Znajdź zawartość

Wraz z grudniowym wydaniem Patch Tuesday Microsoft załatał 9 krytycznych dziur w swoich produktach. jedną z nich jest luka typu zer-day występująca w starczych wersjach Windows. Dziura CVE-2018-8611 występuje w wersjach od Windows 7 do Windows Server 2019. Pozwala ona napastnikowi na zwiększenie swoich uprawnień. W 10-stopniowej skali CVSS przyznano jej 7 punktów, została zatem uznana za wysoce groźną. Do zwiększenia uprawnień można doprowadzić powodując, by jądro Windows nieodpowiednio przetwarzało obiekty przechowywane w pamięci. Skuteczne wykorzystanie luki pozwala napastnikowi na wykonanie dowolnego kodu w trybie jądra. Może więc instalować programy, przeglądać, zmieniać i usuwać dane oraz stworzyć nowe konto z pełnymi uprawnieniami użytkownika, poinformował Microsoft. Samo wykorzystanie dziury nie jest jednak proste, gdyż napastnik musi najpierw zalogować się do systemu, a później uruchomić w nim odpowiednio spreparowaną aplikację. Poza wspomnianą dziurą koncern z Redmond załatał 9 krytycznych i 30 ważnych luk w Edge, Internet Explorerze, ChackraCore, Windows, Office, Office Services, Web Apps oraz .NET Framework. Jedna ze wspomnianych luk, CVE-2018-8517, była znana przed jej załataniem, ale – jak twierdzi Microsoft – przestępcy jej nie wykorzystywali. To luka typu DoS w .NET Framework. Zdalny nieuwierzytelniony napastnik mógł ją wykorzystać za pomocą odpowiednio spreparowanych zapytań, wyjaśnia Microsoft. Pięć z 9 krytycznych luk poprawiono w silniku Chakra wykorzystywanym przez przeglądarkę Edge. Każda z tych dziur to błąd przetwarzania danych w pamięci, który umożliwiał napastnikowi wykonanie szkodliwego kodu w czasie sesji użytkownik,a, zwiększenie uprawnień i przejęcie kontroli nad systemem. Warto też wspomnieć o ważnej dziurze CVE-2018-8634, która występowała w silniku przetwarzającym tekst na mowę. Jest ona interesująca z kilku przyczyn. Po pierwsze nowsze funkcje, takie jak przetwarzanie tekstu na mowę to wciąż nieznane terytorium. To nie jest pierwsza luka w tego typu mechanizmie. Podobna występowała przed kilkoma laty w Androidzie. Ale takie dziury nie zdarzają się często. Po drugie, Microsoft nie opisał w tym przypadku możliwego scenariusza ataku, ale jako używanie tej funkcji wymaga wysłania zapytania HTTP POST do usługi, możliwe, że luka ta może zostać zdalnie wykorzystana, stwierdza Dustin Childs, ekspert ds. bezpieczeństwa z Zero Day Initiative. « powrót do artykułu

Microsoft prowadzi śledztwo mające wyjaśnić, jak prototypowy kod atakujący niebezpieczną dziurę w Windows trafił do rąk cyberprzestępców. Microsoft przed tygodniem wydał kolejny comiesięczny zestaw poprawek w ramach Patch Tueday. Znalazła się w nim łata na poważną dziurę w Remote Desktop Protocol, która pozwala przestępcom na przejęcie kontroli nad systemem. Wcześniej w ramach Microsoft Active Protection Program (MAPP) koncern z Redmond dostarczył firmom antywirusowym prototypowy kod atakujący dziurę. Microsoft standardowo przekazuje 79 wybranym firmom antywirusowym szczegóły techniczne dziur jeszcze zanim je załata. Dzięki temu firmy mogą szybko przygotować oprogramowanie zabezpieczające. Pojawienie się łat jest bowiem dla cyberprzestępców okazją do wykonania na nich inżynierii wstecznej i poznanie dzięki temu szczegółów załatanych dziur. Czasami potrafią oni przygotować szkodliwy kod w ciągu kilku godzin od opublikowania przez Microsoft poprawek. Tym razem jednak przygotowany kod przygotowany w Redmond na potrzeby firm antywirusowych wyciekł do internetu. Co więcej, trafił tam nie tylko kod Microsftu. Znany specjalista ds. bezpieczeństwa, Luigi Auriemma, który w maju 2011 roku odkrył wspomnianą dziurę, poinformował o niej Zero Day Initiative (ZDI) i dostarczył prototypowy kod, poinformował, że tego samego dnia, gdy wyciekł kod Microsoftu, on znalazł swój prototypowy kod na jednej z chińskich witryn. Auriemma twierdzi, że odkryty przezeń program zawierał znaki „MSRC11678„ co wskazuje, że do wycieku doszło w Microsofcie, a nie w ZDI. Kod Auriemmy został przekazany Microsoftowi przez ZDI w sierpniu 2011 roku w celu wykonania szczegółowych analiz. Na szczęście prototypy, które przedostały się do internetu, nie pozwalają na zdalne przejęcie kontroli nad komputerem. Umożliwiają jednak spowodowanie awarii systemu. Jak mówią przedstawiciele ZDI, Microsoft zgadza się z wnioskiem, że to nie ZDI jest źródłem przecieku. Na razie nie wiadomo, czy kod upublicznił ktoś z Microsoft czy też z firm antywirusowych.

Wskutek pomyłki Microsoftu przewidziany na 13 września zestaw łat publikowanych w ramach comiesięcznego Patch Tuesday ukazał się kilka dni wcześniej. W Sieci pojawiły się odnośniki do biuletynów od MS11-070 do MS11-074. Microsoft szybko usunął biuletyny, ale wcześniej informacja o ich dostępności została opublikowana na niektórych witrynach. Dziennikarze serwisu Threatpost postanowili zapytać w Redmond, jak to się stało, że bardzo dobrze dotychczas działający system publikacji poprawek, zawiódł. Dowiedzieli się, że prawdopodobną przyczyną może być przeprowadzana właśnie zmiana schematu adresów, pod którymi publikowane są biuletyny, by łatwiej można było je wyszukiwać w różnych językach. Wcześniejsze pojawienie się poprawek nie stanowi natychmiastowego zagrożenia dla użytkowników Windows. Jednak należy brać pod uwagę fakt, że cyberprzestępcy korzystają z publikowanych przez Microsoft biuletynów, by dokonać na nich inżynierii wstecznej i dzięki temu dowiedzieć się, gdzie znajdują się łatane przez nie dziury. Jeśli zatem przypadkowo opublikowane biuletyny wpadły w ręce przestępców, zyskali oni dodatkowy czas na odkrycie luk i przygotowanie ataków.