Xem trước Bản vá ngày thứ Ba tháng 01/2015

Patch Tuesday January 2015 Preview

Posted by wkandek in The Laws of Vulnerabilities on Jan 8, 2015 10:51:52 AM

Theo: https://community.qualys.com/blogs/laws-of-vulnerabilities/2015/01/08/patch-tuesday-january-2015-preview

Bài được đưa lên Internet ngày: 08/01/2015

Các lỗi sống còn của thế giới phần mềm năm 2014

Lời người dịch: Trích đoạn: “Các lỗi ngày số 0 tiếp tục hiện diện thậm chí ngay từ đầu năm, dù lần này không từ một kẻ tấn công, mà từ đội nghiên cứu an toàn. Dự án số 0 (Project Zero) của Google nghiên cứu các chỗ bị tổn thương trong các phần mềm phổ biến và xuất bản các kết quả trong một cách thức minh bạch. Các công ty có 90 ngày để giải quyết các vấn đề trước khi thông tin về chỗ bị tổn thương trở thành công khai. James Forshaw từ đội Dự án Zero đã thấy một chỗ bị tổn thương leo thang quyền ưu tiên cục bộ trong Windows 8.1 vào ngày 30/09/2014 và đã làm thành công khai vào ngày 20/12/2014, đốt nóng lại thảo luận về lợi ích của những phát lộ này mà không có bản vá sẵn sàng (xem các bình luận ở đây: https://code.google.com/p/google-security-research/issues/detail?id=118). Chỗ bị tổn thương là chỉ vì sự leo thang cục bộ, nghĩa là một kẻ tấn công cần phải có sự truy cập tới máy đích rồi để sử dụng được nó. Nhưng một khi trên máy tính thì nó cho phép kẻ tấn công trở thành người quản trị, trao toàn bộ sự kiểm soát đối với máy tính đích. Còn nhớ Stuxnet chứ? Ở đó kẻ tấn công được trang bị phần mềm độc hại với 2 lỗi ngày số 0 cục bộ, cho phép chúng trở thành người quản trị để giành lấy sự kiểm soát hoàn toàn - chỗ bị tổn thương này là ở lớp tương tự. Bản thân nó là không quá lo, nhưng kết hợp với các chỗ bị tổn thương khác hoặc sự truy cập qua các ủy quyền bị đánh cắp thì có giá trị nhất định”. Xem thêm: Windows XP sau ngày hết hỗ trợ kỹ thuật toàn cầu, 08/04/2014.

Bây giờ là tháng 01/2015 và là một tuần trước Bản vá ngày thứ Ba đầu tiên của năm. Microsoft đã đưa ra sơ bộ Lưu ý Trước - ANS (Advance Notification) đầu tiên của họ về chu kỳ vá. Như năm mới mang tới nhiều thay đổi và ANS là một trong những điều bị ảnh hưởng. Microsoft sẽ dừng cung cấp thông tin ANS cho công chúng nói chung và các bên có quan tâm sẽ phải hỏi nó qua quản lý khách hàng của họ. Ồ, cá nhân tôi luôn nghĩ rằng các khách hàng của chúng tôi đã có quan tâm trong thông tin có trong ANS, nhưng chúng tôi sẽ xem cách khắc phục điều đó như thế nào.

Nhưng hãy xem trong năm qua để thấy những gì chúng ta có thể kỳ vọng năm nay. 2014 từng là năm khá náo động cho An toàn Thông tin nói chung. Đã có các lỗ hổng dữ liệu ở những cái tên nổi tiếng như JP Morgan Chase, Home Depot và Sony, các chỗ bị tổn thương trong phần mềm nguồn mở như Heartbleed trong OpenSL và Shellshock trong Bash, phần mềm về hưu (Windows XP, Java 6) và một số các chỗ bị tổn thương ngày số 0 gia tăng trong các phần mềm từ Microsoft và Adobe, bên đã vá Flash hàng tháng trong năm 2014.

Các lỗi ngày số 0 tiếp tục hiện diện thậm chí ngay từ đầu năm, dù lần này không từ một kẻ tấn công, mà từ đội nghiên cứu an toàn. Dự án số 0 (Project Zero) của Google nghiên cứu các chỗ bị tổn thương trong các phần mềm phổ biến và xuất bản các kết quả trong một cách thức minh bạch. Các công ty có 90 ngày để giải quyết các vấn đề trước khi thông tin về chỗ bị tổn thương trở thành công khai. James Forshaw từ đội Dự án Zero đã thấy một chỗ bị tổn thương leo thang quyền ưu tiên cục bộ trong Windows 8.1 vào ngày 30/09/2014 và đã làm thành công khai vào ngày 20/12/2014, đốt nóng lại thảo luận về lợi ích của những phát lộ này mà không có bản vá sẵn sàng (xem các bình luận ở đây: https://code.google.com/p/google-security-research/issues/detail?id=118). Chỗ bị tổn thương là chỉ vì sự leo thang cục bộ, nghĩa là một kẻ tấn công cần phải có sự truy cập tới máy đích rồi để sử dụng được nó. Nhưng một khi trên máy tính thì nó cho phép kẻ tấn công trở thành người quản trị, trao toàn bộ sự kiểm soát đối với máy tính đích. Còn nhớ Stuxnet chứ? Ở đó kẻ tấn công được trang bị phần mềm độc hại với 2 lỗi ngày số 0 cục bộ, cho phép chúng trở thành người quản trị để giành lấy sự kiểm soát hoàn toàn - chỗ bị tổn thương này là ở lớp tương tự. Bản thân nó là không quá lo, nhưng kết hợp với các chỗ bị tổn thương khác hoặc sự truy cập qua các ủy quyền bị đánh cắp thì có giá trị nhất định.

Hãy cho tôi biết bạn nghĩ gì về sự thay đổi này và tinh chỉnh vào tuần sau, khi mà Bản vá ngày thứ Ba thực sự tới.

It is January 2015 and the week before the year’s first Patch Tuesday. Microsoft should have posted their first Advance Notification (ANS) kicking off the patch cycle. But a new year brings many changes and the Advanced Notification is affected by one of them. Microsoft will stop providing the ANS information to the general public and parties interested will have to ask for the it through their account manager. Hmmh, I personally have always thought that our customers were interested in the information contained in ANS, but we will see how that works out.

But lets take a look in the past year to see what we can expect this year. 2014 has been a pretty turbulent year for Information Security in general. There were a high profile data breaches such as JP Morgan Chase, Home Depot and Sony, critical vulnerabilities in Open Source Software like Heartbleed in OpenSSL and Shellshock in Bash, retired software (Windows XP, Java 6) and an elevated number of 0-day vulnerabilities in software from Microsoft and Adobe, who patched Flash every month in 2014.

And 0-days continue to be present even as the year starts, this time though not from an attacker, but from the security research team. Google’s Project Zero researches vulnerabilities in common software and publishes the results in a transparent manner. Companies have 90 days to address issues before the vulnerability information becomes public. James Forshaw from the Project Zero team found a local privilege escalation vulnerability in Windows 8.1 on September 30 and made it public on December 29th, reigniting the discussion on the benefit of these disclosures without having a patch available (see comments here: https://code.google.com/p/google-security-research/issues/detail?id=118). The vulnerability is for local escalation only, meaning an attacker needs to have access to the target machine already to make use of it. But once on the machine it allows the attacker to become administrator giving total control over the target machine. Remember Stuxnet? There the attacker equipped the malware with 2 local 0-days allowing them to become administrator in order to gain full control - this vulnerability is in a similar class. By itself not too much to worry about, but in combination with other vulnerabilities or access through stolen credentials certainly valuable.

Let me know what you think about this change and tune in next week when the actual Patch Tuesday comes along.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com