Thứ Năm, 16 tháng 10, 2014

Bản vá ngày thứ Ba tháng 10/2014 giải quyết 4 khai thác ngày số 0 đang hoạt động


October 2014 Patch Tuesday addresses four active zero-day exploits
by: Brandan Blevins News Writer, published: 14 Oct 2014
Bài được đưa lên Internet ngày: 14/10/2014
Lời người dịch: Cuối cùng thì trong Bản vá ngày thứ Ba tháng 10/2014, chỉ có 8 chứ không phải 9 bản tin, và có 4 khai thác ngày số 0, đặc biệt trong đó có lỗi ngày số 0 MS14-060, nhưng chỉ được Microsoft xếp hạng là 'Quan trọng' thay vì 'Sống còn'. Không có bản vá nào cho Windows XP!. Lưu ý: Việt Nam, cho tới hết tháng 02/2014, còn hơn 5.5 triệu máy tính, chiếm 45.65% máy tính cả nước còn chạy Windows XP hết hỗ trợ kỹ thuật từ 08/04/2014. Hơn nữa, các dịch vụ công của Việt Nam chỉ chạy được trên trình duyệt web Microsoft Internet Explorer và Windows. Nguy hiểm: Microsoft làm việc với FBI để phá an ninh Internet Tòa án Liên bang Mỹ ra lệnh cho Microsoft phải trao các thư điện tử được lưu trữ trên các máy chủ ở nước ngoài cho các nhà chức trách Mỹ. Xem thêm: Windows XP sau ngày hết hỗ trợ kỹ thuật toàn cầu.
Một trong các lỗi ngày số 0 được sửa trong Bản vá Ngày thứ Ba tháng 10/2014 đã từng được sử dụng trong các cuộc tấn công chống lại NATO và các tổ chức khác, trong khi FireEye đã phát hiện thêm 2 lỗi ngày số 0 đang được sử dụng trong các cuộc tấn công có chủ đích.
Microsoft hôm nay đã phát hành tổng cộng 8 bản tin an ninh đề cập tới 24 chỗ bị tổn thương độc nhất như một phần của phát hành Bản vá ngày thứ Ba tháng 10/2014, với hầu hết các bản cập nhật đáng chủ ý nhằm vào 4 khai thác ngày số 0 đã được phát hiện gần đây đang phát tác.
Chỗ bị tổn thương ngày số 0 đầu tiên, CVE-2014-4114, được được nhà cung cấp tri thức về các mối đe dọa iSIGHT Partners phát hiện vào tháng 8, đã làm việc với Microsoft trong các tuần tiếp sau để chia sẻ các thông tin kỹ thuật về mối đe dọa đó.
Lỗi đó ảnh hưởng tới tất cả các phiên bản Windows được hỗ trợ cũng như Windows Server 2008 và 2012, xuất phát từ mong muốn của Windows cho phép trình đóng gói OLE tải về và chạy các tệp INF. Những kẻ tấn công đã chiếm đoạt về mặt kỹ thuật để phân phối các tệp PowerPoint tham chiếu tới các tệp INF độc hại, bên ngoài, theo một bài viết trên blog trên website của iSIGHT Partners; Một khi khai thác đó được ngắm đích, chúng giành được khả năng để thực thi mã từ xa trên máy tính của một nạn nhân.
Hãng này nói lỗi từng đang được khai thác tích cực từ đội tin tặc của Nga có tên là 'Sandworm Team' - trước đó đã tham chiếu tới từ hãng F-Secure có trụ sở ở Phần Lan như là Quedach - trong một chiến dịch vào tháng 12/2013 chống lại Liên minh NATO, chính phủ Ukraine và các tổ chức có liên quan khác trong cuộc xung đột quân sự gần đây ở Ukraine.
Bản tin MS14-060 giải quyết lỗi ngày số 0 cao độ, nhưng từng chỉ được Microsoft xếp hạng như một bản cập nhật 'Quan trọng' vì những người sử dụng vẫn phải bị lừa gạt trong việc ở một tệp độc hại. Hơn nữa, Wolfgang Kandek, CTO cho thành phố Redwood, nhà bán hàng Qualys Inc. quản lý chỗ bị tổn thương có trụ sở ở California, đã cảnh báo các nhà quản trị rằng hộ sẽ không phớt lờ việc áp dụng bán vá đó.
“Chỗ bị tổn thương dường như rất thẳng thừng để khai thác”, Kandek nói, “có nghĩa là ngay khi bản vá được phát hành, chúng ta có thể kỳ vọng số lượng các cuộc tấn côgn chống lại chỗ bị tổn thương đó tăng nhanh chóng”.
Bản tin sống còn MS14-058 đã vá 2 chỗ bị tổn thương ngày số 0 nữa, CVE 2014-2014-4148 và CVE-2014-4113, chúng từng được tìm thấy trong tất cả các phiên bản Windows và Windows Server. Nhà bán hàng dò tìm các mối đe dọa cao cấp FireEye lần đầu chộp được các lỗi đó đang bị khai thác mạnh, nhưng các nhà nghiên cứu của hãng đã không đưa ra giải thích rõ hơn trên một bài viết trên blog về các đích ngắm của các cuộc tấn công, chỉ lưu ý rằng các lỗi đó có thể đã tường được sử dụng trong các sự cố từ các tin tặc khác nhau.
CVE-2014-4148 là một chỗ bị tổn thương của phông chữ TrueType của Microsoft (TTF) mà FireEye nói từng được nhúng vào các tài liệu Microsoft Office được phân phối tới các tổ chức nạn nhân. Tệp được nhúng đó được xử lý trong chế độ nhân, nghĩa là một khai thác thành công của lỗi dó đã trao cho những kẻ tấn công sự truy cập chế độ nhân. FireEye nói chỗ bị tổn thương đó từng tương tự như với một lỗi bị khai thác trước đó, CVE-2011-3401, từng được sử dụng như một phần của các cuộc tấn công dựa vào trình duyệt.
CVE-2014-4113 là lỗi ít nghiêm trọng nhất trong số 2 lỗi mà FireEye đã phát hiện vì nó không thể được sử dụng tự mình nó để làm hại một hệ thống. Nếu được khai thác, chỗ bị tổn thương đó có thể được sử dụng như một phần của một cuộc tấn công leo thang quyền ưu tiên cục bộ, những để làm thế, các nhà nghiên cứu của FireEye nói thì một kẻ tấn công có thể trước hết phải có được sự truy cập tới một hệ thống ở xa chạy một hệ điều hành bị tổn thương.
Lỗi cuối cùng trong 4 chỗ bị tổn thương ngày số 0 được nêu tháng này, CVE-2014-4123, là một lỗi leo thang quyền ưu tiên khác dựa vào sự bỏ qua một hộp cát của Internet Explorer. Microsoft nói nhận thức được về các cuộc tấn công có giới hạn sử dụng chỗ bị tổn thương đó - được vá như một phần của bản tin sống còn MS14-056 mà được dập tắc tổng 14 chỗ bị tổn thương trong Internet Explorer - nhưng không có thêm thông tin về các mục tiêu đã được làm cho sẵn sàng.
Bản tin đáng chủ ý khác tháng này, MS14-057, có thể không đặc trưng bằng một sửa lỗi ngày số 0, nhưng nó từng chỉ là một bản cập nhật khác được Microsoft xếp hạng sống còn. Bản tin đó đã giải quyết 3 chỗ bị tổn thương được báo cáo riêng tư trong khung .NET của Microsoft, nghiêm trọng nhất trong số chúng có thể bị bật lên bằng việc gửi đi các yêu cầu URI độc hại tới một ứng dụng .NET cho phép các kẻ tấn công thực thi mã ở xa.
Ross Barret, giám đốc an ninh cao cấp ở Rapid7, nói rằng trong khi chỗ bị tổn thương Sandworm không được iSIGHT phát hiện có thể ảnh hưởng tới tất cả ác phiên bản được hỗ trợ của Windows, thì các nhà quản trị hệ thống và những người sử dụng không nên hoảng loạn vì nó không phải có khả năng bị khai thác ở xa giống như một vài các lỗi được đề cập tới trong các bản tin sống còn tháng này. Thay vào đó, chúng sẽ dựa vào chỉ dẫn của Microsoft khi xác định các chỗ sửa nào phải áp dụng trước tiên.
“Các [bản tin sống còn] đó sẽ là các ưu tiên vá hàng đầu”, Barret nói, “có thể với vấn đề IE đang là rủi ro nhất cho sự khai thác”.
4 bản tin còn lại trong Bản vá ngày thứ Ba tháng 10/2014 tất cả được Microsoft xếp hạng là quan trọng, và đã giải quyết nhiều chỗ bị tổn thương khắp các phiên bản khác nhau của Microsoft Office, Windows, ASP.NET và Windows Server. Lưu ý, số các bản tin được đưa vào trong phát hành cuối cùng từng ít hơn 1 của tổng mà Microsoft ban đầu đã có kế hoạch đưa ra.
“Phiên bản sớm tuần trước đã nhắc tới 9 bản tin, có nghĩa là 1 bản tin đã bị rút đi, giả thiết là do các vấn đề chất lượng hoặc thiếu một sửa lỗi phù hợp”, Tyler Reguly, giám đốc nghiên cứu an ninh ở hãng Tripwire có trụ sở ở Portland, Oregon, nói. “Là tốt để biết vì sao có một sự khác biệt giữa phiên bản sớm và sự bỏ bản vá cuối cùng nhưng tôi đồ là có thứ gì đó chúng ta sẽ không bao giờ biết được”.
One of the zero days fixed in the October 2014 Patch Tuesday had been used in attacks against NATO and others, while FireEye discovered two more being used in targeted attacks.
Microsoft today delivered a total of eight security bulletins addressing 24 unique vulnerabilities as part of its October 2014 Patch Tuesday release, with the most notable updates aimed at four zero-day exploits that were recently discovered in the wild.
The first of the zero-day vulnerabilities, CVE-2014-4114, was discovered in August by threat intelligence vendor iSIGHT Partners, which worked with Microsoft in the following weeks to share technical information on the threat.
The flaw, which affects all supported versions of Windows as well as Windows Server 2008 and 2012, stems from Windows willingness to allow the OLE packager to download and execute INF files. Attackers seized on that technical facet to deliver PowerPoint files that reference external, malicious INF files, according to a blog post on the iSIGHT Partners website; Once the exploit is triggered, they gain the ability to execute code remotely on a victim's machine.
The firm said the flaw was being actively exploited by Russia-based hacker squad 'Sandworm Team' – previously referred to by Finland-based F-Secure as Quedach – in a campaign dating back to at least December 2013 against the NATO Alliance, the Ukrainian government, and other organizations involved in the recent military conflict in Ukraine.
Bulletin MS14-060 resolves the high-profile zero day, but was only rated as an 'Important' update by Microsoft because users must still be tricked into opening a malicious file. Still, Wolfgang Kandek, CTO for Redwood City, California-based vulnerability management vendor Qualys Inc., warned administrators that they shouldn't put off applying the patch.
"The vulnerability seems to be very straightforward to exploit," said Kandek, "which means as soon as the patch is out, we can expect the number of attacks against that vulnerability to go up quickly."
Critical bulletin MS14-058 patched two more zero-day vulnerabilities, CVE 2014-2014-4148 and CVE-2014-4113, that were found in all supported versions of Windows and Windows Server. Advanced threat detection vendor FireEye first spotted the flaws being exploited in the wild, but the company's researchers did not provide further clarification in a blog post on the targets of the attacks, only noting that the flaws may have been used in unrelated incidents by different attackers.
CVE-2014-4148 is a Microsoft TrueType Font (TTF) vulnerability that FireEye said was embedded in Microsoft Office documents delivered to victim organizations. The embedded file is processed in kernel-mode, meaning a successful exploit of the flaw granted attackers kernel-mode access. FireEye said the vulnerability was akin to a previous exploited flaw, CVE-2011-3401, which was used as part of browser-based attacks.
CVE-2014-4113 is the less severe bug of the two FireEye discovered because it cannot be used on its own to compromise a system. If exploited, the vulnerability can be used as part of a local elevation of privilege attack, but to do that, FireEye's researchers said an attacker would first have to gain access to a remote system running a vulnerable operating system.
The final of the four zero-day vulnerabilities reported this month, CVE-2014-4123, is another elevation of privilege flaw that relies on an Internet Explorer sandbox bypass. Microsoft said it is aware of limited attacks using the vulnerability -- patched as part of the critical bulletin MS14-056 that quashed a total of 14 vulnerabilities in Internet Explorer – but no further information on the targets was made available.
The other notable bulletin this month, MS14-057, may not have featured a zero-day fix, but it was the only other update rated as critical by Microsoft. The bulletin resolved three privately reported vulnerabilities in Microsoft's .NET framework, the most severe of which could be triggered by sending malicious URI requests to a .NET application allowing attackers to remotely execute code.
Ross Barret, senior manager of security engineering at Rapid7, said that while the Sandworm vulnerability uncovered by iSIGHT may affect all supported versions of Windows, system administrators and users shouldn't panic because it isn't remotely exploitable like some of the flaws covered in this month's critical bulletins. Instead, they should rely on Microsoft's guidance when determining which fixes to apply first.
"These [critical bulletins] will be the top patching priorities," said Barret, "probably with the IE issue being the most at risk for exploitation."
The remaining four bulletins in the October 2014 Patch Tuesday release were all rated important by Microsoft, and addressed a variety of vulnerabilities across various versions of Microsoft Office, Windows, ASP.NET and Windows Server. Notably, the number of bulletins included in the final release was one short of the total that Microsoft initially planned to deliver.
"Last week’s prerelease mentioned nine bulletins, which means one has been pulled, presumably for quality issues or lack of [an] adequate fix," said Tyler Reguly, manager of security research at Portland, Oregon-based Tripwire. "It'd be nice to know why there's a variance between the prerelease and the final patch drop but I doubt that's something we'll ever learn."
Dịch: Lê Trung Nghĩa

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.