Aktualizacje Microsoft z maja 2021 r. zawierają poprawki czterech krytycznych luk w zabezpieczeniach. Poniżej zamieściliśmy opis problemów jakie mogą pojawić się w niezabezpieczonej organizacji.

Wczoraj Microsoft wydał łatki dla aż 55 luk bezpieczeństwa, w tym cztery są krytyczne. Poprawki usuwają podatności w zabezpieczeniach systemów i aplikacji Microsoft Windows, .NET Core i Visual Studio, Internet Explorer (IE), Microsoft Office, SharePoint Server, oprogramowaniu Open Source, Hyper-V, Skype for Business i Microsoft Lync oraz Exchange Server. Oprócz czterech krytycznych błędów, 50 jest ocenianych jako „ważne”!


Krytyczne poprawki

Najważniejsze błędy wydane wczoraj to:

  • CVE-2021-31166: Problem ze stosem protokołu HTTP w systemie Windows 10 i niektórych wersjach systemu Windows Server umożliwiający zdalne wykonanie kodu (RCE).
    Wykorzystanie tej luki może umożliwić nieuwierzytelnionemu atakującemu wysłanie specjalnie spreparowanego pakietu do docelowego serwera przy użyciu stosu protokołów HTTP (http.sys) do przetwarzania pakietów i ostatecznie wykonania dowolnego kodu i przejęcia kontroli nad systemem, którego dotyczy luka
  • CVE-2021-26419: Luka powodująca uszkodzenie pamięci przez silnik skryptów w programie Internet Explorer 11 i 9, umożliwiająca RCE
  • CVE-2021-31194: Błąd RCE w automatyzacji łączenia i osadzania obiektów w systemie Microsoft Windows (OLE)
  • CVE-2021-28476: Luka w zabezpieczeniach RCE w Microsoft Windows Hyper-V

CVE-2021-31166

Najbardziej niepokojącym krytycznym błędem dla badaczy jest problem ze stosem protokołu HTTP, który pozwala na zdalne wykonanie poleceń (RCE) z uprawnieniami jądra lub przeprowadzenie ataku DoS (odmowa usługi). Stos protokołu HTTP umożliwia systemowi Windows i aplikacjom komunikację z innymi urządzeniami; może działać samodzielnie lub w połączeniu z Internetowymi usługami informacyjnymi (IIS).

Co gorsza, Microsoft zauważył, że błąd jest „robakiem”, więc można go użyć do samodzielnej replikacji w sieci wewnętrznej i wpłynąć na usługi wewnętrzne, które mogły nie zostać ujawnione.

Luka może mieć zarówno bezpośredni wpływ, jak i jest wyjątkowo łatwa do wykorzystania, co prowadzi do zdalnego i nieuwierzytelnionego DoS (Blue Screen of Death) produktów, których dotyczy problem. Chociaż luka może potencjalnie prowadzić do wykonania kodu w jądrze systemu Windows, ten rodzaj eksploitacji stanowi znacznie większe wyzwanie. Jeśli jednak uda się osiągnąć RCE, cyberprzestępcy prawdopodobnie będą mieli możliwość stworzenia robaka, co doprowadzi do samoczynnego rozprzestrzeniania się luki w sieciach i Internecie.

Badacze z Automox twierdzą, że dla twórców ransomware ten rodzaj luki jest głównym celem. Exploity „wormowalne” zawsze powinny mieć wysoki priorytet, zwłaszcza jeśli dotyczą usług, które mają być udostępniane publicznie. Ponieważ ten konkretny exploit nie wymagałby żadnej formy uwierzytelniania, jest jeszcze bardziej atrakcyjny dla atakujących, a każda organizacja korzystająca ze stosu protokołu HTTP.sys powinna nadać priorytet tej poprawce.


CVE-2021-26419

Drugi krytyczny błąd wpływa na starszą przeglądarkę Microsoft (Internet Explorer 11), umożliwia RCE oraz oferuje kilka możliwości ataku.

W scenariuszu ataku za pośrednictwem sieci Web osoba atakująca może udostępniać specjalnie spreparowaną witrynę sieci Web, której celem jest wykorzystanie luki w zabezpieczeniach w programie Internet Explorer, a następnie przekonać użytkownika do wyświetlenia tej witryny. Osoba atakująca może również osadzić formant ActiveX oznaczony jako „bezpieczny do zainicjowania” w aplikacji lub dokumencie Microsoft Office, w którym znajduje się silnik renderujący IE. Osoba atakująca może również wykorzystać przejęte witryny internetowe i witryny internetowe, które akceptują lub hostują treści lub reklamy dostarczone przez użytkownika. Te witryny internetowe mogą zawierać specjalnie spreparowaną zawartość, która może wykorzystać tę lukę.


CVE-2021-31194

Trzeci, krytyczny błąd istnieje w automatyzacji Microsoft Windows OLE, którą według badaczy bezpieczeństwa powinno umieścić się na liście poprawek priorytetowych.

„Aby wykorzystać tę lukę, osoba atakująca może udostępniać specjalnie spreparowaną witrynę internetową zaprojektowaną do wywoływania automatyzacji OLE za pośrednictwem przeglądarki internetowej” – wyjaśnia Justin Knapp, badacz Automox. „Jednak takie podejście wymaga, aby osoba atakująca nakłoniła użytkownika do odwiedzenia złośliwie spreparowanej witryny”.

Wskazał, że technologia OLE jest często wykorzystywana do maskowania złośliwego kodu w dokumentach oraz do łączenia się z plikami zewnętrznymi, które infekują systemy złośliwym oprogramowaniem.

„W 2020 roku CISA opublikowało alert, w którym wyszczególniono 10 wykorzystywanych rutynowo luk w zabezpieczeniach, w wyniku których OLE firmy Microsoft jest najczęściej wykorzystywaną technologią przez cyberprzestępców sponsorowanych przez państwo” – powiedział. „Biorąc pod uwagę powszechne wykorzystywanie luk w zabezpieczeniach OLE, w tym tych, które zostały oznaczone wiele lat temu, organizacje powinny natychmiast nadać priorytet łataniu wszystkich zaległych luk w zabezpieczeniach OLE”.


CVE-2021-28476

Ostatni krytyczny błąd występuje w Windows Hyper-V i może pozwolić atakującemu na wykonanie dowolnego kodu. W celu wykorzystania tej luki, osoba atakująca może uruchomić specjalnie spreparowaną aplikację na kliencie Hyper-V, która może spowodować, że system operacyjny hosta Hyper-V wykona dowolny kod w przypadku awarii do prawidłowego sprawdzania poprawności danych pakietu vSMB. Udana eksploatacja może umożliwić osobie atakującej uruchomienie złośliwych plików binarnych na maszynach wirtualnych Hyper-V lub wykonanie dowolnego kodu w samym systemie hosta”.


Inne ważne błędy m.in. w Exchange

Największym zmartwieniem ze strony aktualizacji Microsoftu w tym miesiącu jest aktualizacja Microsoft Exchange, która zawiera poprawkę dla CVE-2021-31207, która zadebiutowała w konkursie Pwn2Own w 2021 roku.
Błąd śledzony jako CVE-2021-31207 jest oceniany tylko jako „umiarkowany”, ale „exploit pozwalający na obejście funkcji zabezpieczeń został wyeksponowany w konkursie Pwn2Own i na pewno jego szczegóły zostaną opublikowane.
Microsoft załatał również trzy inne luki w Microsoft Exchange Server: CVE-2021-31198, CVE-2021-31209 i CVE-2021-31195. Są oceniane jako ważne lub umiarkowane.


Grafika systemu Windows, poprawki SharePoint Server

Uwagę zwracają także trzy luki związane z eskalacją uprawnień lokalnych – dwie w komponencie Windows Graphics Component (CVE-2021-31188, CVE-2021-31170) i jedna w SharePoint Server (CVE-2021-28474).

Jeśli chodzi o pierwsze dwa błędy, mogą być połączone z innym błędem, takim jak wymieniony powyżej robak, aby stać się bardzo niebezpiecznym i pozwolić na ataki w stylu WannaCry.

Tego rodzaju luka jest często wykorzystywana przez atakujących po tym, jak zdobyli już przyczółek poprzez początkowy wektor infekcji, na przykład phishing lub inny exploit, taki jak RCE w HTTP.sys (CVE-2021-31166). Osoby atakujące chcą zwiększyć swoje uprawnienia, aby móc przechodzić w poprzek sieci lub uzyskiwać dostęp do innych kont, które mogą mieć dostęp do bardziej poufnych informacji”.


Podsumowanie

Dobra wiadomość jest taka, że według Microsoftu żadna z luk nie jest aktywnie wykorzystywana „na wolności”, chociaż trzy są wymienione jako powszechnie znane.

Firmy, które jeszcze nie zaktualizowały swoich systemów, powinny to zrobić jak najszybciej. Dzięki powyższym błędom atakujący mogą uzyskać dostęp do poufnych dokumentów, zaszyfrować je lub przejąć większej liczby urządzeń użytkowników w całej sieci organizacji.

W przypadku błędu z IE zalecane jest zabronienie używania Internet Explorer w firmie. Natomiast jeśli nie jest to możliwe z uwagi na obsługę starszych aplikacji, należy rozważyć wymuszenie na użytkownikach polityki ograniczającej domeny, do których IE11 może uzyskać dostęp tylko do tych starszych aplikacji. Do reszty do men należy używać bardziej bezpiecznych przeglądarek.

Podziel się z innymi tym artykułem!