Łatkowy Wtorek lutego: nie odbierajcie faksów na Windows 10
Warto odwiedzić dziś Windows Update. Drugi comiesięczny pakiet aktualizacji dla Windows przynosi tym razem poprawki dla bardzo poważnych błędów w stosie TCP/IP, serwerze DNS (znowu!) i... obsłudze faksów. Pozwalają one na zdalne wykonanie kodu bez konieczności uwierzytelnienia. Trzeba spełnić kilka warunków by je wykorzystać (a gotowych eksploitów nie ma), więc jest jeszcze trochę czasu. Ale nie ma co zwlekać.
10.02.2021 00:13
Gwoździem programu w lutym 2021 zostaje obsługa funkcjonalności Source Routing (LSRR), zarówno dla IPv4 (CVE-2021-24074) jak i IPv6 (CVE-2021-24094). Source Routing definiuje dokładniej oczekiwaną ścieżkę podróży pakietu w sieci i domyślnie jest zabroniony w Windows. Sęk w tym, że system nie zachowuje się w przypadku obsługi tego protokołu tak, jak przystało np. na zaporę. Zamiast milczeć po otrzymaniu takiego pakietu, przesyła jawną odmowę. Microsoft informuje, że właśnie ta odmowa wiąże się zagrożeniem bezpieczeństwa, choć nie jest do końca jasne, w jaki sposób.
Zrzucać Source Routing
Niemniej, rozwiązaniem problemu niewymagającym zainstalowania aktualizacji jest wydanie polecenia:
[code]netsh int ipv4 set global sourceroutingbehavior=drop[/code]
Ten sam efekt, bez konieczności wołania NETSH.EXE, można osiągnąć za pomocą PowerShella. Cmdlet Set-NetIPv4Protocol oferuje parametr -SourceRoutingBehavior, który można ustawić na drop. Routing w sieci IPv6 przebiega odmiennie, niż w wersji czwartej, więc problem dotyczy tylko sieci lokalnych. Jeżeli nie chcemy (jeszcze) instalować aktualizacji, ale potrzebne jest zabezpieczenie ruchu IPv6, należy wyłączyć wymuszanie defragmentacji pakietów (reassemblylimit=0). Ma to jednak niepomijalny wpływ na specyfikę ruchu sieciowego i lepiej po prostu zaaplikować łatkę.
Uważać na serwer DNS
Drugą gwiazdą lutowych aktualizacji jest podatność w DNS (CVE-2021-24078). Odkryta przez pracowników chińskiej firmy Qi'anxin Group dziura pozwala na zdalne wykonanie kodu na systemie Windows Server, jeżeli jest na nim zainstalowana usługa serwera DNS (czyli na przykład na kontrolerach domeny). Sophos informuje, że do wykorzystania dziury potrzebne jest sprowokowanie serwera to tego, by odpytał nadrzędny serwer nazw, a następnie podszycie się pod takowy, co wymaga ściśle sprzyjających okoliczności. Dla użytkowników domowych – nic pilnego.
Na trzecie miejsce zasługują dziury w serwerze obsługi faksów (CVE-2021-24077). Windows od lat istotnie zawiera serwer faksowania, ponieważ przez bardzo długi czas faks był jednym z podstawowych narzędzi wymiany dokumentów. Serwer faksów znajduje się także w konsumenckich wersjach Windows, jeżeli jest w nich uruchomione nasłuchiwanie w ramach funkcji Faksowanie i Skanowanie w systemie Windows. Następujące polecenie PowerShell powie nam, czy usługa jest zainstalowana i uruchomiona:
[code]Get-Service -Name Fax[/code]
Nie faksować
Aby ustrzec się przed problemem, należy zatrzymać, a najlepiej wyłączyć usługę. Albo po prostu zainstalować aktualizację. Usługę zatrzymać może tylko administrator, ale jej uruchomienie nie wymaga praw administracyjnych. Swoją drogą, wyżej wymienione dziury istnieją we wszystkich wersjach Windows od Visty w górę, mają więc co najmniej 14,5 roku.
Aktualizacji jest oczywiście więcej. Wśród nich między innymi takie cuda, jak kolejny sposób na zdalne wykonanie kodu z wykorzystaniem bufora wydruku (CVE-2021-24088). Dlatego powtarzamy naszą radę: wyłączać Spooler na kontrolerach domeny! Z innych wiadomości: zdalne, wspomagane wykonanie kodu przez podsystem graficzny (współodkrywcą jest niezastąpiony Mateusz Jurczyk, o którym pisał jeden z naszych czołowych blogerów). A także ominięcie kontroli uprawnień poprzez błąd w jądrze.
Na deser cztery łatki dla Office 2010, który już trzeci miesiąc wiedzie życie pozagrobowe.