Microsoft Patches Old Stuxnet
Bug, FREAK Vulnerability
by Michael Mimoso, March 10, 2015 , 2:24 pm
Bài được đưa lên Internet ngày: 10/03/2015
Lời người dịch: Trong Bản vá ngày thứ Ba tháng 3/2015 có 2 bản vá cho các chỗ bị tổn thương sống còn rất đặc biệt: (1) có bản vá cho một chỗ bị tổn thương 5 năm tuổi đã bị Stuxnet khai thác là không hoàn chỉnh và các máy đã bị phơi lộ kể từ năm 2010; (2) bản vá cho cuộc tấn công FREAK được tiết lộ gần đây - tháng 2/2015. Xem thêm: Windows XP sau ngày hết hỗ trợ kỹ thuật toàn cầu, 08/04/2014.
Dáng vẻ các cửa hàng CNTT Windows có sự xáo trộn trong
vài ngày nay. Không chỉ đã được phát hiện rằng một
bản
vá cho một chỗ bị tổn thương 5 năm tuổi đã bị
Stuxnet khai thác là không hoàn chỉnh và các máy đã bị
phơi lộ kể từ năm 2010, mà hôm nay cũng là ngày của
Bản
vá ngày thứ Ba và bản vá Stuxnet được cập nhật là
một trong 14 bản tin được Microsoft phát hành.
5 trong số các bản tin được Microsoft xếp hạng sống
còn, và bao gồm một cuộn và một cuộn của Internet
Explorer và một bản vá cho cuộc
tấn công FREAK được tiết lộ gần đây. Microsoft
cũng đã phát hành một tư vấn công bố rằng mã SHA-2 hỗ
trợ ký đã được bổ sung thêm vào Windows 7 và Windows
Server 2008 R2. Các phiên bản sau của Windows cho máy để
bàn và các hệ điều hành máy chủ đưa vào rồi sự hỗ
trợ cho ký và thẩm định SHA-2, Microsoft nói.
Tuy nhiên, bản tin có đặc điểm cao nhất, là MS15-020,
nó giải quyết vài vấn đề còn lại đằng sau bản vá
gốc Stuxnet, CVE-2010-2568, được phát hành vào tháng
8/2010. Bản tin đó đề cập tới 2 chỗ bị tổn thương
thực thi mã ở xa, một đề cập tới việc Windows điều
khiển tải các tệp DLL, và các bản vá khác đề cập
tới cách mà Windows Text Services điều khiển không đúng
các đối tượng trong bộ nhớ.
Chỗ bị tổn thương cài cắm DLL đã bị Stuxnet sử dụng
để tấn công chương trình hạt nhân của Iran vào năm
2009. Nếu một người sử dụng đã thấy một thư mục
lưu trữ một tệp .LNK độc hại, thì sự khai thác đó
có thể cho phép kẻ tấn công chạy mã ở xa theo ý muốn
của họ.
Vấn đề này đã được nêu cho Sáng kiến Ngày số 0
(Zero Day Initiative) của HP, hãng đã làm việc với
Microsoft cung cấp nó với các chi tiết và một chứng minh
khái niệm đã được sử dụng để xây dựng một bản
vá mới.
Bảng tin IE, MS15-018,
giải quyết một số chỗ bị tổn thương hỏng bộ nhớ
và leo thang các quyền ưu tiên trong trình duyệt.
“Bản cập nhật an toàn này đề cập tới các chỗ bị
tổn thương bằng việc sửa đổi cách mà Internet Explorer
điều khiển các đối tượng trong bộ nhớ, bằng việc
sửa cách mà máy scripting VBScript điều khiển các đối
tượng trong bọ nhớ, bằng việc giúp đảm bảo rằng
các chính sách liên miền được ép tuân thủ đúng trong
Internet Explorer, và bằng việc bổ sung thêm các thẩm tra
quyền cho Internet Explorer”, Microsoft nói trong tư vấn của
nó.
Chỗ bị tổn thương đó được xếp hạng sống còn cho
tất cả các phiên bản máy trạm của IE về tới tận
IE6, trong khi nó được xếp hạng là thông thường ngược
về IE6 trên Windows Server.
Microsoft nói rằng một trong các chỗ bị tổn thương leo
thang quyền ưu tiên đã được mở công khai và bị khai
thác. Vài chi tiết về CVE-2015-0072 đã được mở ra đầu
tháng 2 từ nhà nghiên cứu người Anh David Leo của Deusen.
Chỗ bị tổn thương đó, một lỗi
scripting liên site vạn năng (XSS), có thể bị khai thác
để ăn cắp thông tin hoặc tiêm mã vào các miền trong
trình duyệt trên Windows 7 và 8.1, ông nói.
Microsoft cũng đã vá một chỗ bị tổn thương sống còn
trong máy scripting Windows VBScript mà có thể dẫn tới thực
thi mã ở xa. MS15-019
và lỗi đó, nó có thể bị khai thác nếu một người sử
dụng bị dẫn tới một nơi đặt chỗ hosting website một
khai thác. VBScript 5.8 trong IE 8-11 bị ảnh hưởng vì chỗ
bị tổn thương này, nó tồn tại trên đường máy
VBScript, khi được trả về trong IE, điều khiển các đối
tượng trong bộ nhớ.
Microsoft cũng đã vá các chỗ bị tổn thương thực thi mã
ở xa trong Office. Các lỗi sống còn trong MS15-022
dẫn tới thực thi mã ở xa và có thể bị khai thác qua
các tài liệu Office độc hại. Thêm vào với phần mềm
Office, SharePoint cũng bị ảnh hưởng với một đôi chỗ
bị tổn thương scripting liên site.
Bản tin sống còn cuối cùng là MS15-021, vá 8 chỗ bị tổn
thương trong Adobe Font Driver, 4 trong số đó là các lỗi
thực thi mã ở xa sống còn, cùng với các chỗ bị tổn
thương ít nghiêm trọng hơn mở thông tin và từ chối
dịch vụ.
Các chỗ bị tổn thương RCE sống còn bị khai thác qua
web bằng việc lợi dụng một lỗi theo cách trình điều
khiển ghi đè không đúng các đối tượng trong bộ nhớ.
Không có chỗ bị tổn thương nào đã được mở ra công
khai, chúng cũng chưa bị khai thác.
Microsoft cũng phát hành một bản tin đề cập tới các
chỗ bị tổn thương FREAK. MS15-031
đặc biệt vá chỗ
bị tổn thương vượt qua tính năng an toàn trong Schannel,
triển khai SSL/TLS của Windows, cho phép các cuộc tấn công
FREAK. FREAK ép các hệ thống vô hiệu độ dài khóa của
một khóa RSA về 512 bit có thể bị phá, cho phép một
cuộc tấn công người chặn giữa đường đặt giao thông
được mã hóa vào rủi ro.
Ban đầu, nó được tin tưởng rằng FREAK đã nằm trong
các máy trạm SSL nhất định, bao gồm cả OpenSSL, nhưng
Microsoft đã đưa ra tư vấn hôm 05/03 cảnh báo về sự
phơi lộ của Schannel.
“Bản cập nhật an toàn này giải quyết chỗ bị tổn
thương đó bằng việc hiệu chỉnh các chính sách ép tuân
thủ phù hợp về mật mã được sử dụng khi các khóa
máy chủ được trao đổi giữa các máy chru và các hệ
thống máy trạm”, Microsoft nói.
Về các bản tin còn lại, tất cả chúng được Microsoft
xếp hạng quan trọng, MS15-027
cần chú ý. Bản tin đó vá một chỗ bị tổn thương
trong Windows Netlogon bằng việc sửa đổi cách mà nó điều
khiển các kênh an toàn.
“Chỗ bị tổn thương đó có thể cho phép lừa gạt nếu
một kẻ tấn công được đăng nhập vào một hệ thống
miền chung chạy một ứng dụng được làm giả mà có
thể thiết lập một kết nối với các hệ thống miền
chung khác như là người sử dụng hoặc hệ thống mạo
danh”, Microsoft nói trong tư vấn của nó, bổ sung thêm
rằng độ nghiêm trọng là ít hơn vì một kẻ tấn công
cần phải đăng nhập vào hệ thống miền chung đó và có
khả năng quan sát giao thông mạng.
Windows IT shops figure to be in
for some scrambling today. Not only was it revealed that a
five-year-old patch
for a vulnerability exploited by Stuxnet was incomplete and
machines have been exposed since 2010, but today is also Patch
Tuesday and the updated Stuxnet patch is one of 14 bulletins
released by Microsoft.
Five of the bulletins are rated
critical by Microsoft, and include another Internet Explorer rollup
and a patch for the recently disclosed FREAK
attack. Microsoft also released an advisory announcing that SHA-2
code signing support has been added to Windows 7 and Windows Server
2008 R2. Later versions of Windows desktop and server OSes already
include support for SHA-2 signing and verification, Microsoft said.
The highest profile bulletin,
however, is MS15-020
which resolves some issues left behind by the original Stuxnet patch,
CVE-2010-2568, released in August 2010. The bulletin covers two
remote code execution vulnerabilities, one addressing how Windows
handles loading of DLL files, and the other patches how Windows Text
Services improperly handles objects in memory.
The DLL planting vulnerability was
used by Stuxnet to attack the Iranian nuclear program in 2009. If a
user viewed a folder or directory storing a malicious .LNK file, the
exploit would allow the attacker to run code of their choice
remotely.
The issue was reported to HP’s
Zero Day Initiative, which worked with Microsoft providing it with
details and a proof of concept exploit that was used to build a new
patch.
The IE bulletin, MS15-018,
addresses a number of memory corruption and elevation of privileges
vulnerabilities in the browser.
“The security update addresses
the vulnerabilities by modifying the way that Internet Explorer
handles objects in memory, by modifying how the VBScript scripting
engine handles objects in memory, by helping to ensure that
cross-domain policies are properly enforced in Internet Explorer, and
by adding additional permission validations to Internet Explorer,”
Microsoft said in its advisory.
The vulnerability is rated critical
for all client versions of IE going back to IE6, while it’s rated
moderate going back to IE6 on Windows Server.
Microsoft said that one of the
elevation of privilege vulnerabilities has been publicly disclosed
and exploited. Some details on CVE-2015-0072 were disclosed in early
February by U.K. researcher David Leo of Deusen. The vulnerability, a
universal
cross-site scripting (XSS) bug, could be exploited to steal
information or inject code into domains on the browser on Windows 7
and 8.1, he said.
Microsoft also patched a critical
vulnerability in the Windows VBScript scripting engine that could
lead to remote code execution. MS15-019
patches the flaw, which can be exploited if a user is led to a
website hosting an exploit. VBScript 5.8 in IE 8-11 are affected by
the vulnerability, which exists in the way the VBScript engine, when
rendered in IE, handles objects in memory.
Microsoft also patched critical
remote code execution vulnerabilities in Office. The critical bugs in
MS15-022
lead to remote code execution and can be exploited via malicious
Office documents. In addition to Office software, Sharepoint is also
affected with a pair of cross-site scripting vulnerabilities.
The final critical bulletin is
MS15-021, patches eight vulnerabilities in the Adobe Font Driver,
four of them critical remote code execution bugs, along with
less-severe information disclosure and denial of service
vulnerabilities.
The critical RCE vulnerabilities
are exploited over the web by taking advantage of a flaw in the way
the driver improperly overwrites objects in memory. None of the
vulnerabilities were publicly disclosed, nor have they been exploited
in the wild.
Microsoft also released a bulletin
addressing the FREAK
vulnerabilities. MS15-031
specifically patches the security
feature bypass vulnerability in Schannel, the Windows
implementation of SSL/TLS, that enables FREAK attacks. FREAK forces
systems to downgrade the key length of an RSA key to a crackable 512
bits, enabling a man-in-the-middle attack putting supposedly
encrypted traffic at risk.
Initially, it was believe that
FREAK was confined to certain SSL clients, including OpenSSL, but
Microsoft released an advisory on March 5 warning about Schannel’s
exposure.
“The security update addresses
the vulnerability by correcting the cipher suite enforcement policies
that are used when server keys are exchanged between servers and
client systems,” Microsoft said.
Of the remaining bulletins, all of
which are rated important by Microsoft, MS15-027
merits attention. The bulletin patches a vulnerability in Windows
Netlogon by modifying the way it handles secure channels.
“The vulnerability could allow
spoofing if an attacker who is logged on to a domain-joined system
runs a specially crafted application that could establish a
connection with other domain-joined systems as the impersonated user
or system,” Microsoft said in its advisory, adding that the
severity is lessened because an attacker would have to be logged on
to a domain-joined system and be able to observe network traffic.
Dịch: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.