Styczniowe biuletyny Microsoftu: Windows 10 ze zdalnym dostępem do kont bez haseł
Pierwszy w tym roku zestaw biuletynów bezpieczeństwa odMicrosoftu nie rozczarowuje. Wśród 25 załatanych luk możemyznaleźć prawdziwe perełki, które choć jak producent Windowsutrzymuje nie zostały jeszcze wyexploitowane, to niewątpliwie jużniebawem posłużą do nowych ataków. Jak na razie u nasaktualizacja przebiegła bezproblemowo, więc zachęcamy Was doszybkiej instalacji. Użytkownicy starszych wersji „okienek”powinni jednak uważać – Microsoft najwyraźniej ulepszył swojenarzędzia do promowania Windowsa 10, zmiany w rejestrze mogą niewystarczyć już do ich wyłączenia.
13.01.2016 13:16
Tym razem nie będzie po kolei. Najbardziej interesujący wśródstyczniowych biuletynów wydaje się MS16-007,naprawiający łącznie sześć luk w Windowsach, związanych zwalidacją danych przed załadowaniem bibliotek DLL, uwierzytelnianiaformularzy przez DirectShow i zdalnego logowania do kont bez haseł.Tak, dobrze czytacie. Windows 10 Remote Desktop Protocol pozwalałnapastnikom na zdalne zalogowanie się do profili użytkowników bezhaseł. Normalnie RDP dla takich kont jest zablokowany, jednak zjakiegoś powodu w „dziesiątce” było inaczej.
Nie obyło się bez poprawek dla Internet Explorera (MS16-001)i Microsoft Edge (MS16-002).Ta pierwsza jest prawdopodobnie ostatnią, którą starsze wersje IEotrzymają, dotyczy problemów z obsługą obiektów w pamięci przezsilnik JavaScriptu i przestrzeganiu polityk cross-domain, a jejwykorzystanie pozwala na zdalne uruchomienie złośliwego kodu. Edgemiało podobne problemy, przede wszystkim w silniku skryptowymChakra, co i w tym wypadku pozwalało na zdalne urchomieniezłośliwego kodu. Podobne (a może i te same) błędy dotycząniezależnego systemowego silnika VBScriptu i JScriptu, rozwiązanoje w poprawkach z biuletynu MS16-003.
Czwarty z kolei biuletyn (MS16-004)dotyczy Microsoft Office'a w wersjach od 2007 do 2016. Błędy wimplementacji randomizacji przestrzeni adresowej, obsłudze obiektóww pamięci i przestrzeganiu ustawień polityk kontroli dostępupozwoliły na zdalne uruchomienie złośliwego kodu z uprawnieniamizalogowanego użytkownika, który osadzić można w pliku dokumentutego pakietu biurowego. Nie ma to jak multiplatformowość: zagrożenisą też użytkownicy Maków, korzystający z Office 2011 i 2016 naswoich komputerach.
MS16-005jest poprawką dla dwóch usterek w Windowsach, z których jednapozwala na zdalne uruchomienie kodu na komputerze ofiary, któraodwiedziła odpowiednio spreparowaną stronę internetową, druga zaśdotyczy eskalacji uprawnień takiego procesu. Najbardziej zagrożenisą w tym wypadku użytkownicy Visty i Windowsa 7, w pozostałychwersjach okienek dojść może jedynie do ujawnienia wrażliwychdanych. A gdzie tkwił błąd? Tym razem zawiniła biblioteka GDI(graphics device interface), odpowiedzialna za przedstawienieobiektów graficznych i dostarczenie ich na urządzenia wyjściowe.
Kolejny multiplatformowy błąd łatany jest przez MS16-006.Dotyczy on Silverlighta, nie tylko na Windowsie, ale też na OS-ie X.Zachęcając użytkownika do odwiedzenia odpowiednio spreparowanejwitryny z treściami w Silverlighcie można uruchomić u niegozłośliwy kod. Problem dotyczy możliwości podmiany nagłówkówobiektów przetwarzanych przez złośliwy dekoder nagłówkamidostarczonymi przez napastnika.
Warty uwagi jest też biuletyn MS16-008.Przynosi on łatkę na luki, które umożliwiały wykorzystaniepunktów montowania systemu plików do eskalacji uprawnień,pozwalając napastnikowi uruchomić swój kod z uprawnieniamiadministratora. Z jakiegoś powodu nie ma biuletynu MS16-009 (czyżbyzostał w ostatniej chwili wycofany?), jest za to biuletyn MS16-010,naprawiający luki w serwerze poczty Exchange (wersje 2013 i 2016),który niewłaściwie obsługując żądania webowe pozwalał nawydobycie wrażliwych informacji użytkowników i uruchomienie u nichataków skryptowych.
Pojawiły się niestety też informacje, że wraz z instalacjąnowych biuletynów użytkownicy starszych Windowsów mogą dostaćnową łatkę, która dwa razy dziennie resetuje w rejestrzeustawienia flagi[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ WindowsUpdate\OSUpgrade\AllowOSUpgrade]do wartości 1, co sprawia, że programy takie jak GWXControl Panel, używane do zablokowania nagabywań o aktualizacjido Windowsa 10, przestają być skuteczne. Jeszcze tej łatki nieprzyłapaliśmy, ale będziemy śledzić tę sprawę i szukaćrozwiązań, tak by jednak w tej zabawie w kotka i myszkę zprzymusową darmową aktualizacją to użytkownik wygrał, a nieMicrosoft.