Microsoft
Patches OLE Zero Day, Recommends EMET 5.1 Before Applying IE Patches
by
Michael Mimoso, November 11, 2014 , 2:07 pm
Bài
được đưa lên Internet ngày: 11/11/2014
Lời
người dịch: Thực tế, Bản vá ngày thứ Ba tháng 11/2014
có 14 bản tin, trong đó có 4 là sống còn, gồm: MS14-064,
MS14-065,
MS14-066
và MS14-067.
Chúng ảnh hưởng tới Windows OLE, tất cả các phiên bản
của IE, thực thi mã trong Kênh An toàn của Microsoft
(Microsoft Schannel), và Dịch vụ Cốt lõi XML của Microsoft
qua IE, một cách tương ứng. Không
có bản vá nào dành cho Windows
XP!. Lưu
ý: Việt
Nam, cho tới hết tháng 02/2014, còn hơn 5.5 triệu máy tính,
chiếm 45.65% máy tính cả nước còn chạy Windows XP hết
hỗ trợ kỹ thuật từ 08/04/2014.
Hơn nữa, các
dịch vụ công của Việt Nam chỉ chạy được trên trình
duyệt web Microsoft Internet Explorer và Windows.
Nguy hiểm: Microsoft
làm việc với FBI để phá an ninh Internet
và Tòa
án Liên bang Mỹ ra lệnh cho Microsoft phải trao các thư
điện tử được lưu trữ trên các máy chủ ở nước
ngoài cho các nhà chức trách Mỹ.
Xem thêm: Windows
XP sau ngày hết hỗ trợ kỹ thuật toàn cầu.
Bản
vá ngày thứ Ba của Microsoft đã tới hôm nay với một ý
nghĩa cấp bách và phức tạp ngoại lệ.
Có
4 trong tổng số 14 bản tin được Microsoft xếp hạng sống
còn, là một bản vá cho chỗ
bị tổn thương ngày số 0 cho OLE đang được sử dụng
trong một số cuộc tấn công có chủ đích. Lỗi ngày số
0 này đang lan truyền thông qua các thông điệp thư điện
tử chứa các gắn tệp Office độc hại. Sự tiết lộ,
lần thứ 2 chống lại OLE kể từ ngày 14/10, một phần
được giải quyết khi Microsoft đã phát hành một công
cụ FixIt như một sự giảm nhẹ tạm thời.
Chỗ
bị tổn thương OLE đã ảnh hưởng tới tất cả các
phiên bản Windows được hỗ trợ
và đã cho phép những kẻ tấn công kiểm soát từ xa các
máy tính bị lây nhiễm và chạy mã. Tuyên bố này đi sau
một báo cáo của iSIGHT Partners tiết lộ rằng nhóm
APT Sandworm đã từng khai thác một
lỗ hổng khác trong OLE để tấn công các cơ quan chính
phủ và các cơ sở năng lượng.
OLE,
hoặc Đối tượng Windows Nhúng và Kết nối (Windows Object
Linking and Embedding) của Microsoft, cho phép việc nhúng và
liên kết tới các tài liệu và các đối tượng khác.
MS14-064
giải quyết cả 2 chỗ bị tổn thương theo yêu cầu,
CVE-2014-6332
và CVE-2014-6352.
CVE đầu xảy ra khi Internet Explorer truy cập không đúng
các đối tượng trong bộ nhớ, Microsoft nói. Bản vá thứ
2 sửa cách mà Windows kiểm tra hợp lệ sử dụng bộ nhớ
khi các đối tượng OLE được truy cập, Microsoft nói.
Sử
dụng Bộ công cụ Giảm nhẹ được Cải tiến - EMET
(Enhanced Mitigation Experience Toolkit) của Microsoft cũng đã
được khuyến cáo như một giải pháp khắc phục tạm
thời. Microsoft hôm thứ 2 đã đưa ra EMET
5.1, và đã cập nhật một số sự giảm nhẹ có sẵn,
bao gồm quyết định một điều kiện đua trong sự giảm
nhẹ ASLR Bắt buộc và tăng cường vài sự giảm nhẹ
khác chống lại những bỏ qua được nêu.
Tuy
nhiên, các bản cập nhật quan trọng nhất phải làm với
tính tương thích với một số ứng dụng có ở khắp
nơi, bao gồm Internet Explorer, Adobe Reader và Flash, và
Mozilla Firefox.
Trên
thực tế, Microsoft khuyến cáo rằng những người sử
dụng EMET 5.0 nâng cấp lên 5.1 ngay lập tức trước khi xử
lý với ứng dụng các bản vá ngày hôm nay.
“Nếu
bạn đang sử dụng Internet Explorer 11, hoặc trong Windows 7
hoặc Windows 8.1, và đã triển khai EMET 5.0, thì điều đặc
biệt quan trọng phải cài đặt EMET 5.1 khi mà các vấn đề
về tính tương thích được phát hiện với bản cập
nhật an toàn Internet Explorer tháng 11 và giảm nhẹ EAF+”,
Microsoft nói trong khuyến
cáo. “Như một sự lựa chọn, bạn có thể tạm thời
vô hiệu hóa EAF+ trong EMET 5.0”.
Như
sẽ trở thành chỉ tiêu, Microsoft cũng đã đưa ra một
bản cập nhật cộng dồn cho IE. Bản tin hôm nay, MS14-065,
vá 17 chỗ bị tổn thương, nhiều trong số đó cho phép
thực thi mã ở xa. Bản cập nhật được xếp hạng sống
còn đi ngược về tới IE6.
“Bản
cập nhật an ninh giải quyết các chỗ bị tổn thương
bằng việc sửa đổi cách mà Internet Explorer điều khiển
các đối tượng trong bộ nhớ, bằng việc bổ sung thêm
các kiểm tra hợp lệ sự cho phép bổ sung cho Internet
Explorer, và bằng việc giúp đảm bảo rằng các phiên bản
bị ảnh hưởng của Internet Explorer triển khai đúng tính
năng an toàn của ASLR”, Microsoft nói.
Microsoft
cũng đã vá một chỗ bị tổn thương thực thi mã trong
Kênh An toàn của Microsoft, hoặc Schannel, một gói an toàn
mã hóa Windows có sử dụng cho các kết nối SSL và TLS.
MS14-066
vá một vấn đề theo cách mà Schannel xử lý các gói được
vọc đặc biệt, Microsoft nói.
“Các
sửa lỗi trong báo cáo này là kết quả của một sự rà
soát lại lỗi trong nội bộ ở Microsoft mà đã phát hiện
một số vấn đề hỏng bộ nhớ trong Schannel ở cả các
vai trò máy chủ và máy trạm”, CTO của Qualys Wolfgang
Kandek, nói. “Các chỗ bị tổn thương là riêng tư khi
chúng đã được tìm thấy trong nội bộ Microsoft và trong
khi Microsoft xem xét nó là thách thức về mặt kỹ thuật
đối với mã một khai thác mà nó chỉ là vấn đề của
thời gian và tài nguyên, thì hãy khôn ngoan để cài đặt
bản tin này trong vòng vá tiếp sau”.
MS14-067
là bản tin cuối cùng được Microsoft xếp hạng sống
còn. Chỗ bị tổn thương này có thể bị khai thác bằng
một website độc hại được thiết kế để gọi các
Dịch vụ Cốt lõi XML của Microsoft qua IE, Microsoft nói.
MSXML phân tích cú pháp không đúng các nội dung XML, điều
có thể sau đó tới lượt nó làm hỏng tình trạng hệ
thống và xúc tác cho sự thực thi mã ở xa, Microsoft nói.
Một
bản tin được Microsoft xếp hạng quan trọng là MS14-069,
nó vá chỗ bị tổn thương trong Microsoft Word 2007 và cho
phép thực thi mã ở xa. Vì được giới hạn tới
Office 2007 và không thể được tự động khai thác từ ở
xa và đòi hỏi hành động của người sử dụng,
Microsoft đã xếp hạng cho nó là quan trọng.
“Kịch
bản tấn công ở đây là một tài liệu độc hại mà kẻ
tấn công chuẩn bị khai thác chỗ bị tổn thương. Những
kẻ tấn công sau đó gửi tài liệu đó trực tiếp hoặc
một liên kết tới các đích của chúng và sử dụng các
kỹ thuật thiết kế xã hội, như các tên tệp và mô tả
nội dung có vẻ hợp pháp mà có khả năng lôi kéo các
mục tiêu trả lời”, Kandek nói. “Nếu bạn chạy các
phiên bản mới hơn của Microsoft Office thì bạn không bị
tổn thương, nhưng những người sử dụng Office 2007 sẽ
đặt ưu tiên cao vào bản tin này”.
Các
bản tin còn lại tất cả được Microsoft xếp hạng là
quan trọng:
MS14-070
là một leo thang quyền ưu tiên chỗ bị tổn thương trong
TCP/IP
MS14-071
là một leo thang quyền ưu tiên chỗ bị tổn thương trong
Windows Audio Service
MS14-072
là một leo thang quyền ưu tiên chỗ bị tổn thương trong
khung .NET
MS14-073
là một leo thang quyền ưu tiên chỗ bị tổn thương trong
SharePoint Foundation
MS14-074
là một sự bỏ qua tính năng an toàn trong Remote Desktop
Protocol
MS14-076
là một sự bỏ qua tính năng an toàn trong Internet
Information Services
MS14-077
là một chỗ bị tổn thương hé lộ thông tin trong Active
Directory Federation Services
MS14-078
là một leo thang quyền ưu tiên chỗ bị tổn thương trong
IME (tiếng Nhật)
A
busy Microsoft Patch Tuesday arrived today with an extra sense of
urgency and a complication.
Among
14 bulletins, four of which are rated critical by Microsoft, is a
patch for the OLE
zero-day vulnerability being used in a number of targeted
attacks. The zero-day is being spread via email messages containing
malicious Office file attachments. The disclosure, the second against
OLE since Oct. 14, was partially addressed when Microsoft issued a
FixIt tool as
a temporary mitigation.
The
OLE vulnerability affected all supported releases of Windows and
allowed attackers to remotely control infected computers and execute
code. The announcement followed a report by iSIGHT Partners revealing
that the Sandworm
APT group was exploiting another hole in OLE to attack government
agencies and energy utilities.
OLE,
or Microsoft Windows Object Linking and Embedding, allows for
embedding and linking to documents and other objects.
MS14-064
addresses both vulnerabilities in question, CVE-2014-6332
and CVE-2014-6352.
The first CVE occurs when Internet Explorer improperly access objects
in memory, Microsoft said. The second patch modifies the way Windows
validates the use of memory when OLE objects are accessed, Microsoft
said.
The
use of Microsoft’s Enhanced Mitigation Experience Toolkit (EMET)
was also recommended as a temporary stopgap. Microsoft on Monday
released EMET
5.1, and updated a number of the mitigations available, including
the resolution of a race condition in the Mandatory ASLR mitigation
and the hardening of several other mitigations against reported
bypasses.
The
most important updates, however, have to do with compatibility with a
number of ubiquitous applications, including Internet Explorer, Adobe
Reader and Flash, and Mozilla Firefox.
In
fact, Microsoft recommends that EMET 5.0 users upgrade to 5.1
immediately before proceeding with the application of today’s
patches.
“If
you are using Internet Explorer 11, either on Windows 7 or Windows
8.1, and have deployed EMET 5.0, it is particularly important to
install EMET 5.1 as compatibility issues were discovered with the
November Internet Explorer security update and the EAF+ mitigation,”
Microsoft said in an advisory.
“Alternatively, you can temporarily disable EAF+ on EMET 5.0.”
As
is becoming the norm, Microsoft also released a cumulative update for
IE. Today’s bulletin, MS14-065,
patches 17 vulnerabilities, many of which allow remote code
execution. The update is rated critical going back to IE 6.
“The
security update addresses the vulnerabilities by modifying the way
that Internet Explorer handles objects in memory, by adding
additional permission validations to Internet Explorer, and by
helping to ensure that affected versions of Internet Explorer
properly implement the ASLR security feature,” Microsoft said.
Microsoft
also patched a remote code execution vulnerability in Microsoft
Secure Channel, or Schannel, a Windows encryption security package
used for SSL and TLS connections. MS14-066
patches an issue in the way Schannel processes specially crafted
packets, Microsoft said.
“The
fixes in this bulletin are the result of an internal code review at
Microsoft that uncovered a number of memory corruption issues in
Schannel in both server and client roles,” said Qualys CTO Wolfgang
Kandek. “The vulnerabilities are private as they were found by
Microsoft internally and while Microsoft considers it technically
challenging to code an exploit it is only a matter of time and
resources, it is prudent to install this bulletin in your next patch
cycle.”
MS14-067
is the final bulletin ranked critical by Microsoft. The vulnerability
can be exploited by a malicious website designed to invoke Microsoft
XML Core Services through IE, Microsoft said. MSXML improperly parses
XML content, which can then in turn corrupt the system state and
enable remote code execution, Microsoft said.
One
bulletin rated important by Microsoft is MS14-069, which patches
vulnerabilities in Microsoft Word 2007 and allows for remote code
execution. Because it’s limited to Office 2007 and cannot be
automatically exploited remotely and requires user action, Microsoft
rated it important.
“The
attack scenario here is a malicious document that the attacker
prepares to exploit the vulnerability. Attackers then send the
document directly or a link to their targets and use social
engineering techniques, such as legitimate sounding file names and
content descriptions that are likely interest the targets in
question,” Kandek said. “If you run newer versions of Microsoft
Office you are not vulnerable, but users of Office 2007 should place
high priority on this bulletin.”
The
remaining bulletins are all rated important by Microsoft:
MS14-070
is an elevation of privilege vulnerability in TCP/IP
MS14-071
is an elevation of privilege vulnerability in Windows Audio Service
MS14-072
is an elevation of privilege vulnerability in the .NET framework
MS14-073
is an elevation of privilege vulnerability in SharePoint Foundation
MS14-074
is a security feature bypass in Remote Desktop Protocol
MS14-076
is a security feature bypass in Internet Information Services
MS14-077
is an information disclosure vulnerability in Active Directory
Federation Services
MS14-078
is an elevation of privilege vulnerability in IME (Japanese)
Dịch:
Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.