Oto majowe łatki Microsoftu, wśród nich są dwie na luki już używane przez hakerów
Majowe aktualizacje bezpieczeństwa Microsoftu łatająprzynajmniej 67 luk, głównie w Windowsie, pakiecie biurowym Office,przeglądarkach Edge oraz Internet Explorer, silniku Chakra Core iframeworku .NET. 21 z nich zostało uznane za krytyczne, 32 pozwalająna zdalne uruchomienie kodu, a dwie były aktywnie wykorzystywaneprzez cyberprzestępców do ataków w Internecie. Konieczna jest więcjak najszybsza aktualizacja systemu – dzięki odwrotnej inżynieriiwydanych łatek już niebawem wszyscy zainteresowani będąwiedzieli, jak takie ataki przeprowadzać.
09.05.2018 14:42
0-day i być może 0-day
Najważniejsza z łatek dotyczy CVE-2018-8174,luki odkrytejprzez chińskich badaczy z firmy Qihoo 360. Faktycznie tkwiła ona wsilniku VBScriptu będącym systemowym komponentem przeglądarkiInternet Explorer i pozwalała na zdalne uruchomienie kodu osadzonegona stronie internetowej (przez kontrolkę ActiveX) lub w dokumencieMicrosoft Office. Wykorzystano ją w zakrojonej na szeroką skalękampanii cyberszpiegowskiej.
Druga ważna łatka na lukę 0-day to CVE-2018-8120.Występuje ona tylko w Windowsie 7 oraz Windows Serverze 2008, awynika z niewłaściwej obsługi obiektów w pamięci przez sterownikwin32k (najpopularniejsze chyba źródło luk w Windowsie, będącekolekcją samych głupich pomysłów). Tutaj udany exploit sterownikainterfejsu użytkownika pozwala napastnikowi dostać uprawnieniakernela.
Przed wydaniem majowych łatek publicznie znane były też lukiCVE-2018-8141oraz CVE-2018-8170,jednak Microsoft twierdzi, że nie były one wykorzystywane watakach. Pierwsza z nich prowadzi do wycieków wrażliwych danych zkernela, druga wykorzystuje błąd w przetwarzaniu obrazu kernela,pozwalając na uzyskanie przez aplikację uprawnieńadministracyjnych – tym razem także w Windowsie 10.
Kto chce uciec z maszyny wirtualnej?
Co jeszcze ciekawego wśród luk? Naszą uwagę zwróciły dwabłędy w Hyper-V, CVE-2018-0959oraz CVE-2018-0961.To prawdziwy koszmar administratorów – użytkownicy mogą w swoichmaszynach wirtualnych uruchomić kod, który pozwoli przejąćkontrolę nad hostem i innymi maszynami wirtualnymi.
Interesująca jest też CVE-2018-8153w serwerze poczty Exchange. Pozwala ona na wykorzystanie interfejsuOutlook Web Access do przekierowania nieświadomych internautów nastrony phishingowe, wykradające ich loginy i hasła. Microsoft uznałto jednak za zagrożenie niskiej rangi, ponieważ wymagana jestinterakcja z użytkownikiem.
RCE, raz rangi krytycznej, a raz niskiej
Druga ciekawa, a niskiej rangi luka toCVE-2018-8136.Zdalne wykonanie kodu i tylko niska ranga? No cóż, tutaj użytkownikmusi być zalogowany do domeny. Pochwalić więc należy Microsoft,że chciało mu się tę lukę załatać.
Dziwne jest też CVE-2018-8115,zdalne uruchomienie kodu w bibliotece Windows Host Compute ServiceShim (hcsshim). Microsoft wydał do niej łatkę tydzień temu, pozanormalnym cyklem, udostępniając ją na GitHubie. Zagrożenie uznanoza krytyczne, mimo że nie ma exploitów an
Mamy też już przedsmak problemów, jakie przyjdą z napędzanymoprogramowaniem Microsoftu Internetem Rzeczy. CVE-2018-8119dotyczy Azure IoT SDK – błąd w przetwarzaniu certyfikatówbezpieczeństwa po protokole AQMP. Napastnik, który jest w stanieprzeprowadzić atak man-in-the-middle, jest w stanie podszyć siępod serwer i przejąć dane z sensorów IoT.
Mamy też wśród łatek dla Windowsa łatkę dla dopiero cozałatanego Flash Playera (ADV180008).Zignorować jej nie można – pomieszanie typów pozwoliło nazdalne uruchomienie kodu, a przecież wciąż flashowe obiektynapotykamy tu i ówdzie w sieci.
Na koniec należy wspomnieć, że wydane łatki już mają swojeproblemy. Zainstalowanie ich na Windowsie 10 wersja 1607 możeutrudnić późniejszą aktualizację systemu. Na Windowsie 10 wersja1709 przy ustawionych innych językach niż angielski mogą pojawiaćsię komunikaty po angielsku. Z kolei Windows 7 SP1 i Windows Server2008 R2 mogą zaliczyć niebieski ekran śmierci, jeśli działająna starych komputerach, nie wspierających rozkazów procesora SSE2.Zasadniczo jednak to drobiazgi, można założyć, że łataniesystemu nie powinno wiązać się w tym miesiącu z poważniejszymikłopotami.