Wrześniowe łatki bezpieczeństwa Microsoftu: uwaga na Bluetooth i .NET

Wrześniowe łatki bezpieczeństwa Microsoftu: uwaga na Bluetooth i .NET13.09.2017 11:35
Wrześniowe łatki bezpieczeństwa Microsoftu: uwaga na Bluetooth i .NET

Jak w każdy drugi wtorek miesiąca, Microsoft załatał wczoraj82 luki zagrażające bezpieczeństwu systemów z rodziny Windows,przeglądarek Edge i Internet Explorer, pakietu Microsoft Office,hiperwizora Hyper-V, a nawet gogli HoloLens. Wśród wrześniowychzagrożeń wyróżnia się luka we frameworku .NET, wykorzystywanajuż przez cyberprzestępców do instalowania spyware, a także lukaw sterowniku Bluetooth, pozwalająca na słynny atak BlueBorne, naktóry podatne są praktycznie wszystkie urządzenia korzystające ztego protokołu.

BlueBorne: ponad 5 mld potencjalnych ofiar

Zacznijmy może nietypowo, od tego multiplatformowego BlueBorne,dotyczącego implementacji Bluetootha w Windowsie, Linuksie,macOS-ie, iOS-ie, Androidzie i zapewne bardziej niszowych systemach,a także w firmware przeróżnych urządzeń Internetu Rzeczy. Tołącznie osiem błędów, odkrytych przez ekspertów firmy ArmisLabs, które otwierają drogę do całej klasy interesującychataków. W grę wchodzi zarówno przechwytywanie komunikacjibezprzewodowej, jak i zdalne uruchamianie kodu na urządzeniachofiar.

Co więcej, luki te, najpoważniejsze z dotychczas odkrytych w tejtechnologii, pozwalać mają na stworzenie samoreplikujących sięrobaków, które swobodnie będą zarażać urządzenia z włączonymBluetoothem. W przeciwieństwie do poprzednich luk, nie dotyczą onebowiem protokołu, lecz samej implementacji, pozwalają ominąćwszelkie mechanizmy uwierzytelniania, nie potrzebują parowaniaurządzeń ani żadnej innej interakcji ze strony użytkownika.

Urządzenia z Androidem dostały łatki na luki CVE-2017-0781,CVE-2017-0782, CVE-2017-0783 i CVE-2017-0785wraz z wydaniem przezGoogle wrześniowych biuletynów bezpieczeństwa (ręka w górę, ktojuż je dostał na swój smartfon czy tablet). Urządzenia z iOS-emdostały łatki na CVE-2017-14315 wraz z ostanią aktualizacją tegosystemu, podatne są wciąż tylko urządzenia z iOS-em 9.3.5 istarszymi. W wypadku Linuksa, problem opisany w CVE-2017-1000251dotyczy systemów z kernelem starszym niż 3.3-rc1 (to jądro z 2011roku), ale oficjalny linuksowy stos Bluetootha BlueZ wciąż podatnyjest na wyciek danych (CVE-2017-1000250).

A co z Microsoftem? No cóż, wczoraj przedstawiono szczegółyłatki dla luki w windowsowej implementacji Bluetootha,CVE-2017-8628,otwierającej drogę do ataków Man-in-the-Middle. Smartfony zWindowsem były na BlueBorne odporne, pozostałe systemy już nie.Teraz po wrześniowych łatkach podatna pozostanie Vista oraz XP. Zainteresowanych szczegółami działania BlueBorne odsyłamy doraportu ArmisLabs.

0-day w .NET Frameworku

Badacze z firmy FireEye odkryli w .NET Frameworku lukę oznaczonąjako CVE-2017-8759. Niestety wcześniej już odkrył ją ktoś inny –pozwala ona na zdalne wykonanie kodu z uprawnieniami zalogowanegoużytkownika. Tkwiła ona w parserze Web Services DescriptionLanguage (WSDL),wykorzystywanym do komunikacji z usługami korzystającymi zarchitektury SOAP.

Z przedstawionych przez FireEye danych wynika,że lukę wykorzystano w malware stworzonym najprawdopodobniej przezktórąś z agencji wywiadowczych, prowadzących operacje przeciwkorosyjskojęzycznym użytkownikom. Nośnikiem infekcji byłyuzłośliwione pliki RTF, zawierające skrypt Visual Basica,wykonujący polecenia PowerShella.

Znali, ale nie wykorzystali?

W dokumentacji załatanych luk nierzadko Microsoft przyznaje, żeluka była znana, jednak nigdy z niej nie skorzystano do zaatakowaniaużytkowników. Tak było i we wczorajszych łatkach.

Nie skorzystano więc z CVE-2017-0417, czyli zdalnego wykonaniakodu na goglach Microsoft Hololens poprzez błąd w czipsecieBroadcoma, CVE-2017-8746, pozwalającego na obejście mechanizmuDevice Guard i wstrzyknięcie złośliwego kodu w sesję PowerShella,oraz CVE-2017-8723, obejścia mechanizmu Content Security Policy(CSP) w przeglądarce Microsoft Edge, czyli mechanizmu ścisłegodefiniowania lokalizacji dodatkowych zasobów, z których korzystastrona internetowa.

Uwaga, w tym ostatnim wypadku nie chodzi o odkrytą wcześniejprzez Grupę Talos lukę w CSP, której załatania Microsoft odmówił.

Administratorzy, do łatania!

Administratorzy systemów Windows powinni zwrócić szczególnąuwagę na CVE-2017-0161. Błąd w Windows NetBT Session Servicepozwala na zdalne uruchomienie kodu przez NetBIOS. Pozwala on nauruchomienie przez jedną maszynę kliencką kodu na drugiejmaszynie, o ile uda się doprowadzić do sytuacji hazardu.

Hiperwizor Hyper-V cierpiał na pięć luk pozwalających nawyciek informacji z maszyn wirtualnych, i jedną lukę która czyniłago podatnym na atak Denial-of-Service.

Przeglądarki Edge i Internet Explorer w tym miesiącu mogły siępochwalić 22 błędami (i to krytycznymi, pozwalającymi na zdalneuruchomienie kodu), z czego 10 tkwiło w silnikach skryptowych, adziewięć wiązało się z błędami pamięci.

Jak zawsze, łatki zawierają też aktualizacje komponentu FlashPlayer dla przeglądarek. W tym miesiącu Adobe znalazło tylko dwieluki pozwalające na zdalne uruchomienie kodu. Wydano także poprawkidla aplikacji Adobe RoboHelp oraz serwera ColdFusion.

Programy

Aktualizacje
Aktualizacje
Nowości
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Udostępnij:
Wybrane dla Ciebie
Komentarze (25)