Sierpniowe biuletyny Microsoftu: ucieczka z Hyper-V, Windows Search i… Linux
Znów drugi wtorek miesiąca, znów biuletyny bezpieczeństwaMicrosoftu. 48 odkrytych luk, z których 25 oznaczono jako krytyczne.Wśród nich znajdziemy całkiem zgrabne zdalne uruchomienie kodu nawszystkich wspieranych wersjach Windowsów poprzez usługę WindowsSearch. Wśród tych oznaczonych jako ważne mamy też prawdziwykwiatek – ucieczkę z maszyny wirtualnej hiperwizora Hyper-V. Przyjrzyjmy się więc bliżej sierpniowymłatkom.
Na pewno najpraktyczniejszą dla twórców malware jest luka wusłudze Windows Search, oznaczona jako CVE-2017-8620.Jak wyjaśnia Microsoft, komputery z Windowsem, na których działaudostępnianie plików przez SMB lub usługa Windows Search Service,mogą zostać zdalnie zaatakowane przez nieuwierzytelnionegonapastnika. Wykorzystując błąd w obsłudze obiektów w pamięci,może on uruchomić własny kod z uprawnieniami systemowymi i przejąćmaszynę ofiary na własność.
To zupełnie nowy atak, który nic nie ma wspólnego z wcześniejodkrytymi podatnościami, wykorzystywanymi np. w stworzonym przez NSAexploicie EternalBlue, czy też niedawno zaprezentowanym (a wciążgroźnym) exploicie SMBLoris. Biorąc pod uwagę to, że uderza onzarówno w serwery jak i końcówki z Windowsem, spodziewajmy siępowstałych w drodze odwrotnej inżynierii exploitów lada dzień.Warto podkreślić, że to już trzecia odkryta poważna luka wusłudze Windows Search – ile ich tam jeszcze może być?
Jak zwykle wiele podatności siedzi w silniku skryptowymMicrosoftu, wykorzystywanym zarówno przez przeglądarki Edge iInternet Explorer, jak i programy pakietu Microsoft Office. Dziewięćbłędów to wynik uszkodzenia pamięci podczas przetwarzaniauzłośliwionego JavaScriptu – wszystkie pozwalają na zdalneuruchomienie kodu, np. poprzez wejście na stronę internetową lubotworzenie w pakiecie Office dokumentu ze szkodnikiem.
Atak na przeglądarkę Edge możliwy jest też poprzez Windows PDFLibrary (CVE-2017-0293),wystarczy wejść na stronę internetową. Tak samo możliwy jestzdalny atak na Windows Font Library (CVE-2017-8691),poprzez skompresowane fonty, osadzone na odwiedzanej stronie. Ilośćtych błędów w przeglądarkach naprawdę wygląda niepokojąco –tym bardziej, że miesiąc po miesiącu sytuacja się nie zmienia.Jak piszebadacz Dustin Childs z Zero Day Initiative, Microsoft powinien zrobićwszystko, by te łatki były wdrażane priorytetowo, ze względu napowszechność korzystania z webu.
Ważne błędy nie są zdaniem Microsoftu krytyczne, ale czy abyna pewno? Niektóre są naprawdę spektakularne. Najciekawszy wśródnich jest błąd w hiperwizorze Hyper-V, który pozwala na ucieczkęz maszyny wirtualnej i uruchomienie własnego kodu na hoście –oczywiście z uprawnieniami systemowymi. Wystarczy uruchomić wmaszynie wirtualnej-gościu własny kod, który Hyper-V niepoprawnieprzetworzy, i już jest pozamiatane dla serwera.
Kolejna ciekawostka dotyczy… Linuksa. Ktoś już kiedyśostrzegał, że Windows Subsytem for Linux (WSL) przyniesie zupełnienowe, nieznane podatności, i oto mamy: CVE-2017-8622to błąd w obsłudze potoków NT przez WSL, pozwalając uzyskaćuprawnienia administracyjne, z kolei CVE-2017-8627,związany z niewłaściwą obsługą obiektów w pamięci, otwieradrogę do ataku DDoS na podatny system.
Warto też zwrócić uwagę na błąd w usłudze raportowania obłędach Windows Error Reporting, CVE-2017-8633.Awaria odpowiednio spreparowanej aplikacji może wywołać kod, któryuzyska uprawnienia administracyjne.
Oczywiście Microsoft dostarczył też łatkę dla wbudowanegoodtwarzacza Flash. To raptem dwabłędy, pozwalające na wyciek informacji i zdalne uruchomieniekodu. Zupełne nic, w porównaniu do liczby błędów tkwiących wczytnikach PDF tej firmy. Nadal korzystacie z Adobe Readera? Ostatnibiuletyn bezpieczeństwa łata łącznie 67 luk, z czego 44 pozwalana zdalne uruchomienie kodu. Polecamy zastanowić się nad jakimśinnym czytnikiem, np. SumatraPDF czy FoxitReader.
