Łatkowy wtorek: maj bardziej łaskawy dla Microsoftu?

Przyszedł czas na pierwszy cykliczny zbiór aktualizacji Windows wydawany w trybie "bez dodatków": zmiany funkcjonalne są ograniczone, a wydania MSU ograniczono do jednej paczki miesięcznie (dla każdego obsługiwanego systemu). Tym razem wśród tuzinów aktualizacji nie znajduje się żadna łatka na poważną dziurę typu zero day. Wydaje się zatem, że mniejsze tempo wydawania poprawek koreluje z mniejszą liczbą dziur. To dobrze, biorąc pod uwagę, że jeszcze przez wiele miesięcy, setki tysięcy służbowych maszyn będą używane w domu, bez wsparcia IT i bez ochoty podróży do pracy.

Nie oznacza to, że wśród majowych aktualizacji nie ma absolutnie nic godnego uwagi. Są to jednak bardziej osobliwości. Na przykład ActiveX i VBS (CVSS 7.5). Albo atak aplikacją WinRT domenowego Sklepu Windows umożliwiającego prywatne wdrożenia, podnoszący uprawnienia (CVSS 7.8 i mniejsze). Problemów w WinRT jest więcej. Wynikają one po części z tego, że ich serwisowaniem zajmują się wysoko uprawnione komponenty.

Nie zabrakło także całej gamy dziur w silniku Microsoft Jet. Silnik ten jest mechanizmem bazodanowym Accessa. Jego sterownik ODBC jest wbudowany w Windows. Po wydaniu czternastego dodatku Service Pack, aktualizacje do niego przestano numerować. Jest wymaga lokalnego ataku z wykorzystaniem ActiveX lub MDB.

Zidentyfikowano też kilkanaście sposobów na lokalne podniesienie uprawnień za pomocą kiepsko udokumentowanej usługi Repozytorium Stanów (podatności CVE-2020-1184 do CVE-2020-1191 oraz kilka innych). Jest ona składnikiem AppModelu, warstwy obsługi aplikacji, która zadebiutowała w Windows 8. Po niecałej dekadzie, tym zbędnym dodatkiem zaczęli się interesować badacze. Wciąż wzgardzany pozostaje podsystem Push Notification, mimo poszlak o potencjalnie do złowrogiego wykorzystania.

Jak niemal co miesiąc, komponent GDI otrzymał paletę łatek wycenionych na 5.5, chroniących przed nadmierną przewidywalnością adresów w pamięci RAM. Ataki te wymagają uruchomienia interaktywnej (rysującej lokalnie) aplikacji. Tam, gdzie pojawia się GDI, dołącza oczywiście i Win32k. Nieco gorsza luka w GDI pozwala uruchamiać kod w kontekście jądra. Wszyscy powinniśmy już wiedzieć, że sterowniki USER i GDI, stanowiące archaiczną zaszłość z klasycznych Windowsów, były błędem. Jak anime.

Trwa niepokojący trend znajdowania dziur w usłudze raportowania błędów, mechanizmie telemetrii (tym razem tylko DoS) oraz samym Windows Update. Używany przez niego TrustedInstaller jest "trusted", więc operuje na bardzo wysokich prawach.

Mniej interesujace dziury zawiera też bufor wydruku, systemowy schowek, a także wiele nieokreślonych składników wykorzystywanych do podniesienia uprawnień. Jedyna postać zdalna zachodzi wskutek prac w środowisku domenowym, co pozwala wykorzystywać uwierzytelnione RPC do rozkazywania innym komputerom w domenie.

Wsród najciekawszych rzeczy również znajdują się dziwadła. Linuksowy podsystem WSL pozwala na czytanie pamięci jądra, dzięki pracy jako jedna z "osobowości" systemu Windows NT. Problem ten sam z siebie jeszcze nie jest palący, ale pokazuje, że nawet zastąpienie WSL przez WSL2 oparte na Hyper-V nie zmieni już tego, że system zawiera potencjalną kopalnię podatności. WSL1 pozostanie bowiem w ofercie funkcjonalnej Windows na równi z następcą.

Hitami maja są niewątpliwie dziura w obsłudze profilu kolorystycznego, pozwalająca na przejęcie kontroli nad komputerem wskutek obejrzenia strony internetowej (w dowolnej przeglądarce, CVSS 8.8) oraz wadliwa implementacja TLS w systemach 1709 i nowszych, skutkująca wymuszeniem restartu komputera wskutek złośliwej negocjacji połączenia w kanale TLS 1.2 (!!!). Zdumiewające.

Aktualizacje są już dostępne w Windows Update dla wszystkich systemów od serwerowej Visty w górę. Użytkownicy indywidualni bez umów ESU otrzymali aktualizacje dla Windows 8.1 i nowszych.