Sierpniowe biuletyny Microsoftu: ucieczka z Hyper-V, Windows Search i… Linux

Sierpniowe biuletyny Microsoftu: ucieczka z Hyper-V, Windows Search i… Linux09.08.2017 12:35
Sierpniowe biuletyny Microsoftu: ucieczka z Hyper-V, Windows Search i… Linux

Znów drugi wtorek miesiąca, znów biuletyny bezpieczeństwaMicrosoftu. 48 odkrytych luk, z których 25 oznaczono jako krytyczne.Wśród nich znajdziemy całkiem zgrabne zdalne uruchomienie kodu nawszystkich wspieranych wersjach Windowsów poprzez usługę WindowsSearch. Wśród tych oznaczonych jako ważne mamy też prawdziwykwiatek – ucieczkę z maszyny wirtualnej hiperwizora Hyper-V. Przyjrzyjmy się więc bliżej sierpniowymłatkom.

Na pewno najpraktyczniejszą dla twórców malware jest luka wusłudze Windows Search, oznaczona jako CVE-2017-8620.Jak wyjaśnia Microsoft, komputery z Windowsem, na których działaudostępnianie plików przez SMB lub usługa Windows Search Service,mogą zostać zdalnie zaatakowane przez nieuwierzytelnionegonapastnika. Wykorzystując błąd w obsłudze obiektów w pamięci,może on uruchomić własny kod z uprawnieniami systemowymi i przejąćmaszynę ofiary na własność.

To zupełnie nowy atak, który nic nie ma wspólnego z wcześniejodkrytymi podatnościami, wykorzystywanymi np. w stworzonym przez NSAexploicie EternalBlue, czy też niedawno zaprezentowanym (a wciążgroźnym) exploicie SMBLoris. Biorąc pod uwagę to, że uderza onzarówno w serwery jak i końcówki z Windowsem, spodziewajmy siępowstałych w drodze odwrotnej inżynierii exploitów lada dzień.Warto podkreślić, że to już trzecia odkryta poważna luka wusłudze Windows Search – ile ich tam jeszcze może być?

Jak zwykle wiele podatności siedzi w silniku skryptowymMicrosoftu, wykorzystywanym zarówno przez przeglądarki Edge iInternet Explorer, jak i programy pakietu Microsoft Office. Dziewięćbłędów to wynik uszkodzenia pamięci podczas przetwarzaniauzłośliwionego JavaScriptu – wszystkie pozwalają na zdalneuruchomienie kodu, np. poprzez wejście na stronę internetową lubotworzenie w pakiecie Office dokumentu ze szkodnikiem.

Atak na przeglądarkę Edge możliwy jest też poprzez Windows PDFLibrary (CVE-2017-0293),wystarczy wejść na stronę internetową. Tak samo możliwy jestzdalny atak na Windows Font Library (CVE-2017-8691),poprzez skompresowane fonty, osadzone na odwiedzanej stronie. Ilośćtych błędów w przeglądarkach naprawdę wygląda niepokojąco –tym bardziej, że miesiąc po miesiącu sytuacja się nie zmienia.Jak piszebadacz Dustin Childs z Zero Day Initiative, Microsoft powinien zrobićwszystko, by te łatki były wdrażane priorytetowo, ze względu napowszechność korzystania z webu.

Ważne błędy nie są zdaniem Microsoftu krytyczne, ale czy abyna pewno? Niektóre są naprawdę spektakularne. Najciekawszy wśródnich jest błąd w hiperwizorze Hyper-V, który pozwala na ucieczkęz maszyny wirtualnej i uruchomienie własnego kodu na hoście –oczywiście z uprawnieniami systemowymi. Wystarczy uruchomić wmaszynie wirtualnej-gościu własny kod, który Hyper-V niepoprawnieprzetworzy, i już jest pozamiatane dla serwera.

Kolejna ciekawostka dotyczy… Linuksa. Ktoś już kiedyśostrzegał, że Windows Subsytem for Linux (WSL) przyniesie zupełnienowe, nieznane podatności, i oto mamy: CVE-2017-8622to błąd w obsłudze potoków NT przez WSL, pozwalając uzyskaćuprawnienia administracyjne, z kolei CVE-2017-8627,związany z niewłaściwą obsługą obiektów w pamięci, otwieradrogę do ataku DDoS na podatny system.

Warto też zwrócić uwagę na błąd w usłudze raportowania obłędach Windows Error Reporting, CVE-2017-8633.Awaria odpowiednio spreparowanej aplikacji może wywołać kod, któryuzyska uprawnienia administracyjne.

Oczywiście Microsoft dostarczył też łatkę dla wbudowanegoodtwarzacza Flash. To raptem dwabłędy, pozwalające na wyciek informacji i zdalne uruchomieniekodu. Zupełne nic, w porównaniu do liczby błędów tkwiących wczytnikach PDF tej firmy. Nadal korzystacie z Adobe Readera? Ostatnibiuletyn bezpieczeństwa łata łącznie 67 luk, z czego 44 pozwalana zdalne uruchomienie kodu. Polecamy zastanowić się nad jakimśinnym czytnikiem, np. SumatraPDF czy FoxitReader.

Programy

Aktualizacje
Aktualizacje
Nowości
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Udostępnij:
Wybrane dla Ciebie
Komentarze (50)