Czerwcowe biuletyny bezpieczeństwa: Windows XP uodpornione na ataki NSA

Czerwcowe poprawkibezpieczeństwa Microsoftu znów nas zaskoczyły – i to nietylko liczbą. Łącznie 96 podatności, w tym 27 luk pozwalającychna zdalne uruchomienie kodu to dużo, ale bywało już gorzej.Natomiast drugi miesiąc z rzędu wydać łatki dla od dawna jużniewspieranego Windowsa XP, to wygląda naprawdę dziwnie. Czyżbywspieranie starych systemów wchodziło Microsoftowi w nawyk?

Przyjrzyjmy się na początku temu, co jak przyznajeMicrosoft, ma status 0-day. Te luki są aktywnie wykorzystywane przezhakerów:

CVE-2017-8464to luka związana z uzłośliwionym skrótem do pliku. Okazuje się,że po spreparowaniu pliku referencyjnego takiego skrótu,zawierającego odniesienie do ikony zawierającej kod, możnanakłonić użytkownika do kliknięcia – i w konsekwencjiuruchomienia malware na jego komputerze. Badacze z Internet StormCenter sugerują, że najłatwiejszą do przeprowadzenia formą atakujest zestawienie uzłośliwionego udostępnionego zasobu, a następnieprzekazanie linka ofierze.

Druga ciekawa luka, CVE-2017-8543,może mieć coś wspólnego z exploitem ETERNALBLUE. Odpowiedniospreparowane żądanie wyszukiwania SMB do usługi Windows Searchpozwala na zdalne uruchomienie kodu – i to z uprawnieniamiadministratora. W biuletynie Microsoft nic nie pisze o tym, byexploit wymagał uwierzytelnienia, więc jeśli tak jest, to mamyzagrożenie bardziej niż krytyczne.

Trzecia exploitowana luka to CVE-2017-8461.Umożliwia ona zdalne wykonanie kodu z uprawnieniami użytkownikaprzez usługę RPC. Choć szczegółów nie podano, sprawa wyglądapoważnie – w Windowsie mnóstwo usług ze sobą rozmawia po RPC,włącznie z Active Directory, narzędziami administracyjnymi czykonsolami MSC.

Trzy luki zdaniem Microsoftu były wcześniej znane, ale podobnonikt ich nie wykorzystywał. CVE-2017-8498,CVE-2017-8530i CVE-2017-8523dotyczą odpowiednio wyciekania danych z Microsoft Edge, podatnościEdge na atak typu XSS i przekierowanie użytkownika na stronę zezłośliwym kodem, oraz obejścia zabezpieczeń Same Origin Policy inakłonienia użytkownika do załadowania strony ze złośliwątreścią.

Z tych luk, które nie były publicznie znane, można wspomnieć oCVE-2017-8527– kolejnym bugu w bibliotece odpowiedzialnej za przetwarzaniefontów. Jak zwykle, złośliwy font, osadzony np. na stronieinternetowej czy w dokumencie przesłanym załącznikiem, pozwoli nauruchomienie kodu. Inna ciekawostka to CVE-2017-0176,które pozwala na atak na serwer zdalnego pulpitu – jeśli ten mawłączoną obsługę uwierzytelniania Smart Cards. Nie obyło siębez luk w Windows OLE – CVE2017-8487 to błąd w bibliotece olecnv32.dll, która niesprawdza poprawności danych wejściowych i pozwala na zdalneuruchomienie w ten sposób kodu.

Na Technecie Microsoft wyjaśnia,że że to wyjątkowa sytuacja: użytkownicy systemów Windows XP,Windows Vista, Windows 8, Windows Server 2003 i Windows Server 2003R2 otrzymują wyjątkowo łatki, mimo że systemy te oficjalnie niesą wspierane. Nie należy sądzić, że będzie to stała praktyka,Microsoft wciąż zaleca korzystanie z Windowsa 10. Biorąc jednakpod uwagę to, że łącznie z Windows XP i Windows 8 korzysta wciążponad 120 mln internautów, zabezpieczenie tych systemów jestkluczowe dla bezpieczeństwa samej Sieci… o ile komuś będzie sięchciało ręczniete łatki instalować.

I tak wydane poprawki zawierają wszystkie poprawki do błędów wWindowsie exploitowanych za pomocą cyberbroni ujawnionych przezShadow Brokers, w tym EXPLODINGCAN, ENGLISHMANDENTIST orazESTEEMAUDIT – atakujących serwer IIS, Outlooka i Exchange orazprotokół zdalnego pulpitu.

Jak zwykle Flash Player dostał swojełatki wraz z oprogramowaniem Microsoftu. Tylko dziewięćkrytycznych luk pozwalających na zdalne uruchomienie kodu. Błędytypu use after free i memory corruption, czyli też to co zwykle.Znalazła się też jedna krytyczna luka w Shockwave Playerze. Jeśliktoś w czerwcu 2017 roku uparł się, by dalej używać Flasha… nocóż, nawet nam go specjanie nie żal.