October 2014 Patch Tuesday
addresses four active zero-day exploits
by: Brandan Blevins News Writer, published: 14 Oct 2014
Bài được đưa lên Internet ngày: 14/10/2014
Lời người dịch: Cuối cùng thì trong
Bản vá ngày thứ Ba tháng
10/2014, chỉ có 8 chứ không phải 9 bản tin, và có 4 khai
thác ngày số 0, đặc biệt
trong đó có lỗi ngày số 0 MS14-060,
nhưng chỉ được Microsoft xếp hạng là 'Quan trọng' thay
vì 'Sống còn'. Không có bản
vá nào cho Windows
XP!. Lưu
ý: Việt
Nam, cho tới hết tháng 02/2014, còn hơn 5.5 triệu máy tính,
chiếm 45.65% máy tính cả nước còn chạy Windows XP hết
hỗ trợ kỹ thuật từ 08/04/2014.
Hơn nữa, các
dịch vụ công của Việt Nam chỉ chạy được trên trình
duyệt web Microsoft Internet Explorer và Windows.
Nguy hiểm: Microsoft
làm việc với FBI để phá an ninh Internet
và Tòa
án Liên bang Mỹ ra lệnh cho Microsoft phải trao các thư
điện tử được lưu trữ trên các máy chủ ở nước
ngoài cho các nhà chức trách Mỹ.
Xem thêm: Windows
XP sau ngày hết hỗ trợ kỹ thuật toàn cầu.
Một trong các lỗi ngày số 0 được sửa trong Bản vá
Ngày thứ Ba tháng 10/2014 đã từng được sử dụng trong
các cuộc tấn công chống lại NATO và các tổ chức khác,
trong khi FireEye đã phát hiện thêm 2 lỗi ngày số 0 đang
được sử dụng trong các cuộc tấn công có chủ đích.
Microsoft hôm nay đã phát hành tổng cộng 8 bản tin an ninh
đề cập tới 24 chỗ bị tổn thương độc nhất như một
phần của phát
hành Bản vá ngày thứ Ba tháng 10/2014, với hầu hết
các bản cập nhật đáng chủ ý nhằm vào 4 khai thác ngày
số 0 đã được phát hiện gần đây đang phát tác.
Chỗ bị tổn thương ngày số 0 đầu tiên, CVE-2014-4114,
được được nhà cung cấp tri thức về các mối đe dọa
iSIGHT Partners phát hiện vào tháng 8, đã làm việc với
Microsoft trong các tuần tiếp sau để chia sẻ các thông
tin kỹ thuật về mối đe dọa đó.
Lỗi đó ảnh hưởng tới tất cả các phiên bản Windows
được hỗ trợ cũng như Windows Server 2008 và 2012, xuất
phát từ mong muốn của Windows cho phép trình đóng gói OLE
tải về và chạy các tệp INF. Những kẻ tấn công đã
chiếm đoạt về mặt kỹ thuật để phân phối các tệp
PowerPoint tham chiếu tới các tệp INF độc hại, bên
ngoài, theo một bài
viết trên blog trên website của iSIGHT Partners; Một khi
khai thác đó được ngắm đích, chúng giành được khả
năng để thực thi mã từ xa trên máy tính của một nạn
nhân.
Hãng này nói lỗi từng đang được khai thác tích cực từ
đội tin tặc của Nga có tên là 'Sandworm Team' - trước đó
đã tham chiếu tới từ hãng F-Secure có trụ sở ở Phần
Lan như là Quedach - trong một chiến dịch vào tháng 12/2013
chống lại Liên minh NATO, chính phủ Ukraine và các tổ
chức có liên quan khác trong cuộc xung đột quân sự gần
đây ở Ukraine.
Bản tin MS14-060
giải quyết lỗi ngày số 0 cao độ, nhưng từng chỉ được
Microsoft xếp hạng như một bản cập nhật 'Quan trọng'
vì những người sử dụng vẫn phải bị lừa gạt trong
việc ở một tệp độc hại. Hơn nữa, Wolfgang Kandek, CTO
cho thành phố Redwood, nhà bán hàng Qualys Inc. quản lý chỗ
bị tổn thương có trụ sở ở California, đã cảnh báo
các nhà quản trị rằng hộ sẽ không phớt lờ việc áp
dụng bán vá đó.
“Chỗ bị tổn thương dường như rất thẳng thừng để
khai thác”, Kandek nói, “có nghĩa là ngay khi bản vá được
phát hành, chúng ta có thể kỳ vọng số lượng các cuộc
tấn côgn chống lại chỗ bị tổn thương đó tăng nhanh
chóng”.
Bản tin sống còn MS14-058
đã vá 2 chỗ bị tổn thương ngày số 0 nữa, CVE
2014-2014-4148 và CVE-2014-4113, chúng từng được tìm thấy
trong tất cả các phiên bản Windows và Windows Server. Nhà
bán hàng dò tìm các mối đe dọa cao cấp FireEye lần đầu
chộp được các lỗi đó đang bị khai thác mạnh, nhưng
các nhà nghiên cứu của hãng đã không đưa ra giải thích
rõ hơn trên một bài
viết trên blog về các đích ngắm của các cuộc tấn
công, chỉ lưu ý rằng các lỗi đó có thể đã tường
được sử dụng trong các sự cố từ các tin tặc khác
nhau.
CVE-2014-4148 là một chỗ bị tổn thương của phông chữ
TrueType của Microsoft (TTF) mà FireEye nói từng được nhúng
vào các tài liệu Microsoft Office được phân phối tới
các tổ chức nạn nhân. Tệp được nhúng đó được xử
lý trong chế độ nhân, nghĩa là một khai thác thành công
của lỗi dó đã trao cho những kẻ tấn công sự truy cập
chế độ nhân. FireEye nói chỗ bị tổn thương đó từng
tương tự như với một lỗi bị khai thác trước đó,
CVE-2011-3401, từng được sử dụng như một phần của
các cuộc tấn công dựa vào trình duyệt.
CVE-2014-4113 là lỗi ít nghiêm trọng nhất trong số 2 lỗi
mà FireEye đã phát hiện vì nó không thể được sử dụng
tự mình nó để làm hại một hệ thống. Nếu được
khai thác, chỗ bị tổn thương đó có thể được sử
dụng như một phần của một cuộc tấn công leo thang
quyền ưu tiên cục bộ, những để làm thế, các nhà
nghiên cứu của FireEye nói thì một kẻ tấn công có thể
trước hết phải có được sự truy cập tới một hệ
thống ở xa chạy một hệ điều hành bị tổn thương.
Lỗi cuối cùng trong 4 chỗ bị tổn thương ngày số 0
được nêu tháng này, CVE-2014-4123, là một lỗi leo thang
quyền ưu tiên khác dựa vào sự bỏ qua một hộp cát của
Internet Explorer. Microsoft nói nhận thức được về các
cuộc tấn công có giới hạn sử dụng chỗ bị tổn
thương đó - được vá như một phần của bản tin sống
còn MS14-056
mà được dập tắc tổng 14 chỗ bị tổn thương trong
Internet Explorer - nhưng không có thêm thông tin về các mục
tiêu đã được làm cho sẵn sàng.
Bản tin đáng chủ ý khác tháng này, MS14-057,
có thể không đặc trưng bằng một sửa lỗi ngày số 0,
nhưng nó từng chỉ là một bản cập nhật khác được
Microsoft xếp hạng sống còn. Bản tin đó đã giải quyết
3 chỗ bị tổn thương được báo cáo riêng tư trong khung
.NET của Microsoft, nghiêm trọng nhất trong số chúng có
thể bị bật lên bằng việc gửi đi các yêu cầu URI độc
hại tới một ứng dụng .NET cho phép các kẻ tấn công
thực thi mã ở xa.
Ross Barret, giám đốc an ninh cao cấp ở Rapid7, nói rằng
trong khi chỗ bị tổn thương Sandworm không được iSIGHT
phát hiện có thể ảnh hưởng tới tất cả ác phiên bản
được hỗ trợ của Windows, thì các nhà quản trị hệ
thống và những người sử dụng không nên hoảng loạn
vì nó không phải có khả năng bị khai thác ở xa giống
như một vài các lỗi được đề cập tới trong các bản
tin sống còn tháng này. Thay vào đó, chúng sẽ dựa vào
chỉ dẫn của Microsoft khi xác định các chỗ sửa nào
phải áp dụng trước tiên.
“Các [bản tin sống còn] đó sẽ là các ưu tiên vá hàng
đầu”, Barret nói, “có thể với vấn đề IE đang là
rủi ro nhất cho sự khai thác”.
4 bản tin còn lại trong Bản vá ngày thứ Ba tháng 10/2014
tất cả được Microsoft xếp hạng là quan trọng, và đã
giải quyết nhiều chỗ bị tổn thương khắp các phiên
bản khác nhau của Microsoft Office, Windows, ASP.NET và Windows
Server. Lưu ý, số các bản tin được đưa vào trong phát
hành cuối cùng từng ít hơn 1 của tổng mà Microsoft ban
đầu đã có kế hoạch đưa ra.
“Phiên bản sớm tuần trước đã nhắc tới 9 bản tin,
có nghĩa là 1 bản tin đã bị rút đi, giả thiết là do
các vấn đề chất lượng hoặc thiếu một sửa lỗi phù
hợp”, Tyler Reguly, giám đốc nghiên cứu an ninh ở hãng
Tripwire có trụ sở ở Portland, Oregon, nói. “Là tốt để
biết vì sao có một sự khác biệt giữa phiên bản sớm
và sự bỏ bản vá cuối cùng nhưng tôi đồ là có thứ
gì đó chúng ta sẽ không bao giờ biết được”.
One of the zero days fixed in the
October 2014 Patch Tuesday had been used in attacks against NATO and
others, while FireEye discovered two more being used in targeted
attacks.
Microsoft today delivered a total
of eight security bulletins addressing 24 unique vulnerabilities as
part of its October
2014 Patch Tuesday release, with the most notable updates aimed
at four zero-day exploits that were recently discovered in the wild.
The first of the zero-day
vulnerabilities, CVE-2014-4114, was discovered in August by threat
intelligence vendor iSIGHT Partners, which worked with Microsoft in
the following weeks to share technical information on the threat.
The flaw, which affects all
supported versions of Windows as well as Windows Server 2008 and
2012, stems from Windows willingness to allow the OLE packager to
download and execute INF files. Attackers seized on that technical
facet to deliver PowerPoint files that reference external, malicious
INF files, according to a blog
post on the iSIGHT Partners website; Once the exploit is
triggered, they gain the ability to execute code remotely on a
victim's machine.
The firm said the flaw was being
actively exploited by Russia-based hacker squad 'Sandworm Team' –
previously referred to by Finland-based F-Secure as Quedach – in a
campaign dating back to at least December 2013 against the NATO
Alliance, the Ukrainian government, and other organizations involved
in the recent military conflict in Ukraine.
Bulletin MS14-060
resolves the high-profile zero day, but was only rated as an
'Important' update by Microsoft because users must still be tricked
into opening a malicious file. Still, Wolfgang Kandek, CTO for
Redwood City, California-based vulnerability management vendor Qualys
Inc., warned administrators that they shouldn't put off applying the
patch.
"The vulnerability seems to be
very straightforward to exploit," said Kandek, "which means
as soon as the patch is out, we can expect the number of attacks
against that vulnerability to go up quickly."
Critical bulletin MS14-058
patched two more zero-day vulnerabilities, CVE 2014-2014-4148 and
CVE-2014-4113, that were found in all supported versions of Windows
and Windows Server. Advanced threat detection vendor FireEye first
spotted the flaws being exploited in the wild, but the company's
researchers did not provide further clarification in a blog
post on the targets of the attacks, only noting that the flaws
may have been used in unrelated incidents by different attackers.
CVE-2014-4148 is a Microsoft
TrueType Font (TTF) vulnerability that FireEye said was embedded in
Microsoft Office documents delivered to victim organizations. The
embedded file is processed in kernel-mode, meaning a successful
exploit of the flaw granted attackers kernel-mode access. FireEye
said the vulnerability was akin to a previous exploited flaw,
CVE-2011-3401, which was used as part of browser-based attacks.
CVE-2014-4113 is the less severe
bug of the two FireEye discovered because it cannot be used on its
own to compromise a system. If exploited, the vulnerability can be
used as part of a local elevation of privilege attack, but to do
that, FireEye's researchers said an attacker would first have to gain
access to a remote system running a vulnerable operating system.
The final of the four zero-day
vulnerabilities reported this month, CVE-2014-4123, is another
elevation of privilege flaw that relies on an Internet Explorer
sandbox bypass. Microsoft said it is aware of limited attacks using
the vulnerability -- patched as part of the critical bulletin
MS14-056
that quashed a total of 14 vulnerabilities in Internet Explorer –
but no further information on the targets was made available.
The other notable bulletin this
month, MS14-057,
may not have featured a zero-day fix, but it was the only other
update rated as critical by Microsoft. The bulletin resolved three
privately reported vulnerabilities in Microsoft's .NET framework, the
most severe of which could be triggered by sending malicious URI
requests to a .NET application allowing attackers to remotely execute
code.
Ross Barret, senior manager of
security engineering at Rapid7, said that while the Sandworm
vulnerability uncovered by iSIGHT may affect all supported versions
of Windows, system administrators and users shouldn't panic because
it isn't remotely exploitable like some of the flaws covered in this
month's critical bulletins. Instead, they should rely on Microsoft's
guidance when determining which fixes to apply first.
"These [critical bulletins]
will be the top patching priorities," said Barret, "probably
with the IE issue being the most at risk for exploitation."
The remaining four bulletins in the
October 2014 Patch Tuesday release were all rated important by
Microsoft, and addressed a variety of vulnerabilities across various
versions of Microsoft Office, Windows, ASP.NET and Windows Server.
Notably, the number of bulletins included in the final release was
one short of the total that Microsoft initially planned to deliver.
"Last week’s prerelease
mentioned nine bulletins, which means one has been pulled, presumably
for quality issues or lack of [an] adequate fix," said Tyler
Reguly, manager of security research at Portland, Oregon-based
Tripwire. "It'd be nice to know why there's a variance between
the prerelease and the final patch drop but I doubt that's something
we'll ever learn."
Dịch: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.