Czerwcowe biuletyny bezpieczeństwa: Windows XP uodpornione na ataki NSA

Czerwcowe biuletyny bezpieczeństwa: Windows XP uodpornione na ataki NSA14.06.2017 13:27
Czerwcowe biuletyny bezpieczeństwa: Windows XP uodpornione na ataki NSA

Czerwcowe poprawkibezpieczeństwa Microsoftu znów nas zaskoczyły – i to nietylko liczbą. Łącznie 96 podatności, w tym 27 luk pozwalającychna zdalne uruchomienie kodu to dużo, ale bywało już gorzej.Natomiast drugi miesiąc z rzędu wydać łatki dla od dawna jużniewspieranego Windowsa XP, to wygląda naprawdę dziwnie. Czyżbywspieranie starych systemów wchodziło Microsoftowi w nawyk?

Przyjrzyjmy się na początku temu, co jak przyznajeMicrosoft, ma status 0-day. Te luki są aktywnie wykorzystywane przezhakerów:

Powrót ETERNALBLUE?

CVE-2017-8464to luka związana z uzłośliwionym skrótem do pliku. Okazuje się,że po spreparowaniu pliku referencyjnego takiego skrótu,zawierającego odniesienie do ikony zawierającej kod, możnanakłonić użytkownika do kliknięcia – i w konsekwencjiuruchomienia malware na jego komputerze. Badacze z Internet StormCenter sugerują, że najłatwiejszą do przeprowadzenia formą atakujest zestawienie uzłośliwionego udostępnionego zasobu, a następnieprzekazanie linka ofierze.

Druga ciekawa luka, CVE-2017-8543,może mieć coś wspólnego z exploitem ETERNALBLUE. Odpowiedniospreparowane żądanie wyszukiwania SMB do usługi Windows Searchpozwala na zdalne uruchomienie kodu – i to z uprawnieniamiadministratora. W biuletynie Microsoft nic nie pisze o tym, byexploit wymagał uwierzytelnienia, więc jeśli tak jest, to mamyzagrożenie bardziej niż krytyczne.

Trzecia exploitowana luka to CVE-2017-8461.Umożliwia ona zdalne wykonanie kodu z uprawnieniami użytkownikaprzez usługę RPC. Choć szczegółów nie podano, sprawa wyglądapoważnie – w Windowsie mnóstwo usług ze sobą rozmawia po RPC,włącznie z Active Directory, narzędziami administracyjnymi czykonsolami MSC.

Kto znał, ten znał

Trzy luki zdaniem Microsoftu były wcześniej znane, ale podobnonikt ich nie wykorzystywał. CVE-2017-8498,CVE-2017-8530i CVE-2017-8523dotyczą odpowiednio wyciekania danych z Microsoft Edge, podatnościEdge na atak typu XSS i przekierowanie użytkownika na stronę zezłośliwym kodem, oraz obejścia zabezpieczeń Same Origin Policy inakłonienia użytkownika do załadowania strony ze złośliwątreścią.

Z tych luk, które nie były publicznie znane, można wspomnieć oCVE-2017-8527– kolejnym bugu w bibliotece odpowiedzialnej za przetwarzaniefontów. Jak zwykle, złośliwy font, osadzony np. na stronieinternetowej czy w dokumencie przesłanym załącznikiem, pozwoli nauruchomienie kodu. Inna ciekawostka to CVE-2017-0176,które pozwala na atak na serwer zdalnego pulpitu – jeśli ten mawłączoną obsługę uwierzytelniania Smart Cards. Nie obyło siębez luk w Windows OLE – CVE2017-8487 to błąd w bibliotece olecnv32.dll, która niesprawdza poprawności danych wejściowych i pozwala na zdalneuruchomienie w ten sposób kodu.

XP znów odporne na NSA

Na Technecie Microsoft wyjaśnia,że że to wyjątkowa sytuacja: użytkownicy systemów Windows XP,Windows Vista, Windows 8, Windows Server 2003 i Windows Server 2003R2 otrzymują wyjątkowo łatki, mimo że systemy te oficjalnie niesą wspierane. Nie należy sądzić, że będzie to stała praktyka,Microsoft wciąż zaleca korzystanie z Windowsa 10. Biorąc jednakpod uwagę to, że łącznie z Windows XP i Windows 8 korzysta wciążponad 120 mln internautów, zabezpieczenie tych systemów jestkluczowe dla bezpieczeństwa samej Sieci… o ile komuś będzie sięchciało ręczniete łatki instalować.

I tak wydane poprawki zawierają wszystkie poprawki do błędów wWindowsie exploitowanych za pomocą cyberbroni ujawnionych przezShadow Brokers, w tym EXPLODINGCAN, ENGLISHMANDENTIST orazESTEEMAUDIT – atakujących serwer IIS, Outlooka i Exchange orazprotokół zdalnego pulpitu.

A co tam panie w Adobe?

Jak zwykle Flash Player dostał swojełatki wraz z oprogramowaniem Microsoftu. Tylko dziewięćkrytycznych luk pozwalających na zdalne uruchomienie kodu. Błędytypu use after free i memory corruption, czyli też to co zwykle.Znalazła się też jedna krytyczna luka w Shockwave Playerze. Jeśliktoś w czerwcu 2017 roku uparł się, by dalej używać Flasha… nocóż, nawet nam go specjanie nie żal.

Programy

Aktualizacje
Aktualizacje
Nowości
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Udostępnij:
Wybrane dla Ciebie
Komentarze (72)