Październikowe łatki Microsoftu: ataki przez Worda, DNS‑a i złośliwe fonty
11.10.2017 15:35
Zalogowani mogą więcej
Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika
Październikowe łatanie produktów Microsoftu przyniosło łącznie62 poprawki. Dotyczą one licznych komponentów Windowsa, InternetExplorera, Microsoft Edge, Microsoft Office i Skype for Business –można więc powiedzieć, że nic szczególnego. Wśród nichznalazły się jednak trzy luki 0-day, z których przynajmniej jedna,w edytorze Word, już w sierpniu br. była wykorzystywana dowykradania wrażliwych danych.
Exploit 0-day, oznaczony jako CVE-2017-11826,pozwala na zdalne uruchomienie kodu w wszystkich wersjach MicrosoftWorda od wydania 2007, ale także w Word Automation Services orazMicrosoft Office Web Apps Server. Odkryty przez ekspertów zchińskiej firmy Qihoo 360 szkodnikprzenoszony był w plikach RTF, w których osadzono uzłośliwionyplik DOCX. Uruchamiany przez niego kod służył do wyszukania plikówdokumentów na komputerze i wgraniu ich na serwer napastnika.
Kolejne dwa wcześniej już znane błędy dotyczą podatności naatak DoS w linuksowym podsystemie Windowsa WSL (CVE-2017-8703)oraz podadności na atak XSS w Microsoft SharePoint Serverze,pozwalającym na podwyższenie uprawnień kodu (CVE-2017-11777).Microsoft zapewnia jednak, że nikt z tych błędów nie korzystał.W to nie wątpimy – wbudowany w Windowsa Linux wciąż rzadko kiedyjest aktywowany i używany, a SharePoint to produkt raczej minionejepoki.
Pozostałe (wcześniej publicznie nieznane) atrakcjepaździernikowych wydań to:
- Dwa błędy w bibliotece fontów Windowsa: CVE-2017-11762(https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11762)oraz CVE-2017-11763(https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11763)pozwalają stronom internetowym i dokumentom na uruchomienie koduosadzonego w uzłośliwonych fontach.
- Łącznie aż 19 błędów w silniku skryptowym Internet Explorerai Microsoft Edge (np. CVE-2017-11792(https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11792)),pozwalających na zdalne uruchomienie kodu przez przeglądarkę.Praktycznie wszystkie dotyczą błędnej obsługi obiektów wpamięci.
- Dwa błędy w powłoce systemowej Windowsa, CVE-2017-8727(https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8727)i CVE-2017-11819(https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11819),pozwalające oczywiście na zdalne wykonanie kodu. W pierwszymwypadku chodzi o Microsoft Windows Text Services Framework – błądw nim pozwala na zaatakowanie systemu przez stronę otwartą wIntenet Explorerze. W drugim atak jest możliwy zarówno przezInternet Explorera jak i Edge.
- Zdalnie uruchomić kod można też przez usługę Windows Search.CVE-2017-11771(https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11771)pozwala na atak za pomocą odpowiednio spreparowanych nagłówkówprotokołu SMB. Odkrywca tej luki, Jimmy Graham z firmy Ovumpodkreśla, że luka nie ma nic wspólnego z samym SMB anipodatnościami wykorzystywanymi przez exploit EternalBlue.
- Problem jest też z klientem DNS Windowsa – luka CVE-2017-11779(https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11779)pozwala złośliwemu serwerowi DNS na zdalne wykonanie kodu. Problemtkwi w przetwarzaniu rozszerzeń DNSSEC i jest raczej poważny, wkońcu każdy może postawić taki złośliwy serwer DNS np. wkawiarni i czekać, aż klienci podłączą się do sieci Wi-Filokalu. Szczegóły znajdziecie na bloguodkrywcy(https://www.bishopfox.com/blog/2017/10/a-bug-has-no-name-multiple-heap-buffer-overflows-in-the-windows-dns-client/), Nicka Freemana.
Warto też wspomnieć o wydanym w tym miesiącu ostrzeżeniuADV170012,dotyczącym błędu w czipach Trusted Platform Module na płytachgłównych Infineon. Z jego winy generowane klucze kryptograficznebyły słabe, a to oznacza, że skuteczność szyfrowania woprogramowaniu bazującym na TPM, takim jak BitLocker Microsoftu,staje się wątpliwa. Zagrożenie dotyczy głównie komputerów firmHP, Lenovo i Fujitsu i może być usunięte tylko przez aktualizacjęfirmware. Więcej informacji znajdziecie na stronieInfineona.