Windows 10 i Łatkowy Wtorek czerwca: gdy interakcja nie jest interakcją

Strona głównaWindows 10 i Łatkowy Wtorek czerwca: gdy interakcja nie jest interakcją
09.06.2021 01:37
Windows 10 i Łatkowy Wtorek czerwca: gdy interakcja nie jest interakcją
Windows 10 i Łatkowy Wtorek czerwca: gdy interakcja nie jest interakcją
Źródło zdjęć: © PxHere

Wydano comiesięczny, pokaźny zbiór aktualizacji dla produktów Microsoftu, łatający ponad 50 problemów z zabezpieczeniami. Najpoważniejszy z nich, zlokalizowany w DWM, mimo wysokiej oceny został oznaczony jako "Ważny". Tymczasem dziury w kodekach i Internet Explorerze są "Krytyczne", choć wymagają interakcji użytkownika. Czyżby kryteria wyceny istotności błędów były niejasne?

bErrqICt

Podatność w DWM, choć wyceniona na 8.4 CVSS, jest jedynie "Ważna", a nie "Krytyczna". Wymaga bowiem pobrania i uruchomienia złośliwego kodu w postaci, która nigdy nie wykonuje się samodzielnie. Innymi słowy, potrzebny jest plik EXE, skrypt lub makro, uruchomione interaktywnie. Dopiero wtedy możliwe jest wykorzystanie CVE-2021-33739 i zdobycie uprawnień administracyjnych bez uwierzytelnienia.

Rozsądek podpowiada, że podatności oznaczone jako krytyczne będą wymagać mniej zaangażowania użytkownika niż luka w DWM. Wytyczne Microsoftu mówią, że poziom "Krytyczny" otrzymują luki niewymagające interakcji, jak robaki i podatności zdalne. Tymczasem dziury oznaczone jako krytyczne wymagają tyle samo, a być może i więcej "współpracy" ze strony użytkownika celem wykorzystania.

Wytyczne MSRC
Źródło zdjęć: © Microsoft Corporation | Kamil J. Dudek
Wytyczne MSRC

Z tego powodu są ocenione niżej w CVSS (7.8, 7.5), a reguły CVE informują, że konieczna jest interakcja. Dlaczego więc CVE-2021-31959, CVE-2021-33742, CVE-2021-31985 i CVE-2021-31967 są krytyczne?

bErrqICv

Niecodzienna klasyfikacja

Wynika to z bardzo nietypowego sposobu klasyfikowania przez Microsoft, co tak naprawdę oznacza "interakcja". Wskutek dość pokrętnej logiki, akt wejścia na złośliwą stronę internetową (która następnie uruchomi skrypt wykorzystujący lukę) nie jest uważany za interakcję, ponieważ... skrypt na wyświetlonej stronie uruchamia się sam.

Chodzi o to, że będąc "zawartością aktywną" uruchamia się nie pytając użytkownika o pozwolenie. CVE-2021-31959 i CVE-2021-33742 dotyczą w dodatku tylko Internet Explorera/WSH. CVE-2021-31967 to kodek VP9 (i jest aktualizowany przez Sklep, a nie przez Windows Update).

MSRC za czerwiec ma 1117 wpisów
Źródło zdjęć: © Microsoft Corporation
MSRC za czerwiec ma 1117 wpisów

CVE ma o wiele więcej sensu niż interpretacja MSRC. Wejście na stronę internetową zdecydowanie jest zachowaniem wymagającym interakcji użytkownika. Stosowanie interpretacji "nieunikniony, powszechny scenariusz" to naciągane wytłumaczenie, jednocześnie w dodatku informujące pośrednio że tak, jesteśmy otoczeni samoczynnie wykonującymi się skryptami których nie widać, tak ma być, to jest w porządku.

bErrqICB

Poprawka i tak przychodzi w paczce z resztką łatek w ramach aktualizacji kumulatywnej, ale wybranie akurat takich słabości jako "Krytyczne" jest osobliwe.

Defender

Drugą, mniejszą osobliwością, którą można zaobserwować przy okazji, jest CVE-2021-31985, która jest dziurą w silniku antywirusowym Defendera i na którą nie ma poprawki, bo aktualizację mają dostarczyć... definicje. W jaki sposób dziura w silniku jest łatana definicjami? Otóż dzięki temu, że aktualizacja definicji nigdy nie zawiera tylko definicji.

Zawartość aktualizacji definicji Defendera
Kamil J. Dudek
Zawartość aktualizacji definicji Defendera

To, co powszechnie nazywa się "silnikiem antywirusowym Defendera", czyli program MsMpEng.exe, nie jest tym, czym się wydaje. "Eng" istotnie zapewne pochodzi od "Engine", ale MsMpEng.exe jest składnikiem usługi Defendera i dopiero ona korzysta z dynamicznie ładowanych silników.

bErrqICC

Wraz z pakietem nowych definicji zawsze przychodzi najnowsza wersja silnika antywirusowego. Silnik bywa aktualizowany rzadziej niż definicje (a te mogą otrzymywać nawet kilkadziesiąt aktualizacji dziennie), ale jest obecny w każdej aktualizacji Defendera.

Składnikiem aktualizującym usługę MsMpEng nie jest Antimalware Engine, ale Antimalware Platform i to istotnie jest oddzielna, rzadka aktualizacja wydana przez Windows Update.

Microsoft dba o to, by nie było nudno.

Programy

Aktualizacje
Aktualizacje
Nowości
bErrqIDr