Wrześniowe łatki bezpieczeństwa Microsoftu: uwaga na Bluetooth i .NET
Jak w każdy drugi wtorek miesiąca, Microsoft załatał wczoraj82 luki zagrażające bezpieczeństwu systemów z rodziny Windows,przeglądarek Edge i Internet Explorer, pakietu Microsoft Office,hiperwizora Hyper-V, a nawet gogli HoloLens. Wśród wrześniowychzagrożeń wyróżnia się luka we frameworku .NET, wykorzystywanajuż przez cyberprzestępców do instalowania spyware, a także lukaw sterowniku Bluetooth, pozwalająca na słynny atak BlueBorne, naktóry podatne są praktycznie wszystkie urządzenia korzystające ztego protokołu.
13.09.2017 11:35
BlueBorne: ponad 5 mld potencjalnych ofiar
Zacznijmy może nietypowo, od tego multiplatformowego BlueBorne,dotyczącego implementacji Bluetootha w Windowsie, Linuksie,macOS-ie, iOS-ie, Androidzie i zapewne bardziej niszowych systemach,a także w firmware przeróżnych urządzeń Internetu Rzeczy. Tołącznie osiem błędów, odkrytych przez ekspertów firmy ArmisLabs, które otwierają drogę do całej klasy interesującychataków. W grę wchodzi zarówno przechwytywanie komunikacjibezprzewodowej, jak i zdalne uruchamianie kodu na urządzeniachofiar.
Co więcej, luki te, najpoważniejsze z dotychczas odkrytych w tejtechnologii, pozwalać mają na stworzenie samoreplikujących sięrobaków, które swobodnie będą zarażać urządzenia z włączonymBluetoothem. W przeciwieństwie do poprzednich luk, nie dotyczą onebowiem protokołu, lecz samej implementacji, pozwalają ominąćwszelkie mechanizmy uwierzytelniania, nie potrzebują parowaniaurządzeń ani żadnej innej interakcji ze strony użytkownika.
Urządzenia z Androidem dostały łatki na luki CVE-2017-0781,CVE-2017-0782, CVE-2017-0783 i CVE-2017-0785wraz z wydaniem przezGoogle wrześniowych biuletynów bezpieczeństwa (ręka w górę, ktojuż je dostał na swój smartfon czy tablet). Urządzenia z iOS-emdostały łatki na CVE-2017-14315 wraz z ostanią aktualizacją tegosystemu, podatne są wciąż tylko urządzenia z iOS-em 9.3.5 istarszymi. W wypadku Linuksa, problem opisany w CVE-2017-1000251dotyczy systemów z kernelem starszym niż 3.3-rc1 (to jądro z 2011roku), ale oficjalny linuksowy stos Bluetootha BlueZ wciąż podatnyjest na wyciek danych (CVE-2017-1000250).
A co z Microsoftem? No cóż, wczoraj przedstawiono szczegółyłatki dla luki w windowsowej implementacji Bluetootha,CVE-2017-8628,otwierającej drogę do ataków Man-in-the-Middle. Smartfony zWindowsem były na BlueBorne odporne, pozostałe systemy już nie.Teraz po wrześniowych łatkach podatna pozostanie Vista oraz XP. Zainteresowanych szczegółami działania BlueBorne odsyłamy doraportu ArmisLabs.
0-day w .NET Frameworku
Badacze z firmy FireEye odkryli w .NET Frameworku lukę oznaczonąjako CVE-2017-8759. Niestety wcześniej już odkrył ją ktoś inny –pozwala ona na zdalne wykonanie kodu z uprawnieniami zalogowanegoużytkownika. Tkwiła ona w parserze Web Services DescriptionLanguage (WSDL),wykorzystywanym do komunikacji z usługami korzystającymi zarchitektury SOAP.
Z przedstawionych przez FireEye danych wynika,że lukę wykorzystano w malware stworzonym najprawdopodobniej przezktórąś z agencji wywiadowczych, prowadzących operacje przeciwkorosyjskojęzycznym użytkownikom. Nośnikiem infekcji byłyuzłośliwione pliki RTF, zawierające skrypt Visual Basica,wykonujący polecenia PowerShella.
Znali, ale nie wykorzystali?
W dokumentacji załatanych luk nierzadko Microsoft przyznaje, żeluka była znana, jednak nigdy z niej nie skorzystano do zaatakowaniaużytkowników. Tak było i we wczorajszych łatkach.
Nie skorzystano więc z CVE-2017-0417, czyli zdalnego wykonaniakodu na goglach Microsoft Hololens poprzez błąd w czipsecieBroadcoma, CVE-2017-8746, pozwalającego na obejście mechanizmuDevice Guard i wstrzyknięcie złośliwego kodu w sesję PowerShella,oraz CVE-2017-8723, obejścia mechanizmu Content Security Policy(CSP) w przeglądarce Microsoft Edge, czyli mechanizmu ścisłegodefiniowania lokalizacji dodatkowych zasobów, z których korzystastrona internetowa.
Uwaga, w tym ostatnim wypadku nie chodzi o odkrytą wcześniejprzez Grupę Talos lukę w CSP, której załatania Microsoft odmówił.
Administratorzy, do łatania!
Administratorzy systemów Windows powinni zwrócić szczególnąuwagę na CVE-2017-0161. Błąd w Windows NetBT Session Servicepozwala na zdalne uruchomienie kodu przez NetBIOS. Pozwala on nauruchomienie przez jedną maszynę kliencką kodu na drugiejmaszynie, o ile uda się doprowadzić do sytuacji hazardu.
Hiperwizor Hyper-V cierpiał na pięć luk pozwalających nawyciek informacji z maszyn wirtualnych, i jedną lukę która czyniłago podatnym na atak Denial-of-Service.
Przeglądarki Edge i Internet Explorer w tym miesiącu mogły siępochwalić 22 błędami (i to krytycznymi, pozwalającymi na zdalneuruchomienie kodu), z czego 10 tkwiło w silnikach skryptowych, adziewięć wiązało się z błędami pamięci.
Jak zawsze, łatki zawierają też aktualizacje komponentu FlashPlayer dla przeglądarek. W tym miesiącu Adobe znalazło tylko dwieluki pozwalające na zdalne uruchomienie kodu. Wydano także poprawkidla aplikacji Adobe RoboHelp oraz serwera ColdFusion.