Windows 10 i najciekawsze luki marca 2020. Najważniejszej oficjalnie nie załatano

Zaskakująco dużo podatności odkryto w Wordzie i serwerze SharePoint, ale są one dość mało interesujące i łatwe do odsiania przez oprogramowanie zabezpieczające nawet bez aktualizacji. Poza nimi jednak opublikowano piętnaście biuletynów zabezpieczeń dla systemów Windows, z których żaden nie został wyceniony szczególnie wysoko na skali CVSS.

Podatności CVE-2020-0774, CVE-2020-0874, CVE-2020-0879, CVE-2020-0880, CVE-2020-0882 i CVE-2020-0885 to dziury w nieszczęsnym komponencie GDI, historycznej zaszłości w modelu programowania graficznych aplikacji Win32 i rojem kompromisów projektowych, przekładających się (najwyraźniej) na marną implementację. Większość luk odkryli Chińczycy (m. in. z Qihoo 360 Technology). Ze względu na naturę GDI, ich wykorzystanie wymaga zastosowania interaktywnej sesji użytkownika.

Podobnie lokalnej, uwierzytelnionej sesji wymagają CVE-2020-0876 (dziura w Win32k, chińska), CVE-2020-0820 (Media Foundation/WMA, też chińska), CVE-2020-0871 (czytanie pamięci procesów uprzywilejowanych przez usługę połączeń sieciowych, również chińska) i CVE-2020-0861 (dziura w sterowniku NDIS, wygląda na ciekawą i nie jest chińska, jej odkrywcą jest Markus Piéton).

Kontynuując zeszłomiesięczne prace badaczy i tym razem zidentyfikowano podatności w komponentach zautomatyzowanego serwisowania. Luki są obecne w usługach wywołujących szczególne upodobanie niektórych użytkowników "Dziesiątki": Raportowanie Błędów Windows (CVE-2020-0775), Instalator Modułów/Windows Update (CVE-2020-0859) oraz Środowiska i telemetria połączonego użytkownika (CVE-2020-0863). Dziury nie umożliwiają zdalnego wykonania kodu ani (bezpośredniego) podniesienia uprawnień, ale pozwalają odczytać dowolny plik na komputerze, a to już sporo.

Najciekawsze jest jednak to, czego zabrakło. Przede wszystkim, w najnowszej aktualizacji zbiorczej wciąż brakuje nowych wersji podpisów i list odwoławczych firmware dla instrumentacji Secure Boot. Idąc alfabetycznie, po szablonach administracyjnych (secconfig) następują od razu komponenty BitLockera (securestartup). Unieważnionych GRUBów Kaspersky'ego (secureboot) nie ma. Czyli Secure Boot dalej nie działa. I nie, Forum UEFI dalej nie odpisało nam czy ktokolwiek u nich pracuje.

Okazuje się, że brakuje jeszcze jednej rzeczy. Otóż Microsoft przez przypadek pospieszył się. Osobom uprawnionym do czytania comiesięcznego spisu dziur przed czasem dostarczył listę... dłuższą o jedną pozycję. Podatność CVE-2020-0796, której strona nie istnieje w MSRC Microsoftu, a w NIST oznaczona jest jako "zarezerwowana", została lakonicznie opisana przez Cisco Talos. Opis wkrótce potem wycofano.

Najwyraźniej istnieje dziura w protokole SMBv3 (wprowadzonym w Windows 8) umożliwiająca zdalne wykonanie kodu przed uwierzytelnieniem, wysyłając spreparowany pakiet na port 445. Kod zapewne zostałby wykonany na prawach NETWORK SERVICE lub SYSTEM, a dziura nosi znamiona "wormable", czyli możliwej do wykorzystania celem rozpoczęcia samopodtrzymującej się epidemii.

Szczegóły nie są znane. Trochę przecieków i inżynierii wstecznej pozwoliło odkryć, że chodzi w kompresję SMB, domyślnie włączoną, a możliwą do wyłączenia z użyciem nieudokumentowanej wartości DWORD "CompressionEnabled" w kluczu

Windows Registry Editor Version 5.00: [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters]"CompressionEnabled"=dword:00000000

Należy jej przydzielić wartość 0.

"Wormable bug" oznacza "bezdotykową" dziurę niewymagającą żadnej aktywności ze strony użytkownika i pozwalającą na epidemię w stylu EternalBlue. Należy więc spodziewać się, że wkrótce Microsoft wyda kolejną aktualizację, dostarczając remedium na CVE-2020-0796.