Bản vá ngày thứ Ba tháng 07/2015

Patch Tuesday July 2015

Posted by wkandek in The Laws of Vulnerabilities on Jul 14, 2015 10:05:48 AM

Theo: https://community.qualys.com/blogs/laws-of-vulnerabilities/2015/07/14/patch-tuesday-july-2015

Bài được đưa lên Internet ngày: 14/07/2015

Lời người dịch: “Hôm thứ Bảy, 05/07, một kẻ tấn công đã làm rò rỉ 400 GB dữ liệu lấy được từ mạng của công ty phần mềm giám sát Ý HackingTeam. Dữ liệu chứa các thư điện tử, tài liệu và mã nguồn từng được soi xét cho các thông tin thú vị của một số nhà báo và các nhà nghiên cứu về an toàn. Sản phẩm chính của HackingTeam là một Phần mềm Kiểm soát Từ ở xa gọi là Galileo nhằm vào thị trường chính phủ”. Bản vá ngày thứ Ba tháng 7/2015 của Microsoft có 14 bản tin, trong đó có 4 là sống còn, gồm: MS15-065 (Internet Explore), MS15-066 (VBScript), MS15-067 (Windows Remote Desktop Protocol) và MS15-068 (Windows Hyper-V), còn lại là các lỗi quan trọng và thông thường.

Xem thêm: http://vnfoss.blogspot.com/2014/06/windows-xp-sau-ngay-het-ho-tro-ky-thuat.html

Hệ thống kiểm soát từ ở xa GALILEO, Bộ phần mềm đột nhập cho sự can thiệp của chính phủ

Khi chúng tôi bắt đầu chuẩn bị trong nội bộ Bản vá ngày thứ Ba tháng Bảy, chúng tôi đã tranh luận vấn đề lớn nào của tháng có thể là. Hai mảng nổi lên, chúng tôi đã chia ra ở giữa hết vòng đời của Windows Server 2003, và chỗ bị tổn thương bí ẩn MS15-058 mà Microsoft đã không phát hành tháng trước. Vâng, hóa ra là cả 2 mảng đều đã sai: vấn đề lớn nhất tháng này là nhiều lỗi ngày số 0 trong Adobe Flash.

Hôm thứ Bảy, 05/07, một kẻ tấn công đã làm rò rỉ 400 GB dữ liệu lấy được từ mạng của công ty phần mềm giám sát Ý HackingTeam. Dữ liệu chứa các thư điện tử, tài liệu và mã nguồn từng được soi xét cho các thông tin thú vị của một số nhà báo và các nhà nghiên cứu về an toàn. Sản phẩm chính của HackingTeam là một Phần mềm Kiểm soát Từ ở xa gọi là Galileo nhằm vào thị trường chính phủ.

Galileo cung xấp cho các khách hàng là chính phủ một console được tập trung hóa để giám sát và kiểm soát các máy tính đích qua cài đặt một đặc vụ. Các nhà nghiên cứu an toàn đã có quan tâm trong các cơ chế mà HackingTeam sử dụng để làm cho đặc vụ của chúng vào được các mục tiêu chạy Windows, Mac OS X, Linux, iOS và Android. Họ đã giả thiết rằng Galileo gồm một số các chỗ bị tổn thương ngày số 0 sử dụng được cho các lây nhiễm từ ở xa.

So tới nay họ đã thấy 4 chỗ bị tổn thương ngày số 0: 3 trong Adobe Flash và 1 trong Microsoft Windows. Adobe đã giải quyết chỗ bị tổn thương đầu tiên vào tuần trước trong một bản vá ngoài kế hoạch (APSB15-16) mà cũng đã sửa 35 chỗ bị tổn thương khác, về cơ bản biết trước phát hành Bản và ngày thứ Ba thông thường của họ. Kể từ đó 2 chỗ bị tổn thương ngày số 0 khác trong Adobe Flash đã được tìm thấy mà Adobe thừa nhận trong APSA15-04 và đang giải quyết hôm nay. Nhưng các nhà nghiên cứu an toàn không là những người duy nhất sử dụng việc đánh đống dữ liệu để tìm kiếm các chỗ bị tổn thương. Các tội phạm không gian mạng đã và đang có các nghiên cứu của riêng họ và đã có khả năng tích hợp tất cả các chỗ bị tổn thương ngày số 0 vào bộ khai thác ExploitKits phơi ra công chúng nói chung cho những gì trước đó còn chưa được biết là các cuộc tấn công. Vì không có bản vá nào từng có sẵn trước ngày hôm nay, khuyến cáo của chúng tôi cho tới nay là hoặc bỏ cài đặt Flash để hoàn toàn vô hiệu hóa cuộc tấn công, hãy sử dụng EMET trên Windows để cung cấp việc tăng cường bổ sung cho trình duyệt của bạn hoặc sử dụng Google Chrome như là trình duyệt của bạn vì nó không bị ảnh hưởng bởi ít nhất lỗi ngày số 0 đầu tiên trong Flash. Mặc dù vậy, để có thêm thông tin về lỗ thủng dữ liệu này, tôi khuyến cáo đọc bài viết trên blog Salted Hash của Steve Ragan như là điểm khởi đầu.

Các lỗi ngày số 0 của Adobe và Microsoft chỉ là những lỗi ở ngoài đó. Trend-Micro đã nêu về một lỗi ngày số 0 trong Java, ảnh hưởng tới Java v8u45 mới nhất, được sử dụng trong các cuộc tấn công có chủ đích lúc này. Oracle đang phát hành Cập nhật Bản vá Then chốt tháng Bảy 2015 ngày hôm nay, nó sẽ giải quyết 25 chỗ bị tổn thương trong Java, những còn chưa bao trùm chỗ bị tổn thương đặc biệt này. Hãy chú ý về phát hành ngoài luồng tiềm tàng nhé.

Vì thế, toàn bộ tình hình này để bạn ở đâu nhỉ? Năm nay chúng ta đã thấy nhiều cuộc tấn công lỗi ngày số 0 nhanh chóng được tích hợp vào trong các sản phẩm tấn công dòng chính thống. Điều này ảnh hưởng tới từng tổ chức và từng người sử dụng trên web và không chỉ các công ty mà đang chịu các cuộc tấn công có chủ đích vì các tác nhân tinh vi phức tạp. Bạn có thể giải quyết điều này bằng:

Tối thiểu hóa các dấu vết phần mềm của bạn: bỏ cài đặt các gói phần mềm có thể lấy đi được mẫu đe dọa của bạn. Thậm chí bỏ cài đặt một phần hạ tầng của bạn là đáng bỏ công sức.

• Vá nhanh: Hãy có ra tay trước những kẻ tấn công đang ngày càng chuyên nghiệp trong phân tích các bản vá và kỹ thuật nghịch đảo các chỗ bị tổn thương được giải quyết.
• Tăng cường bổ sung: Phần mềm như EMET và các “áo khoác chật hẹp xử lý” có thể giúp bạn mua thời gian cần thiết để vượt qua với một giải pháp lâu dài. Đối với Java hãy xem Deployment Rule Sets, nó cho phép bạn tạo thuận lợi có lựa chọn cho Java ở những nơi cần thiết.

OK, đủ về giới thiệu Bản vá ngày thứ Ba lớn của ngày hôm nay rồi. Hãy đi vào chi tiết: cũng có các bản sửa từ Adobe cho Reader và Shockwave, cũng như 14 bản tin cho cả các máy chủ và máy trạm và phát hành lớn của Oracle giải quyết 10 sản phẩm và sửa hơn 100 chỗ bị tổn thương.

Đối với Adobe và Microsoft, đây là các bảng tin đứng ở đỉnh của danh sách:

• APSB15-18 giải quyết các CVE-2015-5122 và 5213 đang bị khai thác. Hãy áp dụng bản vá này bây giờ.
• MS15-065 giải quyết 28 chỗ bị tổn thương trong Explorer, với 3 trong số chúng được biết rồi (CVE-2051-2413, CVE-2015-2419 và CVE-2015-2421). CVE-2015-2425 cũng tới từ đống dữ liệu ở HackingTeam và tôi ấn tượng với tốc độ sửa lỗi mà Microsoft đã chỉ ra ở đây. Về các chỗ bị tổn thương khác, toàn bộ 19 là dạng RCE và cho phép kẻ tấn công chiếm quyền kiểm soát máy đích đơn giản bằng việc duyệt một site độc hại, hoặc bị lây nhiễm.
• MS15-070 giải quyết 8 chỗ bị tổn thương Thực thi Mã Ở xa (RCE) trong Microsoft Office, với một chỗ bị tổn thương hiện đang bị khai thác (CVE-2015-2424).
• MS15-077 sửa một chỗ bị tổn thương trong Adobe Type Manager đang bị khai thác tích cực (CVE-2015-2387).
• MS15-058 là chỗ bị tổn thương còn lại sau tháng trước. Nó giải quyết 3 vấn đề dạng RCE sống còn trong MS-SQL server, điều còn chưa có bất kỳ bản vá an toàn nào kể từ các gói dịch vụ cuối cùng. Nếu bạn sử dụng MS-SQL thì hãy xem trong các kịch bản mà áp dụng, điều đang làm hạn chế một chú những ai bị ảnh hưởng.
• MS15-067 là chỗ bị tổn thương sống còn trong RDP. Nếu bạn sử dụng RDP như là giao thức truy cập từ ở xa của bạn trên Windows 7 hoặc 8 với 32 bit (vâng 64 bit còn chưa bị ảnh hưởng), thì điều này nên là ưu tiên cao trong danh sách của bạn.
• MS15-068 sửa 2 chỗ bị tổn thương sống còn trong Hyper-V, điều bạn nên xem nếu bạn sử dụng sản phẩm công nghệ ảo hóa này của Microsoft.

Các bản tin còn lại giải quyết các vấn đề trong Windows các mức an toàn sống còn và quan trọng. Chúng sẽ được triển khai sau khi bạn đã làm việc theo cách của bạn qua các vấn đề ưu tiên từ Adobe và Microsoft. Mặc dù vậy, Adobe cũng đã phát hành các bản cập nhật cho Reader (46 CVE được giải quyết) và Shockwave Player.

Mặc dù vậy, tháng 7 là tháng cuối cùng các bản vá cho Windows Server 2003. 9 trong số 14 bản tin đã ảnh hưởng tới Windows Server 2003. Đó là chỉ số rõ ràng rằng những kẻ tấn công sẽ tiếp tục thấy các vấn đề trong Windows 2003 nhiều (hãy xem qualys.com/research để biết vài ví dụ về Windows XP). Chỉ có 2 điều phải làm để tránh mối đe dọa đó, chuyển khỏi Server 2003 hoặc trả tiền cho Microsoft để có các bản vá cần thiết qua một mối liên hệ hỗ trợ đặc biệt.

Xin hãy cảm thấy thoải mái để bình luận, hoặc ở đây trong blog hoặc qua thư điện tử tới wkandek@qualys.com. Tôi rất thú vị nghe tốc độ cao hơn này trong an toàn thông tin đang ảnh hưởng như thế nào tới các đội của bạn và bạn.

When we started preparing internally for July’s Patch Tuesday, we debated what the biggest issue of the month would be. Two parties emerged, we were split in the middle between end-of-life of Windows Server 2003, and the mystery vulnerability MS15-058 that Microsoft did not release last month. Well, it turns out both parties were wrong: the biggest issues this month are the multiple 0-days in Adobe Flash.

On Sunday, July 5th an attacker leaked 400 GB of data taken from the network of the Italian surveillance software company HackingTeam. The data contains e-mails, documentation and source code that has been scrutinized for interesting information by a number of journalists and security researchers. HackingTeam’s main product is a Remote Control Software called Galileo aimed at the government market.

Galileo provides its government customers a centralized console to monitor and control targeted computers through the installation of an agent. Security researchers were interested in the mechanisms that HackingTeam uses to get their agent onto the targets running Windows, Mac OS X, Linux, iOS and Android. They were assuming that Galileo contains a number of 0-day vulnerabilities usable for remote infections.

So far they have found four 0-day vulnerabilities: three in Adobe Flash and one in Microsoft Windows. Adobe already addressed the first vulnerability last week in an out-of-band patch (APSB15-16) that also fixed 35 other vulnerabilities, in essence anticipating their normal Patch Tuesday release. Since then two other 0-day vulnerabilities in Adobe Flash have been found that Adobe acknowledges in APSA15-04 and is addressing today. But security researchers are not the only ones using the data dump to search for vulnerabilities. Cybercriminals have been doing their own research and have been able to integrate all three 0-day vulnerabilities into the major ExploitKits exposing the general public to these previously unknown attacks. Since no patches had been available before today, our advice so far has been to either uninstall Flash to completely neutralize the attack, use EMET on Windows to provide additional hardening for your browser or use Google Chrome as your browser as it was not affected by at least the first Flash 0-day. BTW, for more info on the data breach, I recommend Steve Ragan's Salted Hash blog post as a starting point.

Adobe and Microsoft 0-days are not the only ones that are out there. Trend-Micro reported on a 0-day in Java, that affects the latest Java v8u45, which is used in targeted attacks at the moment. Oracle is releasing their quarterly Critical Patch Update July 2015 today, which will address 25 vulnerabilities in Java, but does not cover this particular vulnerability yet. Stay tuned for a potential out-of-band release.

So, where does this whole situation leave you? This year we have seen multiple 0-day attacks quickly integrated into mainstream attack products. This affects every organization and every user on the web and not only the companies that are under targeted attacks by sophisticated actors. You can address this by:

Minimizing your software footprint: an uninstalled software package can be taken out of your threat model. Even uninstalling on part of your infrastructure is worth the effort.

• Fast patching: Stay ahead of the attackers that are increasingly professional in the analysis of patches and the reverse engineering of the vulnerabilities addressed.
• Additional hardening: Software like EMET and other “process strait jackets” can help to buy you the time needed to come up with a permanent solution. For Java take a look at Deployment Rule Sets that allow you to selectively enable Java where needed.

Ok, enough of an intro to today’s large Patch Tuesday. Let's get into the details: there are also fixes from Adobe for Reader and Shockwave, as well as Microsoft 14 bulletins for both server and client side and the large Oracle delivery that covers tens of product and fixes over 100 vulnerabilities.

For Adobe and Microsoft here are the bulletins that come out on the top of the list:

• APSB15-18 addresses the currently exploited CVE-2015-5122 and 5213. Apply this patch now.
• MS15-065 addresses 28 vulnerabilities in Internet Explorer, with three of them known already (CVE-2051-2413, CVE-2015-2419 and CVE-2015-2421 ). CVE-2015-2425 also comes from the data dump at HackingTeam as well and I am impressed by the fix speed that Microsoft showed here. Of the other vulnerabilities a full 19 are of type RCE and allow the attacker to take over the targeted machine simply by browsing to an malicious, or infected site.
• MS15-070 addresses eight Remote Code Execution (RCE) vulnerabilities in Microsoft Office, with one under current exploitation (CVE-2015-2424).
• MS15-077 fixes a vulnerability in the Adobe Type Manager that is under active exploitation (CVE-2015-2387).
• MS15-058 is the vulnerability that got left behind last month. It covers three critical RCE type issues in MS-SQL server, which has not had any security patches since the last service packs. If you use MS-SQL take a look at the scenarios that apply, which are restricting somewhat who is affected.
• MS15-067 a critical vulnerability in RDP. If you use RDP as your remote access protocol on Windows 7 or 8 32bit (yes 64 bit is not affected), this should be high on your list.
• MS15-068 fixes 2 critical vulnerabilities in Hyper-V, which you should look at if you make production use of Microsoft’s virtualization technology.

The remaining bulletins address issues in Windows of critical and important severity levels. These should be implemented after you have worked your way through the priority issues from Adobe and Microsoft. Btw, Adobe also released updates for Reader (46 CVEs addressed) and Shockwave Player.

BTW, July is the last month of patches for Windows Server 2003. Nine of the 14 bulletins affected Windows Server 2003. That is a clear indication that attackers will continue to find issues in Windows 2003 at roughly that rate (take a look at qualys.com/research for a some example of Windows XP). There are only two things to do to avoid that threat, migrate away from Server 2003 or pay Microsoft for the necessary patches through a special support contract.

Please feel free to comment, either here in the blog or via e-mail at wkandek@qualys.com. I am very interested in hearing how this higher speed in information security is affecting your and your teams.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

MS15-065 resolves 28 flaws in Internet Explorer that could otherwise "modify how IE, VBScript and Jscript handle objects in memory." Qualys CTO Wolfgang Kandek pointed out that three of these were previously known (CVE-2051-2413, CVE-2015-2419 and CVE-2015-2421 ). "CVE-2015-2425 seems to come from the data dump at Hacking Team as well and I am impressed by the fix speed that Microsoft showed here. Of the other vulnerabilities a full 19 are of type RCE and allow the attacker to take over the targeted machine simply by browsing to a malicious, or infected site."

MS15-066 addresses a vulnerability in Windows VBScript scripting engine that an attacker could otherwise exploit for remote code execution.

MS15-067 resolves a hole in Windows that an attacker could exploit if the Remote Desktop Protocol server service is enabled.

MS15-068 is a fix for flaws in Windows Hyper-V, correcting "how Hyper-V initializes system data structures in guest virtual machines. The vulnerabilities could allow remote code execution in a host context if a specially crafted application is run by an authenticated and privileged user on a guest virtual machine hosted by Hyper-V. An attacker must have valid logon credentials for a guest virtual machine to exploit this vulnerability."