Lutowe łatki Microsoftu: nie trzeba otwierać załączników, wystarczy sam podgląd maila

Jeśli jakość lutowych łatek bezpieczeństwa dla produktówMicrosoftu równie marna, co w styczniu, to chyba wielu użytkownikówWindowsa zdecyduje się w końcu wyłączyć automatyczneaktualizacje przez Windows Update. W styczniu dziesiątki, a możesetki tysięcy maszyn z procesorami AMD po aktualizacjach wyświetliłyjedynie niebieski ekran śmierci. Ale przecież znany ekspert BrianKrebs już kilka dni temu pisał, że należy spodziewaćsię wielu krytycznych poprawek luk pozwalających na zdalneataki. Wybór między komputerem-cegłą, a komputerem-zombie jestdość trudny – mamy nadzieję, że tym razem nie będziekonieczny.

Tym razem Microsoft wydał w drugi wtorek miesiąca 50 łatek,obejmujących Windowsa, przeglądarki Internet Explorer i MicrosoftEdge, silnik skryptowy ChakraCore i pakiet biurowy Microsoft Office.Z tych 50 łatek 14 uznano za krytyczne, 34 za poważne, a dwa zaumiarkowane. Jeden z załatanych błędów był znany publicznie, jakjednak firma z Redmond twierdzi, nie był aktywnie wykorzystywany doataków.

Zacznijmy więc od tego publicznie znanego: CVE-2018-0771dotyczy Microsoft Edge, a konkretnie obsługi żądań z różnychźródeł. Odpowiednio spreparowana strona internetowa może obejśćograniczenia Same-Origin Policy i dopuścić żądania, które mogązmusić przeglądarkę do wysłania danych, których normalnie by nieujawniła. Eksperci z Zero Day Initative twierdzą, że takapodatność, interesująca z technicznego punktu widzenia, możeznaleźć zastosowanie przede wszystkim w bardzo precyzyjnych atakachprzeciwko znanym celom.

Najbardziej spektakularną z luk załatanych w lutowym cyklu jestjednak CVE-2018-0852.Dotyczy ona klienta poczty Microsoft Outlook i pozwala na naprawdęspektakularny atak. Otóż można ofierze wysłać uzłośliwionegoe-maila, który uruchomi zdalnie kod bez konieczności jakiegokolwiekklikania – wystarczy że ofiara zobaczy go w widoku podglądu. Wnajbliższych tygodniach spodziewajmy się prawdziwej rzezi w w tychwszystkich organizacjach, gdzie pracownicy namiętnie korzystają zOutlooka. Ciekawostką tu jest to, że odkrycie tej luki Microsoftzatrudnia Nicolasowi Joly’emu, zwycięzcy jednej z edycji konkursuPwn2own, który później poszedł dla Microsoftu pracować.

Drugi ważny błąd w Outlooku to CVE-2018-0850.Pozwala on na podwyższenie uprawnień dla złośliwego kodu.Odpowiednio spreparowany e-mail może zmusić microsoftowego klientapoczty do załadowania magazynu wiadomości lokalnie lub zdalnie poprotokole SMB. Niby nic strasznego, tyle że Outlook robi to wmomencie odebrania wiadomości. Tak, nie kliknięcia, niewyświetlenia, lecz po prostu samego odebrania. W połączeniu zpoprzednią luką można spodziewać się całkiem wyrafinowanychataków przez pocztę na organizacje.

Za krytyczne zagrożenie dla systemów Microsoftu uznano też lukęCVE-2018-0825w bibliotece Windows StructuredQuery – wysłany ofierzespreparowany plik pozwala na zdalne uruchomienie kodu, oraz łączniejedenaście luk w silniku skryptowym używanym przez przeglądarkiMicrosoftu. Jak zwykle w takich wypadkach, złośliwa stronainternetowa może uszkodzić pamięć przeglądarki, by wykonać swójwłasny kod na komputerze ofiary.

Tyle, jeśli chodzi o problemy krytyczne. Na liście poważnychjest w tym miesiącu 38 luk, dotyczących kernela Windowsa, silnikafontów, kontenera aplikacji, systemu logowania, usługprzechowywania danych i systemu plików NTFS. Pozwalają one napodwyższenie uprawnień, wycieki kodu, a nawet ucieczkę z konteneraaplikacji. Nie wygląda to za ciekawie, wiele z tych luk musi byćzałatanych na niskim poziomie – oby bez negatywnych konsekwencjidla stabilności systemu.

Warto zastanowić się też nad łatkami Adobe. Jedna z nich jestszczególnie ważna, łata bowiem lukę0-day w odtwarzaczu Flash, odkrytą i aktywnie używaną przezpółnocnokoreańskich hakerów. Nowsze łatają podatności w AdobeAcrobacie, Adobe Readerze i Adobe Experience Managerze.

• Microsoft Security TechCenter – lista aktualizacjibezpieczeństwa(https://portal.msrc.microsoft.com/en-us/security-guidance)
• Łatki dla Windows 7 SP1 – KB4074587(https://www.catalog.update.microsoft.com/Search.aspx?q=4074587)(tylko łatki bezpieczeństwa), KB4074598(https://www.catalog.update.microsoft.com/Search.aspx?q=4074598)(bezpieczeństwo i jakość)
• Łatki dla Windows 8.1 – KB4074597(https://www.catalog.update.microsoft.com/Search.aspx?q=4074597)(tylko łatki bezpieczeństwa), KB4074594(https://www.catalog.update.microsoft.com/Search.aspx?q=4074593)(bezpieczeństwo i jakość)
• Łatki dla Windows 10 – KB4074591(https://www.catalog.update.microsoft.com/Search.aspx?q=4074591)(wersja 1511), KB4074590(https://www.catalog.update.microsoft.com/Search.aspx?q=KB4074590)(wersja 1607), KB4074592(https://www.catalog.update.microsoft.com/Search.aspx?q=4074592)(wersja 1703), KB4074588(https://www.catalog.update.microsoft.com/Search.aspx?q=4074588)(wersja 1709)
• Luki i poprawki dla produktów Adobe – biuletynybezpieczeństwa(https://helpx.adobe.com/security.html) Adobe