O autorze
Na regularne tematy zazwyczaj trudno pisać coś ciekawego lub odkrywczego. Windows Update okazuje się łamać tę konwencję i co miesiąc dostarczać nowości na tyle “innowacyjnych”, że trudno o nudę. Dostarcza to oczywiście mniej radości, gdy przychodzi przygotowywać w związku z tym nowe obrazy instalacyjne (zapewniam). Na ile jest to pilne tym razem? Mniej, niż poprzednio. Ale to trudny rachunek.
Gdy Microsoft wydał sierpniowe łatki bezpieczeństwa, bardzo poważna luka w NETLOGON była opisana tak okrężnie, że świat wpadł w związku z nią w popłoch dopiero miesiąc później, gdy udostępniono gotowe exploity. Łatwo więc o przeoczenia, w tym z powodów “psychologicznych”, więc aktualizacje krytyczne najlepiej pobierać i instalować tak szybko, jak to tylko możliwe.
Co tym razem?
Łatek październikowych jest cała góra, z czego spora część dotyczy nieupoważnionego zdobycia wyższych uprawnień wskutek uruchomienia złośliwego kodu. Jest jednak kilka wyróżniających się punktów programu, w kwestiach technicznych (pisanie po UEFI) lub ze względu na powagę problemu (wykonanie kodu wskutek wyświetlenia dokumentu, CVE-2020-16911).
UEFI
Z perspektywy technicznej, błędem o najciekawszych implikacjach jest dziurawa ochrona EFIVARS, CVE-2020-16910. Pozwala on na pisanie po obszarze chronionym UEFI i dotyczy tylko Windows 10. Jest obecnie zagrożeniem teoretycznym, wymaga sporych przygotowań wstępnych, i samodzielnie będzie trudny do wykorzystania, wspomagając raczej (również teoretyczne) inne ataki wymierzone w UEFI. Tych z czasem będzie coraz więcej.
Shit, I think this patch Tuesday might have patched one of the RDP 0days I’ve been sitting on.
— MalwareTech (@MalwareTechBlog) October 13, 2020
Hyper-V
Drugą ciekawostką jest ucieczka z hipernadzorcy: to groźna kategoria ataków pozwalająca na takim nadużyciu maszyny wirtualnej, by operator wirtualizacji wykonał kod na komputerze-hoście. Maszyny wirtualne bywają uznawane za mechanizmy separacji zabezpieczeń. Możliwość oszukania Hyper-V (CVE-2020-16891) i wołania kodu na serwerze to poważna sprawa. Problem dotyczy wszystkich wersji Windows, w tym jakimś cudem Windows 7. Czyżby chodziło o składnik Virtual PC?
IPv6
Rzeczą mniej ciekawą, ale o wiele poważniejszą, jest CVE-2020-16898. To poważny błąd w implementacji IPv6, a dokładniej standardu RFC 6106 (DNS via Router Advertisement). Wskutek wysłania odpowiednio przygotowanego pakietu TCP, możliwe jest wykonanie kodu na maszynie, z uprawnieniami stosu sieciowego (a więc wysoko). Przed atakiem nie chroni zapora. Konieczne jest wyłączenie obsługi “RA Based DNS Config” lub IPv6 w całości. Problem dotyczy Windows 10 w wersji 1709 i nowszych.
Office
Październik 2010 to także ostatni raz, gdy aktualizacje otrzymuje Office 2010. Na pożegnanie było ich 5. Jedna z nich, CVE-2020-16933, dotyczy problemów logicznych związanych z obsługą plików LNK. Pozostałe należą do kategorii “wykonanie kodu wskutek otwarcia dokumentu, nawet bez makr” i chodzi w nich o składnik Microsoft Graph.
Microsoft Graph to program z ubiegłej epoki (fot. Kamil Dudek)
Wydawałoby się zatem, że to antyczne składniki Office’a wywołują problemy. Jet, ODBC, LNK, EQNEDT, Graph… Czyżby lekarstwem była aktualizacja do najnowszej wersji? Niekoniecznie. CVE-2020-16947 pozwala przejąć kontrolę nad komputerem z Outlookiem przy użyciu złośliwego maila. Wystarczy podgląd/powiadomienie. Nie ma ucieczki od błędów w oprogramowaniu, jak zwykle.
Zgłoś naruszenie/Błąd
Pozytywnie
Neutralnie 
Negatywnie
Lubię to!
Super
Ekscytujący 
Ciekawy
Smieszny
Smutny
Wściekły
Przerażony
Szokujący
Wzruszający
Rozczarowany
Zaskoczony
Prawda
Manipulacja
Fake news
Oryginalne źródło ZOBACZ
Dodaj kanał RSS
Musisz być zalogowanym aby zaproponować nowy kanal RSS