Windows 10 i Łatkowy Wtorek czerwca: gdy interakcja nie jest interakcją

Wydano comiesięczny, pokaźny zbiór aktualizacji dla produktów Microsoftu, łatający ponad 50 problemów z zabezpieczeniami. Najpoważniejszy z nich, zlokalizowany w DWM, mimo wysokiej oceny został oznaczony jako "Ważny". Tymczasem dziury w kodekach i Internet Explorerze są "Krytyczne", choć wymagają interakcji użytkownika. Czyżby kryteria wyceny istotności błędów były niejasne?

Podatność w DWM, choć wyceniona na 8.4 CVSS, jest jedynie "Ważna", a nie "Krytyczna". Wymaga bowiem pobrania i uruchomienia złośliwego kodu w postaci, która nigdy nie wykonuje się samodzielnie. Innymi słowy, potrzebny jest plik EXE, skrypt lub makro, uruchomione interaktywnie. Dopiero wtedy możliwe jest wykorzystanie CVE-2021-33739 i zdobycie uprawnień administracyjnych bez uwierzytelnienia.

Rozsądek podpowiada, że podatności oznaczone jako krytyczne będą wymagać mniej zaangażowania użytkownika niż luka w DWM. Wytyczne Microsoftu mówią, że poziom "Krytyczny" otrzymują luki niewymagające interakcji, jak robaki i podatności zdalne. Tymczasem dziury oznaczone jako krytyczne wymagają tyle samo, a być może i więcej "współpracy" ze strony użytkownika celem wykorzystania.

Z tego powodu są ocenione niżej w CVSS (7.8, 7.5), a reguły CVE informują, że konieczna jest interakcja. Dlaczego więc CVE-2021-31959, CVE-2021-33742, CVE-2021-31985 i CVE-2021-31967 są krytyczne?

Wynika to z bardzo nietypowego sposobu klasyfikowania przez Microsoft, co tak naprawdę oznacza "interakcja". Wskutek dość pokrętnej logiki, akt wejścia na złośliwą stronę internetową (która następnie uruchomi skrypt wykorzystujący lukę) nie jest uważany za interakcję, ponieważ... skrypt na wyświetlonej stronie uruchamia się sam.

Chodzi o to, że będąc "zawartością aktywną" uruchamia się nie pytając użytkownika o pozwolenie. CVE-2021-31959 i CVE-2021-33742 dotyczą w dodatku tylko Internet Explorera/WSH. CVE-2021-31967 to kodek VP9 (i jest aktualizowany przez Sklep, a nie przez Windows Update).

CVE ma o wiele więcej sensu niż interpretacja MSRC. Wejście na stronę internetową zdecydowanie jest zachowaniem wymagającym interakcji użytkownika. Stosowanie interpretacji "nieunikniony, powszechny scenariusz" to naciągane wytłumaczenie, jednocześnie w dodatku informujące pośrednio że tak, jesteśmy otoczeni samoczynnie wykonującymi się skryptami których nie widać, tak ma być, to jest w porządku.

Poprawka i tak przychodzi w paczce z resztką łatek w ramach aktualizacji kumulatywnej, ale wybranie akurat takich słabości jako "Krytyczne" jest osobliwe.

Drugą, mniejszą osobliwością, którą można zaobserwować przy okazji, jest CVE-2021-31985, która jest dziurą w silniku antywirusowym Defendera i na którą nie ma poprawki, bo aktualizację mają dostarczyć... definicje. W jaki sposób dziura w silniku jest łatana definicjami? Otóż dzięki temu, że aktualizacja definicji nigdy nie zawiera tylko definicji.

To, co powszechnie nazywa się "silnikiem antywirusowym Defendera", czyli program MsMpEng.exe, nie jest tym, czym się wydaje. "Eng" istotnie zapewne pochodzi od "Engine", ale MsMpEng.exe jest składnikiem usługi Defendera i dopiero ona korzysta z dynamicznie ładowanych silników.

Wraz z pakietem nowych definicji zawsze przychodzi najnowsza wersja silnika antywirusowego. Silnik bywa aktualizowany rzadziej niż definicje (a te mogą otrzymywać nawet kilkadziesiąt aktualizacji dziennie), ale jest obecny w każdej aktualizacji Defendera.

Składnikiem aktualizującym usługę MsMpEng nie jest Antimalware Engine, ale Antimalware Platform i to istotnie jest oddzielna, rzadka aktualizacja wydana przez Windows Update.

Microsoft dba o to, by nie było nudno.