Wrześniowe łatki bezpieczeństwa Microsoftu: uwaga na Bluetooth i .NET

Jak w każdy drugi wtorek miesiąca, Microsoft załatał wczoraj82 luki zagrażające bezpieczeństwu systemów z rodziny Windows,przeglądarek Edge i Internet Explorer, pakietu Microsoft Office,hiperwizora Hyper-V, a nawet gogli HoloLens. Wśród wrześniowychzagrożeń wyróżnia się luka we frameworku .NET, wykorzystywanajuż przez cyberprzestępców do instalowania spyware, a także lukaw sterowniku Bluetooth, pozwalająca na słynny atak BlueBorne, naktóry podatne są praktycznie wszystkie urządzenia korzystające ztego protokołu.

Zacznijmy może nietypowo, od tego multiplatformowego BlueBorne,dotyczącego implementacji Bluetootha w Windowsie, Linuksie,macOS-ie, iOS-ie, Androidzie i zapewne bardziej niszowych systemach,a także w firmware przeróżnych urządzeń Internetu Rzeczy. Tołącznie osiem błędów, odkrytych przez ekspertów firmy ArmisLabs, które otwierają drogę do całej klasy interesującychataków. W grę wchodzi zarówno przechwytywanie komunikacjibezprzewodowej, jak i zdalne uruchamianie kodu na urządzeniachofiar.

Co więcej, luki te, najpoważniejsze z dotychczas odkrytych w tejtechnologii, pozwalać mają na stworzenie samoreplikujących sięrobaków, które swobodnie będą zarażać urządzenia z włączonymBluetoothem. W przeciwieństwie do poprzednich luk, nie dotyczą onebowiem protokołu, lecz samej implementacji, pozwalają ominąćwszelkie mechanizmy uwierzytelniania, nie potrzebują parowaniaurządzeń ani żadnej innej interakcji ze strony użytkownika.

Urządzenia z Androidem dostały łatki na luki CVE-2017-0781,CVE-2017-0782, CVE-2017-0783 i CVE-2017-0785wraz z wydaniem przezGoogle wrześniowych biuletynów bezpieczeństwa (ręka w górę, ktojuż je dostał na swój smartfon czy tablet). Urządzenia z iOS-emdostały łatki na CVE-2017-14315 wraz z ostanią aktualizacją tegosystemu, podatne są wciąż tylko urządzenia z iOS-em 9.3.5 istarszymi. W wypadku Linuksa, problem opisany w CVE-2017-1000251dotyczy systemów z kernelem starszym niż 3.3-rc1 (to jądro z 2011roku), ale oficjalny linuksowy stos Bluetootha BlueZ wciąż podatnyjest na wyciek danych (CVE-2017-1000250).

A co z Microsoftem? No cóż, wczoraj przedstawiono szczegółyłatki dla luki w windowsowej implementacji Bluetootha,CVE-2017-8628,otwierającej drogę do ataków Man-in-the-Middle. Smartfony zWindowsem były na BlueBorne odporne, pozostałe systemy już nie.Teraz po wrześniowych łatkach podatna pozostanie Vista oraz XP. Zainteresowanych szczegółami działania BlueBorne odsyłamy doraportu ArmisLabs.

Badacze z firmy FireEye odkryli w .NET Frameworku lukę oznaczonąjako CVE-2017-8759. Niestety wcześniej już odkrył ją ktoś inny –pozwala ona na zdalne wykonanie kodu z uprawnieniami zalogowanegoużytkownika. Tkwiła ona w parserze Web Services DescriptionLanguage (WSDL),wykorzystywanym do komunikacji z usługami korzystającymi zarchitektury SOAP.

Z przedstawionych przez FireEye danych wynika,że lukę wykorzystano w malware stworzonym najprawdopodobniej przezktórąś z agencji wywiadowczych, prowadzących operacje przeciwkorosyjskojęzycznym użytkownikom. Nośnikiem infekcji byłyuzłośliwione pliki RTF, zawierające skrypt Visual Basica,wykonujący polecenia PowerShella.

W dokumentacji załatanych luk nierzadko Microsoft przyznaje, żeluka była znana, jednak nigdy z niej nie skorzystano do zaatakowaniaużytkowników. Tak było i we wczorajszych łatkach.

Nie skorzystano więc z CVE-2017-0417, czyli zdalnego wykonaniakodu na goglach Microsoft Hololens poprzez błąd w czipsecieBroadcoma, CVE-2017-8746, pozwalającego na obejście mechanizmuDevice Guard i wstrzyknięcie złośliwego kodu w sesję PowerShella,oraz CVE-2017-8723, obejścia mechanizmu Content Security Policy(CSP) w przeglądarce Microsoft Edge, czyli mechanizmu ścisłegodefiniowania lokalizacji dodatkowych zasobów, z których korzystastrona internetowa.

Uwaga, w tym ostatnim wypadku nie chodzi o odkrytą wcześniejprzez Grupę Talos lukę w CSP, której załatania Microsoft odmówił.

Administratorzy systemów Windows powinni zwrócić szczególnąuwagę na CVE-2017-0161. Błąd w Windows NetBT Session Servicepozwala na zdalne uruchomienie kodu przez NetBIOS. Pozwala on nauruchomienie przez jedną maszynę kliencką kodu na drugiejmaszynie, o ile uda się doprowadzić do sytuacji hazardu.

Hiperwizor Hyper-V cierpiał na pięć luk pozwalających nawyciek informacji z maszyn wirtualnych, i jedną lukę która czyniłago podatnym na atak Denial-of-Service.

Przeglądarki Edge i Internet Explorer w tym miesiącu mogły siępochwalić 22 błędami (i to krytycznymi, pozwalającymi na zdalneuruchomienie kodu), z czego 10 tkwiło w silnikach skryptowych, adziewięć wiązało się z błędami pamięci.

Jak zawsze, łatki zawierają też aktualizacje komponentu FlashPlayer dla przeglądarek. W tym miesiącu Adobe znalazło tylko dwieluki pozwalające na zdalne uruchomienie kodu. Wydano także poprawkidla aplikacji Adobe RoboHelp oraz serwera ColdFusion.