. Uzłośliwiony dokument PDF otwierany w Edge wystarczył, by uruchomić w przeglądarce kod. Inne systemy niż Windows 10 były bezpieczne.

W biuletynie MS17-010 dla Windows SMB widzimy pięć luk pozwalających na zdalne uruchomienie kodu i jedną pozwalającą na wyciek informacji, ale żadna z nich nie była publicznie ujawniona, żadna nie była exploitowana. A co z tą luką pozwalającą na zdalne zawieszenie Windowsa, o której słyszeliśmy już wcześniej od niezależnego badacza? Ona z jakiegoś powodu trafiła do innego biuletynu.

MS17-011 dotyczy Windows Uniscribe, czyli tego zestawu usług i interfejsów do wyrafinowanej typografii. Tym razem miały one w sobie 29 luk. Osiem z nich pozwalało na zdalne uruchomienie kodu, 21 na wycieki informacji. Żadna luka nie była publicznie znana ani wykorzystywana.

MS17-012 to taki biuletyn–worek z różnymi poprawkami. Mamy tu więc błąd w obsłudze bibliotek DLL (i oczywiście zdalne uruchamianie kodu), możliwość obejścia zabezpieczeń Device Guard, wycieki informacji z usługi DNS Windowsa, uszkodzenie pamięci w iSNS Serverze, podwyższenie uprawnień w Windows HelpPane, oraz ten wspomniany wcześniej błąd w protokole SMB 2.0 i 3.0, pozwalający na zdalne zawieszanie Windowsa. Ponownie Microsoft utrzymuje, że nikt zdalnie Windowsa zawieszać nie chciał.

Biuletyn dla Graphics Device Interface (GDI) oznaczony został jako MS17-013. Jest naprawdę ciekawy, tym bardziej, że mamy w nim, uwaga… nieznany wcześniej 0-day. To CVE-2017-0005, jeden z czterech błędów pozwalających na podwyższenie uprawnień. Pozostałe błędy dotyczą wycieków informacji i zdalnego uruchomienia kodu (CVE-2017-0014 – znów publicznie znany, ale przez nikogo nie wykorzystywany). Do biuletynu wrzucono też łatki dla Microsoft Color Management Module, który z jakiegoś powodu pozwala na wycieki danych z pamięci.

MS17-023 to już sprawka Adobe – zbiorczy zestaw łatek dla Flash Playera. Tym razem tylko siedem dziur, wszystkie pozwalały na zdalne uruchomienie kodu.

Ważne łamane na krytyczne

Klasyfikacja luk krytycznych – kwestia umowna. Widać to po MS17-014, biuletynie uznanym za ważny, mimo że dotyczy luk pozwalających na zdalne uruchomienie kodu w Microsoft Office (także na Maku). Do tego siedem błędów w obsłudze pamięci pozwalających na wycieki informacji, podatność na ataki DoS, podatność na atak XSS w SharePoint Serverze 2013 i obejście zabezpieczeń w Lyncu na Maka.

Drugi ważny biuletyn, który mógłby być krytycznym, to MS17-017. Dotyczy on czterech luk, w tym luki w kernelu Windowsa pozwalającej na podwyższenie uprawnień, która była już publicznie znana (ale której oczywiście nie używano). Mamy tu też luki w Rejestrze, obsłudze współdzielonych folderów i Windows Transaction Managerze. Do tego mamy ciekawy MS17-018, tj. osiem luk w sterownikach trybu kernela, które również można było wykorzystać do podwyższenia uprawnień.

MS17-015 to biuletyn dla Microsoft Exchange Outlook Web Accessu (tam też podwyższenie uprawnień), MS17-016 dotyczy zaś IIS Servera, który pozwalał na przeprowadzenie ataków XSS, dających dostęp do normalnie niedostępnych informacji. MS17-019 to z kolei załatanie wycieków informacji z Windows Active Directory Federation Services, MS17-020 to wyciek informacji z Windows DVD Makera (i to przez Cross-Site Request Forgery), zaś MS17-021 to łatka na wyciek informacji z Windows DirectShow.

Stawkę zamyka MS17-022 – to wyciek informacji z Microsoft XML Core Services. Luka publicznie nieznana, a jednak aktywnie wykorzystywana w atakach.

Jedno jest pewne – przez najbliższe dni administratorzy systemów Microsoftu będą mieli sporo roboty. Łatki już w drodze, aby Windows mógł być znowu bezpieczny.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.