Październikowe łatki Microsoftu: ataki przez Worda, DNS-a i złośliwe fonty

Październikowe łatanie produktów Microsoftu przyniosło łącznie62 poprawki. Dotyczą one licznych komponentów Windowsa, InternetExplorera, Microsoft Edge, Microsoft Office i Skype for Business –można więc powiedzieć, że nic szczególnego. Wśród nichznalazły się jednak trzy luki 0-day, z których przynajmniej jedna,w edytorze Word, już w sierpniu br. była wykorzystywana dowykradania wrażliwych danych.

Exploit 0-day, oznaczony jako CVE-2017-11826,pozwala na zdalne uruchomienie kodu w wszystkich wersjach MicrosoftWorda od wydania 2007, ale także w Word Automation Services orazMicrosoft Office Web Apps Server. Odkryty przez ekspertów zchińskiej firmy Qihoo 360 szkodnikprzenoszony był w plikach RTF, w których osadzono uzłośliwionyplik DOCX. Uruchamiany przez niego kod służył do wyszukania plikówdokumentów na komputerze i wgraniu ich na serwer napastnika.

Kolejne dwa wcześniej już znane błędy dotyczą podatności naatak DoS w linuksowym podsystemie Windowsa WSL (CVE-2017-8703)oraz podadności na atak XSS w Microsoft SharePoint Serverze,pozwalającym na podwyższenie uprawnień kodu (CVE-2017-11777).Microsoft zapewnia jednak, że nikt z tych błędów nie korzystał.W to nie wątpimy – wbudowany w Windowsa Linux wciąż rzadko kiedyjest aktywowany i używany, a SharePoint to produkt raczej minionejepoki.

Pozostałe (wcześniej publicznie nieznane) atrakcjepaździernikowych wydań to:

• Dwa błędy w bibliotece fontów Windowsa: CVE-2017-11762(https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11762)oraz CVE-2017-11763(https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11763)pozwalają stronom internetowym i dokumentom na uruchomienie koduosadzonego w uzłośliwonych fontach.
• Łącznie aż 19 błędów w silniku skryptowym Internet Explorerai Microsoft Edge (np. CVE-2017-11792(https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11792)),pozwalających na zdalne uruchomienie kodu przez przeglądarkę.Praktycznie wszystkie dotyczą błędnej obsługi obiektów wpamięci.
• Dwa błędy w powłoce systemowej Windowsa, CVE-2017-8727(https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8727)i CVE-2017-11819(https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11819),pozwalające oczywiście na zdalne wykonanie kodu. W pierwszymwypadku chodzi o Microsoft Windows Text Services Framework – błądw nim pozwala na zaatakowanie systemu przez stronę otwartą wIntenet Explorerze. W drugim atak jest możliwy zarówno przezInternet Explorera jak i Edge.
• Zdalnie uruchomić kod można też przez usługę Windows Search.CVE-2017-11771(https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11771)pozwala na atak za pomocą odpowiednio spreparowanych nagłówkówprotokołu SMB. Odkrywca tej luki, Jimmy Graham z firmy Ovumpodkreśla, że luka nie ma nic wspólnego z samym SMB anipodatnościami wykorzystywanymi przez exploit EternalBlue.
• Problem jest też z klientem DNS Windowsa – luka CVE-2017-11779(https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11779)pozwala złośliwemu serwerowi DNS na zdalne wykonanie kodu. Problemtkwi w przetwarzaniu rozszerzeń DNSSEC i jest raczej poważny, wkońcu każdy może postawić taki złośliwy serwer DNS np. wkawiarni i czekać, aż klienci podłączą się do sieci Wi-Filokalu. Szczegóły znajdziecie na bloguodkrywcy(https://www.bishopfox.com/blog/2017/10/a-bug-has-no-name-multiple-heap-buffer-overflows-in-the-windows-dns-client/), Nicka Freemana.

Warto też wspomnieć o wydanym w tym miesiącu ostrzeżeniuADV170012,dotyczącym błędu w czipach Trusted Platform Module na płytachgłównych Infineon. Z jego winy generowane klucze kryptograficznebyły słabe, a to oznacza, że skuteczność szyfrowania woprogramowaniu bazującym na TPM, takim jak BitLocker Microsoftu,staje się wątpliwa. Zagrożenie dotyczy głównie komputerów firmHP, Lenovo i Fujitsu i może być usunięte tylko przez aktualizacjęfirmware. Więcej informacji znajdziecie na stronieInfineona.