Bản vá ngày thứ Ba, tháng 2/2015

Patch Tuesday February 2015

Posted by wkandek in The Laws of Vulnerabilities on Feb 10, 2015 11:19:00 AM

Theo: https://community.qualys.com/blogs/laws-of-vulnerabilities/2015/02/10/patch-tuesday-february-2015

Bài được đưa lên Internet ngày: 10/02/2015

Các lỗi sống còn trong các phần mềm của Microsoft trong vòng 01 năm

Lời người dịch: Trích đoạn về Bản vá ngày thứ Ba tháng 02/2015 của Microsoft: “Bản tin quan trọng nhất của Microsoft, sau khi cài đặt APSB14-04 của Adobe là MS15-009, là sửa cho Internet Explorer (IE). Tất cả các phiên bản IE đều bị ảnh hưởng và bản vá chứa các miếng vá cho 41 chỗ bị tổn thương, một con số rất cao, nhưng đừng quên rằng tháng trước đã không có phát hành nào cho IE, điều giải thích con số tăng cao này”. Xem thêm: Windows XP sau ngày hết hỗ trợ kỹ thuật toàn cầu, 08/04/2014.

Bản vá ngày thứ Ba tháng 02/2015 tới sau một tháng hoàn toàn náo loạn đối với các chuyên gia an toàn thông tin. Không thật nhiều đối với Microsoft, nhưng Adobe đã và đang giữ chúng ta bận rộn với nhiều chỗ bị tổn thương ngày số 0 (0-day) được mở ra đối với phần mềm Flash của họ. Tất cả các vấn đề được biết đã rất nhanh chóng được Adobe giải quyết (APSB15-02, 03 và 04), điển hình xoay quanh một sửa lỗi ít hơn một tuần. Hơn nữa, điều đáng lo để thấy số lượng vấn đề mà các tội phạm không gian mạng có khả năng tìm thấy trong phần mềm mà chúng ta tất cả đều đã cài đặt và sử dụng cho cuộc sống hàng ngày của chúng ta.

Bản thân Microsoft đã đưa lên 9 bản tin tháng này, 4 bản tin sửa các chỗ bị tổn thương dạng thực thi mã ở xa (RCE), và 5 bản tin được xếp hạng quan trọng giải quyết một số chỗ bị tổn thương cục bộ như leo thang quyền ưu tiên và để lộ thông tin.

Bản tin quan trọng nhất của Microsoft, sau khi cài đặt APSB14-04 của Adobe là MS15-009, là sửa cho Internet Explorer (IE). Tất cả các phiên bản IE đều bị ảnh hưởng và bản vá chứa các miếng vá cho 41 chỗ bị tổn thương, một con số rất cao, nhưng đừng quên rằng tháng trước đã không có phát hành nào cho IE, điều giải thích con số tăng cao này. Trong khi một trong những chỗ bị tổn thương đang được sử dụng trong hoang dại, thì nó không phải dạng RCE, mà “chỉ ” là một sự Mở ra Thông tin mà những kẻ tấn công đang sử dụng trong sự kết hợp với các chỗ bị tổn thương khác để giành được sự kiểm soát đối với các máy bị ngắm đích.

Tiếp tục với danh sách của chúng ta là MS15-012, nó giải quyết 3 chỗ bị tổn thương, bao gồm cả một tổn thương dạng RCE mà có thể bị sử dụng để giành lấy sự kiểm soát đối với máy tính của người sử dụng. Một kẻ tấn công có thể lừa người sử dụng mở một tài liệu được định dạng đặc biệt, thường được trợ giúp qua sử dụng kỹ thuật xã hội, nghĩa là gửi một thư điện tử với một gắn kèm gây chú ý. Vì dạng tấn công này là rất thường xuyên nên chúng ta tin tưởng bảng tin này sẽ là cao trong danh sách của bạn.

MS15-010 là một bản tin sống còn cho hệ điều hành Windows giải quyết 6 chỗ bị tổn thương mà hiện diện trong tất cả các phiên bản của hệ điều hành này bắt đầu từ Server 2003 qua Windows 8.1 và Server 2008 R2. Một trong các chỗ bị tổn thương, CVE-2015-0010 đã từng được mở ra công khai qua Dự án Zero từ Google vì giai đoạn cấm vận 90 ngày đã hết, nhưng Microsoft chỉ ra rằng họ không nhận thức được về bất kỳ cố gắng khai thác nào.

MS15-011 là một chỗ bị tổn thương thú vị trong cơ chế Chính sách Nhóm của Microsoft. Lỗi đó cung cấp thực thi mã ở xa. Kẻ tấn côgn phải lừa một người sử dụng để kết nối tới máy trạm của họ với miền độc hại của kẻ tấn công, điều đặt kẻ tấn công dứt khoát vào địa hạt của doanh nghiệp, với kể tấn công kiểm soát miền kiểm soát hoặc có khả năng chụp như miền kiểm soát. Đủ thú vị Microsoft đang không giải quyết chỗ bị tổn thương trong Windows Server 2003, mà nêu rằng sửa lỗi đó có thể quá tràn lan không đảm bảo cho 2003 tiếp tục hoạt động được. Một lý do nữa để rời khỏi nền tảng Server 2003 càng sớm càng tốt, bổ sung thêm vào sự kết thúc vòng đời của nền tảng này vào tháng 07 năm nay.

Các bản tin còn lại giải quyết các vấn đề cục bộ trong Office (MS15-013) với một vấn đề của ASLR, Chính sách Nhóm (MS15-014), Windows (MS15-015 và MS15-016) và Trình quản lý Máy Ảo trong Server 2012 (MS15-017). Có một chút thông tin hơn về MS15-016 trong bài viết trên blog của Michal Zalewski, nơi mà ông chi tiết hóa rằng nó đã được thấy qua chương trình afl-fuzz của ông, một công cụ của cảnh sát mà ông đã mài giũa khoảng vào năm ngoái, afl-fuzz thấy vài lỗi đáng ngạc nhiên, nhưng trong trường hợp này ông chỉ chỉ ra Microsoft đã giải quyết vấn đề hoàn toàn nhanh trong chính xác 60 ngày từ khi mở để vá.

Toàn bộ khá bình thường Bản vá ngày thứ Ba từ Microsoft, với một Bản vá lớn hơn bình thường cho Internet Explorer.

February Patch Tuesday 2015 comes after a quite turbulent month for information security professionals. Not so much Microsoft, but Adobe has been keeping us busy with multiple disclosed 0-day vulnerabilities their Flash software. All of the known issues have been very quickly addressed by Adobe (APSB15-02, 03 and 04), typically turning around a fix in less than a week. Still, it is worrisome to see the amount of problems that cyber criminals are able to find in software that we all have installed and use in our daily lives.

Microsoft itself posted nine bulletins this month, four that fix remote code execution (RCE) type vulnerabilities, and five that are rated important addressing a number of of local vulnerabilities such as elevation of privilege and information disclosures.

The most important Microsoft bulletin, after installing Adobe’s APSB14-04 is MS15-009, is the fix for Internet Explorer (IE). All versions of IE are affected and the patch contains the patches for 41 vulnerabilities, a very high count, but do not forget that last month there was no IE release, which explains this elevated number. While one of the vulnerabilities is being used in the wild, it is not of the RCE type, but “only” an Information Disclosure that attackers are using in conjunction with other vulnerabilities to gain control over the targeted machines.

Next on our list is MS15-012, which addresses three vulnerabilities, including a RCE type that can be used to gain control over the user’s machine. An attacker could trick the user into opening a specially formatted document, frequently aided through the use of social engineering, i.e. sending an email with an attachment that is of interest. Since this type of attack is quite frequent we believe this bulletin should be high on your list.

MS15-010 is a critical bulletin for the Windows Operating system addressing six vulnerabilities that are present in all versions of the operating system starting with Server 2003 through Windows 8.1 and Server 2008 R2. One of the vulnerabilities, CVE-2015-0010 has been disclosed publicly through the Project Zero from Google because its 90-day embargo period expired, but Microsoft indicates that they are unaware of any exploitation attempts.

MS15-011 is an interesting vulnerability in Microsoft Group Policy mechanism. The flaw provides remote code execution. The attacker has to trick a user to connect their client machine to the attacker’s malicious domain, which places the attack squarely into the enterprise realm, with the attacker controlling the domain controller or able to pose as domain controller. Interestingly enough Microsoft is not addressing the vulnerability in Windows Server 2003, but states that the fix would be too invasive to guarantee 2003 continued functioning. One more reason to get off the Server 2003 platform as soon as possible, in addition to the coming end-of-life of the platform in July of this year.

The remaining bulletins address local problems in Office (MS15-013) with an ASLR issue, Group Policy (MS15-014), Windows (MS15-015 and MS15-016) and the Virtual Machine Manager in Server 2012 (MS15-017). There is a bit more information about MS15-016 in the blog post by Michal Zalewski, where he details that it was found through his afl-fuzz program a fuzzing tool that he has been honing for the last year or so. afl-fuzz finds some astonishing bugs, but in this case he is just pointing out the Microsoft addressed the problem quite rapidly in exactly 60 days from disclosure to patch.

Overall a pretty normal Patch Tuesday from Microsoft, with a larger than normal Internet Explorer Patch.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com