Łatkowy Wtorek października: przejęcie UEFI, ucieczka z Hyper-V i błąd w IPv6

Na regularne tematy zazwyczaj trudno pisać coś ciekawego lub odkrywczego. Windows Update okazuje się łamać tę konwencję i co miesiąc dostarczać nowości na tyle "innowacyjnych", że trudno o nudę. Dostarcza to oczywiście mniej radości, gdy przychodzi przygotowywać w związku z tym nowe obrazy instalacyjne (zapewniam). Na ile jest to pilne tym razem? Mniej, niż poprzednio. Ale to trudny rachunek.

Łatkowy wtorek października (fot.  Andrew Martin,  Pixabay)
Łatkowy wtorek października (fot. Andrew Martin, Pixabay)
Kamil J. Dudek

14.10.2020 | aktual.: 23.10.2020 00:05

Gdy Microsoft wydał sierpniowe łatki bezpieczeństwa, bardzo poważna luka w NETLOGON była opisana tak okrężnie, że świat wpadł w związku z nią w popłoch dopiero miesiąc później, gdy udostępniono gotowe exploity. Łatwo więc o przeoczenia, w tym z powodów "psychologicznych", więc aktualizacje krytyczne najlepiej pobierać i instalować tak szybko, jak to tylko możliwe.

Co tym razem?

Łatek październikowych jest cała góra, z czego spora część dotyczy nieupoważnionego zdobycia wyższych uprawnień wskutek uruchomienia złośliwego kodu. Jest jednak kilka wyróżniających się punktów programu, w kwestiach technicznych (pisanie po UEFI) lub ze względu na powagę problemu (wykonanie kodu wskutek wyświetlenia dokumentu, CVE-2020-16911).

UEFI

Z perspektywy technicznej, błędem o najciekawszych implikacjach jest dziurawa ochrona EFIVARS, CVE-2020-16910. Pozwala on na pisanie po obszarze chronionym UEFI i dotyczy tylko Windows 10. Jest obecnie zagrożeniem teoretycznym, wymaga sporych przygotowań wstępnych, i samodzielnie będzie trudny do wykorzystania, wspomagając raczej (również teoretyczne) inne ataki wymierzone w UEFI. Tych z czasem będzie coraz więcej.

Hyper-V

Drugą ciekawostką jest ucieczka z hipernadzorcy: to groźna kategoria ataków pozwalająca na takim nadużyciu maszyny wirtualnej, by operator wirtualizacji wykonał kod na komputerze-hoście. Maszyny wirtualne bywają uznawane za mechanizmy separacji zabezpieczeń. Możliwość oszukania Hyper-V (CVE-2020-16891) i wołania kodu na serwerze to poważna sprawa. Problem dotyczy wszystkich wersji Windows, w tym jakimś cudem Windows 7. Czyżby chodziło o składnik Virtual PC?

IPv6

Rzeczą mniej ciekawą, ale o wiele poważniejszą, jest CVE-2020-16898. To poważny błąd w implementacji IPv6, a dokładniej standardu RFC 6106 (DNS via Router Advertisement). Wskutek wysłania odpowiednio przygotowanego pakietu TCP, możliwe jest wykonanie kodu na maszynie, z uprawnieniami stosu sieciowego (a więc wysoko). Przed atakiem nie chroni zapora. Konieczne jest wyłączenie obsługi "RA Based DNS Config" lub IPv6 w całości. Problem dotyczy Windows 10 w wersji 1709 i nowszych.

Office

Październik 2020 to także ostatni raz, gdy aktualizacje otrzymuje Office 2010. Na pożegnanie było ich 5. Jedna z nich, CVE-2020-16933, dotyczy problemów logicznych związanych z obsługą plików LNK. Pozostałe należą do kategorii "wykonanie kodu wskutek otwarcia dokumentu, nawet bez makr" i chodzi w nich o składnik Microsoft Graph.

Microsoft Graph to program z ubiegłej epoki (fot. Kamil Dudek)
Microsoft Graph to program z ubiegłej epoki (fot. Kamil Dudek)

Wydawałoby się zatem, że to antyczne składniki Office'a wywołują problemy. Jet, ODBC, LNK, EQNEDT, Graph... Czyżby lekarstwem była aktualizacja do najnowszej wersji? Niekoniecznie. CVE-2020-16947 pozwala przejąć kontrolę nad komputerem z Outlookiem przy użyciu złośliwego maila. Wystarczy podgląd/powiadomienie. Nie ma ucieczki od błędów w oprogramowaniu, jak zwykle.

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (44)