Kwietniowe łatki Microsoftu: podsłuch klawiatury, złośliwe fonty i znikające dyski

Może to i dobrze, że tak wyczekiwana wczoraj duża aktualizacjaWindowsa 10 nie ujrzała światła dziennego. Był to przecież dlaMicrosoftu drugi wtorek miesiąca, dzień łatania groźnych lukbezpieczeństwa w jego produktach. A wydana dla Windowsa 10 zbiorczapaczka z tymi łatkami, która otrzymała oznaczenie KB4093112, wieluludziom narobiła zamieszania. Można powiedzieć – kwiecień jakkażdy inny miesiąc, ostatnio firma z Redmond nie ma szczęścia douaktualniania swojego systemu. Problemy są wręcz oczekiwane.

Kwietniowe poprawki to aż 66 łatek dla najważniejszychproduktów Microsoftu, w tym Windowsa, Microsoft Edge, InternetExplorera, silnika Chakracore, pakietu Microsoft Office i środowiskadeweloperskiego Visual Studio. Na dokładkę dostaliśmy łatki dlaFlashPlayera, których pominąć w tym miesiącu nie sposób – wewtyczce Adobe znaleziono sześć luk, z czego trzy pozwalały nazdalne uruchomienie kodu.

Przejdźmy jednak do luk w samym oprogramowaniu firmy z Redmond.Mamy lukę 0-day, na szczęście w produkcie rzadko używanym przezzwykłych użytkowników. CVE-2018-1034pozwala na podniesienie uprawnień w SharePoint Serverze poprzezodpowiednio uzłośliwione webowe żądanie. W ten sposób możnauruchomić na sharepointowej stronie własny skrypt z uprawnieniamiobecnie zalogowanego użytkownika.

Rzadko kiedy pojawiają się wśród łatek Microsoftu łatki nasprzęt, ale w kwietniu właśnie taki rodzynek dostaliśmy.CVE-2018-8117doyczy błędu wykorzystania klucza szyfrującego AES w klawiaturachMicrosoft Wireless Keyboard 850. Jeśli napastnik pozyska ten klucz(co jak się okazuje nie jest bardzo trudne), będzie mógł nietylko odczytać wszystko, co ofiara na innym egzemplarzu tego modelupisze, ale też będzie mógł wstrzyknąć własne ciągi znaków.Jeśli macie tę klawiaturę, koniecznie zadbajcie o aktualizację,dzięki której każda klawiatura będzie szyfrować komunikacjębezprzewodową unikatowym kluczem.

Wśród innych krytycznych błędów mamy łącznie pięćpodatności pozwalających na zdalne uruchomienie kodu. Oznaczonejako CVE-2018-1010,CVE-2018-1012,CVE-2018-1013,CVE-2018-1015oraz CVE-2018-1016,tkwią w bibliotece fontów Windowsa. Tak, wystarczy odpowiedniouzłośliwić font osadzony na stronie internetowej czy w dokumencieOffice, a komputer ofiary przestaje do niej należeć. Dustin Childsz Trend Micro Zero Day Initative pisze,że na widok takich błędów przechodzą go ciarki. Tak dużapowierzchnia ataku czyni wyexploitowanie tych luk bardzo atrakcyjnądla napastników sprawą, powinniśmy się spodziewać już wnajbliższym czasie ataków je wykorzystujących.

Jak zwykle przeglądarki Microsoftu mają swoje problemy. InternetExplorer i Edge w tym miesiącu mogą się pochwalić łączniedziesięcioma lukami związanymi z uszkodzeniami pamięci,pozwalającymi na zdalne uruchomienie kodu, wydano też cztery łatkitylko na Internet Explorera, na luki pozwalające dokładnie na tosamo. Numerów CVE nawet nie ma co podawać.

Interesujące są też błędy pozwalające na zdalne uruchomieniekodu przez interpreter VBScriptu (CVE-2018-1004)oraz Excela (CVE-2018-0920),a także podatność na wyciek informacji z Office przy przetwarzaniumaili zawierających dokumenty RTF (CVE-2018-0950).Z kolei administratorzy serwerów windowsowych korzystający zHyper-V powinni pamiętć o CVE-2018-0957– błąd ten pozwala złośliwej maszynie wirtualnej przeglądaćpamięć hosta.

Do kwietniowych aktualizacji bezpieczeństwa zaliczyć należyprzedterminowo załataną podatnośćw silniku antywirusowym Microsoft Malware Protection Engine(CVE-2018-0986)– przypomnijmy, chodziło o możliwość uzłośliwienia archiwumRAR tak, by skanujący go antywirus Microsotu wykonał obcy kod zuprawnieniami systemowymi.

Jak więc widać, kwietniowe łatki wyglądają całkiem poważniei powinny być załatane jak najszybciej. Niestety jednak pojawiłysię doniesienia,że naprawiająca te luki zbiorcza paczka KB4093112 potrafi narobićkłopotów. Użytkownik kjl1956 skarży się na łamach MicrosoftCommunity, że po zainstalowaniu paczki system się restartuje, ale zEksploratora Plików znikają wszystkie dyski poza systemowym,zarówno wewnętrzne jak i zewnętrzne. W BIOS-ie wciąż je widać,po prostu dla Windowsa przestały istnieć. Jak na razie rozwiązaniatego problemu nie ma.