Microsoft vá lỗi Stuxnet cũ, chỗ bị tổn thương FREAK

Microsoft Patches Old Stuxnet Bug, FREAK Vulnerability

by Michael Mimoso, March 10, 2015 , 2:24 pm

Theo: https://threatpost.com/microsoft-patches-old-stuxnet-bug-freak-vulnerability/111565

Bài được đưa lên Internet ngày: 10/03/2015

Lời người dịch: Trong Bản vá ngày thứ Ba tháng 3/2015 có 2 bản vá cho các chỗ bị tổn thương sống còn rất đặc biệt: (1) có bản vá cho một chỗ bị tổn thương 5 năm tuổi đã bị Stuxnet khai thác là không hoàn chỉnh và các máy đã bị phơi lộ kể từ năm 2010; (2) bản vá cho cuộc tấn công FREAK được tiết lộ gần đây - tháng 2/2015. Xem thêm: Windows XP sau ngày hết hỗ trợ kỹ thuật toàn cầu, 08/04/2014.

Dáng vẻ các cửa hàng CNTT Windows có sự xáo trộn trong vài ngày nay. Không chỉ đã được phát hiện rằng một bản vá cho một chỗ bị tổn thương 5 năm tuổi đã bị Stuxnet khai thác là không hoàn chỉnh và các máy đã bị phơi lộ kể từ năm 2010, mà hôm nay cũng là ngày của Bản vá ngày thứ Ba và bản vá Stuxnet được cập nhật là một trong 14 bản tin được Microsoft phát hành.

5 trong số các bản tin được Microsoft xếp hạng sống còn, và bao gồm một cuộn và một cuộn của Internet Explorer và một bản vá cho cuộc tấn công FREAK được tiết lộ gần đây. Microsoft cũng đã phát hành một tư vấn công bố rằng mã SHA-2 hỗ trợ ký đã được bổ sung thêm vào Windows 7 và Windows Server 2008 R2. Các phiên bản sau của Windows cho máy để bàn và các hệ điều hành máy chủ đưa vào rồi sự hỗ trợ cho ký và thẩm định SHA-2, Microsoft nói.

Tuy nhiên, bản tin có đặc điểm cao nhất, là MS15-020, nó giải quyết vài vấn đề còn lại đằng sau bản vá gốc Stuxnet, CVE-2010-2568, được phát hành vào tháng 8/2010. Bản tin đó đề cập tới 2 chỗ bị tổn thương thực thi mã ở xa, một đề cập tới việc Windows điều khiển tải các tệp DLL, và các bản vá khác đề cập tới cách mà Windows Text Services điều khiển không đúng các đối tượng trong bộ nhớ.

Chỗ bị tổn thương cài cắm DLL đã bị Stuxnet sử dụng để tấn công chương trình hạt nhân của Iran vào năm 2009. Nếu một người sử dụng đã thấy một thư mục lưu trữ một tệp .LNK độc hại, thì sự khai thác đó có thể cho phép kẻ tấn công chạy mã ở xa theo ý muốn của họ.

Vấn đề này đã được nêu cho Sáng kiến Ngày số 0 (Zero Day Initiative) của HP, hãng đã làm việc với Microsoft cung cấp nó với các chi tiết và một chứng minh khái niệm đã được sử dụng để xây dựng một bản vá mới.

Bảng tin IE, MS15-018, giải quyết một số chỗ bị tổn thương hỏng bộ nhớ và leo thang các quyền ưu tiên trong trình duyệt.

“Bản cập nhật an toàn này đề cập tới các chỗ bị tổn thương bằng việc sửa đổi cách mà Internet Explorer điều khiển các đối tượng trong bộ nhớ, bằng việc sửa cách mà máy scripting VBScript điều khiển các đối tượng trong bọ nhớ, bằng việc giúp đảm bảo rằng các chính sách liên miền được ép tuân thủ đúng trong Internet Explorer, và bằng việc bổ sung thêm các thẩm tra quyền cho Internet Explorer”, Microsoft nói trong tư vấn của nó.

Chỗ bị tổn thương đó được xếp hạng sống còn cho tất cả các phiên bản máy trạm của IE về tới tận IE6, trong khi nó được xếp hạng là thông thường ngược về IE6 trên Windows Server.

Microsoft nói rằng một trong các chỗ bị tổn thương leo thang quyền ưu tiên đã được mở công khai và bị khai thác. Vài chi tiết về CVE-2015-0072 đã được mở ra đầu tháng 2 từ nhà nghiên cứu người Anh David Leo của Deusen. Chỗ bị tổn thương đó, một lỗi scripting liên site vạn năng (XSS), có thể bị khai thác để ăn cắp thông tin hoặc tiêm mã vào các miền trong trình duyệt trên Windows 7 và 8.1, ông nói.

Microsoft cũng đã vá một chỗ bị tổn thương sống còn trong máy scripting Windows VBScript mà có thể dẫn tới thực thi mã ở xa. MS15-019 và lỗi đó, nó có thể bị khai thác nếu một người sử dụng bị dẫn tới một nơi đặt chỗ hosting website một khai thác. VBScript 5.8 trong IE 8-11 bị ảnh hưởng vì chỗ bị tổn thương này, nó tồn tại trên đường máy VBScript, khi được trả về trong IE, điều khiển các đối tượng trong bộ nhớ.

Microsoft cũng đã vá các chỗ bị tổn thương thực thi mã ở xa trong Office. Các lỗi sống còn trong MS15-022 dẫn tới thực thi mã ở xa và có thể bị khai thác qua các tài liệu Office độc hại. Thêm vào với phần mềm Office, SharePoint cũng bị ảnh hưởng với một đôi chỗ bị tổn thương scripting liên site.

Bản tin sống còn cuối cùng là MS15-021, vá 8 chỗ bị tổn thương trong Adobe Font Driver, 4 trong số đó là các lỗi thực thi mã ở xa sống còn, cùng với các chỗ bị tổn thương ít nghiêm trọng hơn mở thông tin và từ chối dịch vụ.

Các chỗ bị tổn thương RCE sống còn bị khai thác qua web bằng việc lợi dụng một lỗi theo cách trình điều khiển ghi đè không đúng các đối tượng trong bộ nhớ. Không có chỗ bị tổn thương nào đã được mở ra công khai, chúng cũng chưa bị khai thác.

Microsoft cũng phát hành một bản tin đề cập tới các chỗ bị tổn thương FREAK. MS15-031 đặc biệt vá chỗ bị tổn thương vượt qua tính năng an toàn trong Schannel, triển khai SSL/TLS của Windows, cho phép các cuộc tấn công FREAK. FREAK ép các hệ thống vô hiệu độ dài khóa của một khóa RSA về 512 bit có thể bị phá, cho phép một cuộc tấn công người chặn giữa đường đặt giao thông được mã hóa vào rủi ro.

Ban đầu, nó được tin tưởng rằng FREAK đã nằm trong các máy trạm SSL nhất định, bao gồm cả OpenSSL, nhưng Microsoft đã đưa ra tư vấn hôm 05/03 cảnh báo về sự phơi lộ của Schannel.

“Bản cập nhật an toàn này giải quyết chỗ bị tổn thương đó bằng việc hiệu chỉnh các chính sách ép tuân thủ phù hợp về mật mã được sử dụng khi các khóa máy chủ được trao đổi giữa các máy chru và các hệ thống máy trạm”, Microsoft nói.

Về các bản tin còn lại, tất cả chúng được Microsoft xếp hạng quan trọng, MS15-027 cần chú ý. Bản tin đó vá một chỗ bị tổn thương trong Windows Netlogon bằng việc sửa đổi cách mà nó điều khiển các kênh an toàn.

“Chỗ bị tổn thương đó có thể cho phép lừa gạt nếu một kẻ tấn công được đăng nhập vào một hệ thống miền chung chạy một ứng dụng được làm giả mà có thể thiết lập một kết nối với các hệ thống miền chung khác như là người sử dụng hoặc hệ thống mạo danh”, Microsoft nói trong tư vấn của nó, bổ sung thêm rằng độ nghiêm trọng là ít hơn vì một kẻ tấn công cần phải đăng nhập vào hệ thống miền chung đó và có khả năng quan sát giao thông mạng.

Windows IT shops figure to be in for some scrambling today. Not only was it revealed that a five-year-old patch for a vulnerability exploited by Stuxnet was incomplete and machines have been exposed since 2010, but today is also Patch Tuesday and the updated Stuxnet patch is one of 14 bulletins released by Microsoft.

Five of the bulletins are rated critical by Microsoft, and include another Internet Explorer rollup and a patch for the recently disclosed FREAK attack. Microsoft also released an advisory announcing that SHA-2 code signing support has been added to Windows 7 and Windows Server 2008 R2. Later versions of Windows desktop and server OSes already include support for SHA-2 signing and verification, Microsoft said.

The highest profile bulletin, however, is MS15-020 which resolves some issues left behind by the original Stuxnet patch, CVE-2010-2568, released in August 2010. The bulletin covers two remote code execution vulnerabilities, one addressing how Windows handles loading of DLL files, and the other patches how Windows Text Services improperly handles objects in memory.

The DLL planting vulnerability was used by Stuxnet to attack the Iranian nuclear program in 2009. If a user viewed a folder or directory storing a malicious .LNK file, the exploit would allow the attacker to run code of their choice remotely.

The issue was reported to HP’s Zero Day Initiative, which worked with Microsoft providing it with details and a proof of concept exploit that was used to build a new patch.

The IE bulletin, MS15-018, addresses a number of memory corruption and elevation of privileges vulnerabilities in the browser.

“The security update addresses the vulnerabilities by modifying the way that Internet Explorer handles objects in memory, by modifying how the VBScript scripting engine handles objects in memory, by helping to ensure that cross-domain policies are properly enforced in Internet Explorer, and by adding additional permission validations to Internet Explorer,” Microsoft said in its advisory.

The vulnerability is rated critical for all client versions of IE going back to IE6, while it’s rated moderate going back to IE6 on Windows Server.

Microsoft said that one of the elevation of privilege vulnerabilities has been publicly disclosed and exploited. Some details on CVE-2015-0072 were disclosed in early February by U.K. researcher David Leo of Deusen. The vulnerability, a universal cross-site scripting (XSS) bug, could be exploited to steal information or inject code into domains on the browser on Windows 7 and 8.1, he said.

Microsoft also patched a critical vulnerability in the Windows VBScript scripting engine that could lead to remote code execution. MS15-019 patches the flaw, which can be exploited if a user is led to a website hosting an exploit. VBScript 5.8 in IE 8-11 are affected by the vulnerability, which exists in the way the VBScript engine, when rendered in IE, handles objects in memory.

Microsoft also patched critical remote code execution vulnerabilities in Office. The critical bugs in MS15-022 lead to remote code execution and can be exploited via malicious Office documents. In addition to Office software, Sharepoint is also affected with a pair of cross-site scripting vulnerabilities.

The final critical bulletin is MS15-021, patches eight vulnerabilities in the Adobe Font Driver, four of them critical remote code execution bugs, along with less-severe information disclosure and denial of service vulnerabilities.

The critical RCE vulnerabilities are exploited over the web by taking advantage of a flaw in the way the driver improperly overwrites objects in memory. None of the vulnerabilities were publicly disclosed, nor have they been exploited in the wild.

Microsoft also released a bulletin addressing the FREAK vulnerabilities. MS15-031 specifically patches the security feature bypass vulnerability in Schannel, the Windows implementation of SSL/TLS, that enables FREAK attacks. FREAK forces systems to downgrade the key length of an RSA key to a crackable 512 bits, enabling a man-in-the-middle attack putting supposedly encrypted traffic at risk.

Initially, it was believe that FREAK was confined to certain SSL clients, including OpenSSL, but Microsoft released an advisory on March 5 warning about Schannel’s exposure.

“The security update addresses the vulnerability by correcting the cipher suite enforcement policies that are used when server keys are exchanged between servers and client systems,” Microsoft said.

Of the remaining bulletins, all of which are rated important by Microsoft, MS15-027 merits attention. The bulletin patches a vulnerability in Windows Netlogon by modifying the way it handles secure channels.

“The vulnerability could allow spoofing if an attacker who is logged on to a domain-joined system runs a specially crafted application that could establish a connection with other domain-joined systems as the impersonated user or system,” Microsoft said in its advisory, adding that the severity is lessened because an attacker would have to be logged on to a domain-joined system and be able to observe network traffic.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com