Windows dziurawy bardziej niż zwykle, w marcu samo Edge ma 32 łatki

Microsoft w ostatnich miesiącach bardzo się stara, by jegopartnerzy i klienci odnieśli wrażenie, że w dziedzinie strategiibezpieczeństwa w Redmond panuje bałagan. Zapowiadane zaniechaniewydawania poprawek bezpieczeństwa w postaci biuletynów nie doszłodo skutku. W drugi wtorek marca, miesiąc po niewydaniu lutowychpoprawek, spodziewaliśmy się obiecywanej od jesieni przeszukiwalnejbazy danych, Security Updates Guide. Nic z tego. Znów tradycyjnebiuletyny – i to aż 18, z czego dziewięć uznanych za krytyczne.I tak, wiele w tym luk, które były już wykorzystywane, mimo żeMicrosoft utrzymuje inaczej.

Przegląd zaczynamy tradycyjnie od biuletynów oznaczonych jakokrytyczne. Niektóre z nich łatają bezprecedensową liczbę luk.Chyba za wcześnie pochwaliliśmy Microsoft, że robi lepszą robotęniż Adobe. Nie, obie firmy mogą sobie znów podać ręce, możejeszcze zaprosić do tego kolegów z Oracle.

MS17-006to biuletyn dla Internet Explorera, który łata 12 luk. Mamy tu więcbłędy w silniku skryptowym pozwalające na zdalne uruchamianie kodu,do tego błędy w obsłudze obiektów w pamięci pozwalające nawycieki informacji, niepoprawne parsowanie adresów HTTP, lukipozwalające na podwyższenie uprawnień… czyli w sumie normalnie.Interesujące jest to, że mimo wcześniejszego publicznegoujawnienia wielu tych luk, Microsoft utrzymuje, że niemal żadna niebyła exploitowana. Jedynie CVE-2017-0149, pozwalająca na zdalneuruchomienie kodu przez uszkodzenie pamięci została oznaczona jako0-day.

Co to jest 12 luk? Microsoft Edge, załatane w biuletynieMS17-007,miało 32 luki, z czego sześć było już publicznie znanych przedzałataniem. I tym razem hakerzy mieli dobre serca, nie zdecydowalisię zdaniem Microsoftu luk tych wykorzystać w swoich atakach, mimoże mamy tu całą paletę atrakcji – błędy w parsowaniu HTTPpozwalające na phishing, wycieki informacji, a nawet uszkodzeniapamięci pozwalające na zdalne uruchomienie kodu.

Robi wrażenie też lista błędów, które były nieujawnione iniewykorzystywane w atakach – 18 (sic!) luk w silniku skryptowym,błąd w silniku PDF, trzy błędy pozwalające na obejściezabezpieczeń Edge, jedno uszkodzenie pamięci, cztery lukipozwalające na wyciek danych.

MS17-008to łatanie hiperwizora Hyper-V, cztery luki dotyczą podatności nazdalne uruchomienie kodu, sześć pozwala na ataki Denial of Service(w tym jedna na ataki na switch sieciowy), jedna umożliwia wyciekiinformacji z maszyn wirtualnych. Ponownie hakerzy mieli serce i nierobili żadnych DDoS–ów na Hyper-V, mimo że jedna z podatnościbyła publicznie znana.

MS17-009to biuletyn dla biblioteki Windows PDF. Tutaj błąd w obsłudzeobiektów w pamięci pozwalał na zdalne uruchomienie kodu.Uzłośliwiony dokument PDF otwierany w Edge wystarczył, byuruchomić w przeglądarce kod. Inne systemy niż Windows 10 byłybezpieczne.

W biuletynie MS17-010dla Windows SMB widzimy pięć luk pozwalających na zdalneuruchomienie kodu i jedną pozwalającą na wyciek informacji, ależadna z nich nie była publicznie ujawniona, żadna nie byłaexploitowana. A co z tą luką pozwalającą na zdalne zawieszenieWindowsa, o której słyszeliśmy już wcześniejod niezależnego badacza? Ona z jakiegoś powodu trafiła do innegobiuletynu.

MS17-011dotyczy Windows Uniscribe, czyli tego zestawu usług i interfejsówdo wyrafinowanej typografii. Tym razem miały one w sobie 29 luk.Osiem z nich pozwalało na zdalne uruchomienie kodu, 21 na wyciekiinformacji. Żadna luka nie była publicznie znana aniwykorzystywana.

MS17-012to taki biuletyn–worek z różnymi poprawkami. Mamy tu więc błądw obsłudze bibliotek DLL (i oczywiście zdalne uruchamianie kodu),możliwość obejścia zabezpieczeń Device Guard, wycieki informacjiz usługi DNS Windowsa, uszkodzenie pamięci w iSNS Serverze,podwyższenie uprawnień w Windows HelpPane, oraz ten wspomnianywcześniej błąd w protokole SMB 2.0 i 3.0, pozwalający na zdalnezawieszanie Windowsa. Ponownie Microsoft utrzymuje, że nikt zdalnieWindowsa zawieszać nie chciał.

Biuletyn dla Graphics Device Interface (GDI) oznaczony zostałjako MS17-013.Jest naprawdę ciekawy, tym bardziej, że mamy w nim, uwaga…nieznany wcześniej 0-day. To CVE-2017-0005, jeden z czterech błędówpozwalających na podwyższenie uprawnień. Pozostałe błędydotyczą wycieków informacji i zdalnego uruchomienia kodu(CVE-2017-0014 – znów publicznie znany, ale przez nikogo niewykorzystywany). Do biuletynu wrzucono też łatki dla MicrosoftColor Management Module, który z jakiegoś powodu pozwala na wyciekidanych z pamięci.

MS17-023to już sprawka Adobe – zbiorczy zestaw łatek dla Flash Playera.Tym razem tylko siedem dziur, wszystkie pozwalały na zdalneuruchomienie kodu.

Klasyfikacja luk krytycznych – kwestia umowna. Widać to poMS17-014,biuletynie uznanym za ważny, mimo że dotyczy luk pozwalających nazdalne uruchomienie kodu w Microsoft Office (także na Maku). Do tegosiedem błędów w obsłudze pamięci pozwalających na wyciekiinformacji, podatność na ataki DoS, podatność na atak XSS wSharePoint Serverze 2013 i obejście zabezpieczeń w Lyncu na Maka.

Drugi ważny biuletyn, który mógłby być krytycznym, toMS17-017.Dotyczy on czterech luk, w tym luki w kernelu Windowsa pozwalającejna podwyższenie uprawnień, która była już publicznie znana (alektórej oczywiście nie używano). Mamy tu też luki w Rejestrze,obsłudze współdzielonych folderów i Windows TransactionManagerze. Do tego mamy ciekawy MS17-018,tj. osiem luk w sterownikach trybu kernela, które również możnabyło wykorzystać do podwyższenia uprawnień.

MS17-015to biuletyn dla Microsoft Exchange Outlook Web Accessu (tam teżpodwyższenie uprawnień), MS17-016dotyczy zaś IIS Servera, który pozwalał na przeprowadzenie atakówXSS, dających dostęp do normalnie niedostępnych informacji.MS17-019to z kolei załatanie wycieków informacji z Windows Active DirectoryFederation Services, MS17-020to wyciek informacji z Windows DVD Makera (i to przez Cross-SiteRequest Forgery), zaś MS17-021to łatka na wyciek informacji z Windows DirectShow.

Stawkę zamyka MS17-022– to wyciek informacji z Microsoft XML Core Services. Lukapublicznie nieznana, a jednak aktywnie wykorzystywana w atakach.

Jedno jest pewne – przez najbliższe dni administratorzysystemów Microsoftu będą mieli sporo roboty. Łatki już w drodze,aby Windows mógł być znowu bezpieczny.