Grudniowe łatki Microsoftu – Edge i Explorer dziurawe jak ser szwajcarski

Kolejny drugi wtorek miesiąca za nami – aktualizacje Windowsaczas zacząć. A tak naprawdę to czas zacząć aktualizacjeprzeglądarek Microsoftu, ponieważ samo Windows okazało się wgrudniu wyjątkowo mało dziurawe, podczas gdy Edge i InternetExplorer były nafaszerowane lukami. Specjalnie nie ma się jednakczym przejmować, żadna z nich nie była aktywnie atakowana.

W grudniu Microsoft wydał łącznie zaledwie 32 łatki,przeznaczone dla Internet Explorera, Edge, Windowsa, Office,SharePointa i Exchange. 20 z nich oznaczono jako krytyczne, 12 jakopoważne. Jeśli chodzi o Windowsa, to niczego krytycznego tu niebyło: dwie łatki trafiły do „siódemki”, dwie do Windows 8.1,a wszystkie wspierane obecnie odmiany Windowsa 10 dostały łącznietrzy poprawki.

Przyjrzyjmy się bliżej najciekawszym z załatanych luk:

CVE-2017-11927to powrót do starych, niedobrych czasów Internet Explorera i plikówskompresowanej pomocy CHM. Ten błąd w Windowsie może byćwykorzystany przez napastnika do wydobycia z systemu skrótu hasłado protokołu NTLM, wykorzystywanego przy logowaniu się do siecilokalnej. Mając niewielki klaster GPU pod ręką takikryptograficzny skrót, łatwo z niego odtworzyć hasło użytkownika.Trzeba go jednak wpierw zachęcić do odwiedzenia strony, na którejznajdzie się link do zasobu serwowanego przez ITS (InfoTech StorageFormat).

Co to jest ITS? To taki archaiczny format przechowywania danych wplikach skompresowanej pomocy, który używa takich uchwytów jakms-its, ms-itss oraz mk:@MSITStore, by uzyskać dostęp do zawartychw nich komponentów. Jak wyjaśniaDustin Childs z Trend Micro Zero Day Initative, w teorii nie powinienon pozwalać na dostęp do zasobów poza lokalną strefą – dziękiłatce wydanej w 2005 roku – ale najwyraźniej udało się toobejść, prowadząc do sytuacji, w której zdalne zasoby mogąpozyskać wrażliwe dane.

CVE-2017-11899to kolejna luka w mechanizmie Device Guard, mająca najwyraźniejwiele wspólnego z luką załataną w listopadzie. Chodzi o możliwośćniepoprawnego zwalidowania niezaufanego pliku, tj. przedstawieniesystemowi niepodpisanego pliku jako podpisanego. Otwiera to drogę douruchomienia niezaufanych plików, ponieważ Device Guard oceniazaufanie właśnie po podpisie. Dustin Childs podkreśla, że todokładnie taka luka, na jakiej zależy autorom malware, pozwalabowiem dostarczyc do ofiary exploit rozpoznawany jako zaufany plik.

Uwagę ekspertów przykuł też CVE-2017-11885.To możliwość zdalnego uruchamiania kodu na systemach, na którychdziała usługa Routing and Remote Access (RRAS). Gill Langston zQualysa przypomina,że w ogóle ta usługa nie powinna działać na systemach, którejej nie potrzebują, a te, które z niej korzystają powinny byćniezwłocznie załatane.

Całego newsa poświęciliśmylukom, które zostały załatane poza normalnym cyklem –CVE-2017-11937 i CVE-2017-11940. Przypomnijmy, że silnikantywirusowy Microsoft Malware Protection Engine po napotkaniu wtrakcie skanowania odpowiednio spreparowanego pliku zawieszał się,uruchamiając z uprawnieniami systemu obcy kod. Mamy nadzieję, żewszyscy już korzystacie z tych łatek, bo pojawiły się sygnały opierwszych próbach exploitowania tych podatności.

Dobrze, a teraz czas na chłopców do bicia, tj. przeglądarkifirmy Microsoft. Dobrze, że Microsoft nie publikuje już zbiorczychbiuletynów bezpieczeństwa, bo taki zbiorczy biuletyn wyglądałbyfatalnie. Rozsiane na liście jest łącznie 19 krytycznych luk wEdge i Explorerze, opisanych jako podatności w silniku skryptowymwynikające z uszkodzenia pamięci. Ze względu na rolę tychwbudowanych w Windowsa przeglądarek, nawet osoby korzystające zChrome czy Firefoksa powinny zadbać, by IE czy Edge załatanezostały.

Na koniec trzeba wspomnieć o trzech wydanych dokumentachdoradczych Microsoftu. Pierwszypozwala wyłączyć mechanizm DDE w Microsoft Wordzie, chroniąc wten sposób przed coraz popularniejszym malware korzystającym z tegowektoraataku. Drugiwprowadza zmiany zwiększające bezpieczeństwo serwera Exchange.Trzeci przynosi skromną grudniową łatkę Adobe do komponentu Flashw Internet Explorerze. Czemu skromną? Adobe tym razem znalazłotylko jedną podatność, pozwalającą zdalnie zresetować plikglobalnych ustawień.