Łatkowy Wtorek października: przejęcie UEFI, ucieczka z Hyper-V i błąd w IPv6

Na regularne tematy zazwyczaj trudno pisać coś ciekawego lub odkrywczego. Windows Update okazuje się łamać tę konwencję i co miesiąc dostarczać nowości na tyle "innowacyjnych", że trudno o nudę. Dostarcza to oczywiście mniej radości, gdy przychodzi przygotowywać w związku z tym nowe obrazy instalacyjne (zapewniam). Na ile jest to pilne tym razem? Mniej, niż poprzednio. Ale to trudny rachunek.

Gdy Microsoft wydał sierpniowe łatki bezpieczeństwa, bardzo poważna luka w NETLOGON była opisana tak okrężnie, że świat wpadł w związku z nią w popłoch dopiero miesiąc później, gdy udostępniono gotowe exploity. Łatwo więc o przeoczenia, w tym z powodów "psychologicznych", więc aktualizacje krytyczne najlepiej pobierać i instalować tak szybko, jak to tylko możliwe.

Łatek październikowych jest cała góra, z czego spora część dotyczy nieupoważnionego zdobycia wyższych uprawnień wskutek uruchomienia złośliwego kodu. Jest jednak kilka wyróżniających się punktów programu, w kwestiach technicznych (pisanie po UEFI) lub ze względu na powagę problemu (wykonanie kodu wskutek wyświetlenia dokumentu, CVE-2020-16911).

Z perspektywy technicznej, błędem o najciekawszych implikacjach jest dziurawa ochrona EFIVARS, CVE-2020-16910. Pozwala on na pisanie po obszarze chronionym UEFI i dotyczy tylko Windows 10. Jest obecnie zagrożeniem teoretycznym, wymaga sporych przygotowań wstępnych, i samodzielnie będzie trudny do wykorzystania, wspomagając raczej (również teoretyczne) inne ataki wymierzone w UEFI. Tych z czasem będzie coraz więcej.

Drugą ciekawostką jest ucieczka z hipernadzorcy: to groźna kategoria ataków pozwalająca na takim nadużyciu maszyny wirtualnej, by operator wirtualizacji wykonał kod na komputerze-hoście. Maszyny wirtualne bywają uznawane za mechanizmy separacji zabezpieczeń. Możliwość oszukania Hyper-V (CVE-2020-16891) i wołania kodu na serwerze to poważna sprawa. Problem dotyczy wszystkich wersji Windows, w tym jakimś cudem Windows 7. Czyżby chodziło o składnik Virtual PC?

Rzeczą mniej ciekawą, ale o wiele poważniejszą, jest CVE-2020-16898. To poważny błąd w implementacji IPv6, a dokładniej standardu RFC 6106 (DNS via Router Advertisement). Wskutek wysłania odpowiednio przygotowanego pakietu TCP, możliwe jest wykonanie kodu na maszynie, z uprawnieniami stosu sieciowego (a więc wysoko). Przed atakiem nie chroni zapora. Konieczne jest wyłączenie obsługi "RA Based DNS Config" lub IPv6 w całości. Problem dotyczy Windows 10 w wersji 1709 i nowszych.

Październik 2020 to także ostatni raz, gdy aktualizacje otrzymuje Office 2010. Na pożegnanie było ich 5. Jedna z nich, CVE-2020-16933, dotyczy problemów logicznych związanych z obsługą plików LNK. Pozostałe należą do kategorii "wykonanie kodu wskutek otwarcia dokumentu, nawet bez makr" i chodzi w nich o składnik Microsoft Graph.

Wydawałoby się zatem, że to antyczne składniki Office'a wywołują problemy. Jet, ODBC, LNK, EQNEDT, Graph... Czyżby lekarstwem była aktualizacja do najnowszej wersji? Niekoniecznie. CVE-2020-16947 pozwala przejąć kontrolę nad komputerem z Outlookiem przy użyciu złośliwego maila. Wystarczy podgląd/powiadomienie. Nie ma ucieczki od błędów w oprogramowaniu, jak zwykle.