Wrześniowe biuletyny bezpieczeństwa Microsoftu: zdalne uruchamianie kodu niekoniecznie krytyczne?
Wraz z kolejnym drugim wtorkiem miesiąca dostaliśmy odMicrosoftu 14 biuletynów bezpieczeństwa. Siedem z nich zostałouznanych za krytyczne, a jedna z załatanych luk ma ponad 10 lat.Mogłoby się wydawać, że w sumie z Windowsem nie jest tak źle –Adobe w swojej ostatniej aktualizacji Flash Playera załatało 29luk, z czego 26 pozwalało na uruchomienie złośliwego kodu. Trzebajednak pamiętać, że niejednokrotnie jeden biuletyn zawiera łatkidla wielu luk, więc jednoznaczne stwierdzenie, komu należy siępalma pierwszeństwa za najbardziej dziurawy kod wcale nie jest takiełatwe.
10 lat Detoursa – kto załata te wszystkieprogramy?
Zacznijmy od tego, co uznano za krytyczne w wrześniowej rundziepoprawek:
MS16-104to zbiorcza aktualizacja bezpieczeństwa dla Internet Explorera. Zajednym zamachem załatano pięć luk pozwalających na zdalneuruchamianie kodu, trzy związane z wyciekiem informacji, jedną zeskalacją uprawnień, jedną z obejście zabezpieczeń. Lukizwiązane były przede wszystkim z błędami w obsłudzepamięci – i wiadomo, że przynajmniej jedna z nich jest jużwykorzystywana w atakach na internautów.
MS16-105to zbiór poprawek dla Microsoft Edge. Tutaj załatano siedem lukpozwalających na zdalne uruchomienie kodu oraz pięć związanych zwyciekami informacji.
MS16-106dotyczy naszych ulubionych problemów z Microsoft Graphics Componenti dotyczy przede wszystkim Windowsa 10. Załatano lukę pozwalającąna zdalne uruchamianie kodu przez Graphics Device Interface (GDI),lukę pozwalającą na eskalację uprawnień przez GDI, lukęumożliwiającą wyciek informacji przez GDI oraz dwie luki w win32,związane z eskalacją uprawnień. Co ciekawe, to jest ta sama luka,którą ujęto we wcześniejszym biuletynie MS16-098 – najwyraźniejna Windowsie 10 wprowadzone wówczas poprawki okazały sięniewystarczające.
MS16-107dotyczy pakietu Microsoft Office. Usunięto łącznie 10 błędówzwiązanych z uszkodzeniem pamięci, możliwością wycieku kluczyprywatnych z magazynu certyfikatu podczas zapisu dokumentu, obejściazabezpieczenia randomizacji przestrzeni adresowej oraz oszukiwaniaOutlooka odpowiednio spreparowanymi załącznikami, którychantywirusy nie zauważą.
Jest w tym biuletynie jedna ciekawostka, dotycząca bibliotekiDetours do przechwytywania komunikatów (hooking engine). Jestona powszechnie wykorzystywana w świecie Windowsa, nie tylko przezMicrosoft, ale łącznie przez ponad 100 niezależnych firmsoftware’owych. Od dziesięciu lat tkwiływ niej błędy związane z niewłaściwymi technikamiprzechwytywania i wstrzykiwania – błędy te mogły zostaćwykorzystane m.in. do oszukiwania oprogramowania antywirusowego. To,że Microsoft załatał ją teraz dla Office, nie usuwa zagrożeniaprzedstawionegodokładnie podczas tegorocznej konferencji BlackHat. Na wstrzykiwaniezłośliwego kodu podatnych jest tysiące innych programów,korzystających z Detours.
MS16-108to biuletyn dla wszystkich wersji serwera Exchange. Do czynienia mamyze zdalnym uruchamianiem kodu, przekierowywaniem żądań URL,przejęciem wrażliwych danych i eskalacją uprawnień – wystarczywysłać e-maila z odpowiednio spreparowanym załącznikiem. Nausprawiedliwienie Microsoftu można powiedzieć, że to wina Oracle,a dokładnie wbudowanych w serwer Exchange bibliotek Oracle OutsideIn.
Ostatni z krytycznych biuletynów, MS16-116naprawia luki w silniku skryptowym VBScriptu i mechanizmie OLEAutomation, pozwalające na zdalne uruchomienie kodu u internautów,którzy odwiedzili złośliwą witrynę. Działa w pakiecie zMS16-104 – trzeba zainstalować oba biuletyny.
Poważne, krytyczne, a może jeszcze gorzej?
Pozostałe biuletyny uznano za poważne, choć kwestia ta możebyć dyskusyjna. Taki bowiem oto MS16-109,dotyczący Silverlighta, łata lukę pozwalającą na zdalneuruchomienie kodu. MS16-110dotyczy zaś podatności 0-day, która w zależności od wersjiWindowsa różni się skalą zagrożenia. Chodzi o mechanizmlogowania NT LAN Managera do zasobów sieci lokalnych – z jakiegośpowodu w Windowsie 8.1 atak pozwala jedynie na pozyskanie wrażliwychdanych, ale już w Windowsie 10 na zdalne uruchomienie kodu. Naprawdęto nie jest krytyczne?
W MS16-111znajdziemy łatki dla jądra systemu: te luki pozwalały na eskalacjęuprawnień. MS16-112dotyczy ekranu blokady Windowsa – pozwala on na eskalacjęuprawnień w razie załadowania do niego treści webowych. MS16-113to łatka na wyciek informacji z Windows Secure Kernel Mode, zaśMS16-114dotyczy luki w serwerze SMB, która w zależności od wersji systemupozwala na zdalne uruchomienie kodu lub atak DoS. Na koniec wreszcieMS16-115– to łatka na wyciek informacji z Windows PDF Library.
Uważny Czytelnik zauważy, że nie wspomnieliśmy o MS16-117.To akurat nie są łatki Microsoftu, tylko Adobe – zbiorczapoprawka dla Flash Playera dla Internet Explorera i Edge.
I jak tu czuć się bezpiecznym po takim miesiącu na współczesnympececie?