Patch
Tuesday July 2015
Posted
by wkandek in The Laws of Vulnerabilities on Jul 14, 2015 10:05:48 AM
Bài
được đưa lên Internet ngày: 14/07/2015
Lời
người dịch: “Hôm thứ Bảy, 05/07, một kẻ tấn công
đã làm rò rỉ 400 GB dữ liệu lấy được từ mạng của
công ty phần mềm giám sát Ý HackingTeam. Dữ liệu chứa
các thư điện tử, tài liệu và mã nguồn từng được
soi xét cho các thông tin thú vị của một số nhà báo và
các nhà nghiên cứu về an toàn. Sản phẩm chính của
HackingTeam là một Phần mềm Kiểm soát Từ ở xa gọi là
Galileo nhằm vào thị trường chính phủ”. Bản vá ngày
thứ Ba tháng 7/2015 của Microsoft có 14 bản
tin, trong đó có 4 là sống còn, gồm:
MS15-065
(Internet Explore), MS15-066
(VBScript), MS15-067
(Windows Remote Desktop Protocol) và MS15-068
(Windows Hyper-V), còn lại là các lỗi quan trọng và thông
thường.
|
Hệ
thống kiểm soát từ ở xa GALILEO, Bộ phần mềm đột
nhập cho sự can thiệp của chính phủ
|
Khi
chúng tôi bắt đầu chuẩn bị trong nội bộ Bản vá ngày
thứ Ba tháng Bảy, chúng tôi đã tranh luận vấn đề lớn
nào của tháng có thể là. Hai mảng nổi lên, chúng tôi
đã chia ra ở giữa hết vòng đời của Windows Server 2003,
và chỗ bị tổn thương bí ẩn MS15-058 mà Microsoft đã
không phát hành tháng trước. Vâng, hóa ra là cả 2 mảng
đều đã sai: vấn đề lớn nhất tháng này là nhiều lỗi
ngày số 0 trong Adobe Flash.
Hôm
thứ Bảy, 05/07, một kẻ tấn công đã làm rò rỉ 400 GB
dữ liệu lấy được từ mạng của công ty phần mềm
giám sát Ý HackingTeam. Dữ liệu
chứa các thư điện tử, tài liệu và mã nguồn từng
được soi xét cho các thông tin thú vị của một số nhà
báo và các nhà nghiên cứu về an toàn. Sản phẩm chính
của HackingTeam là một Phần mềm Kiểm soát Từ ở xa gọi
là Galileo nhằm vào thị trường chính phủ.
Galileo
cung xấp cho các khách hàng là chính phủ một console được
tập trung hóa để giám sát và kiểm soát các máy tính
đích qua cài đặt một đặc vụ. Các nhà nghiên cứu an
toàn đã có quan tâm trong các cơ chế mà HackingTeam sử
dụng để làm cho đặc vụ của chúng vào được các mục
tiêu chạy Windows, Mac OS X, Linux, iOS và Android. Họ
đã giả thiết rằng Galileo gồm một số các chỗ bị
tổn thương ngày số 0 sử dụng được cho các lây nhiễm
từ ở xa.
So
tới nay họ đã thấy 4 chỗ bị tổn thương ngày số 0:
3 trong Adobe Flash và 1 trong Microsoft Windows. Adobe đã giải
quyết chỗ bị tổn thương đầu tiên vào tuần trước
trong một bản
vá ngoài kế hoạch (APSB15-16) mà cũng đã sửa 35 chỗ
bị tổn thương khác, về cơ bản biết trước phát hành
Bản và ngày thứ Ba thông thường của họ. Kể từ đó
2 chỗ bị tổn thương ngày số 0 khác trong Adobe Flash đã
được tìm thấy mà Adobe thừa nhận trong APSA15-04 và đang
giải quyết hôm nay. Nhưng các nhà nghiên cứu an toàn
không là những người duy nhất sử dụng việc đánh đống
dữ liệu để tìm kiếm các chỗ bị tổn thương. Các
tội phạm không gian mạng đã và đang có các nghiên cứu
của riêng họ và đã có khả năng tích hợp tất cả các
chỗ bị tổn thương ngày số 0 vào bộ khai thác
ExploitKits phơi ra công chúng nói chung cho những gì trước
đó còn chưa được biết là các cuộc tấn công. Vì
không có bản vá nào từng có sẵn trước ngày hôm nay,
khuyến cáo của chúng tôi cho tới nay là hoặc bỏ cài
đặt Flash để hoàn toàn vô hiệu hóa cuộc tấn công,
hãy sử dụng EMET trên Windows để cung cấp việc tăng
cường bổ sung cho trình duyệt của bạn hoặc sử dụng
Google Chrome như là trình duyệt của bạn vì nó không bị
ảnh hưởng bởi ít nhất lỗi ngày số 0 đầu tiên trong
Flash. Mặc dù vậy, để có thêm thông tin về lỗ thủng
dữ liệu này, tôi khuyến cáo đọc bài
viết trên blog Salted Hash của Steve Ragan như là điểm
khởi đầu.
Các
lỗi ngày số 0 của Adobe và Microsoft chỉ là những lỗi
ở ngoài đó. Trend-Micro đã nêu về một lỗi ngày số 0
trong Java, ảnh hưởng tới Java v8u45 mới nhất, được sử
dụng trong các cuộc tấn công có chủ đích lúc này.
Oracle đang phát hành Cập nhật Bản vá Then chốt tháng
Bảy 2015 ngày hôm nay, nó sẽ giải quyết 25 chỗ bị tổn
thương trong Java, những còn chưa bao trùm chỗ bị tổn
thương đặc biệt này. Hãy chú ý về phát hành ngoài
luồng tiềm tàng nhé.
Vì
thế, toàn bộ tình hình này để bạn ở đâu nhỉ? Năm
nay chúng ta đã thấy nhiều cuộc tấn công lỗi ngày số
0 nhanh chóng được tích hợp vào trong các sản phẩm tấn
công dòng chính thống. Điều này ảnh hưởng tới từng
tổ chức và từng người sử dụng trên web và không chỉ
các công ty mà đang chịu các cuộc tấn công có chủ đích
vì các tác nhân tinh vi phức tạp. Bạn có thể giải
quyết điều này bằng:
Tối
thiểu hóa các dấu vết phần mềm của bạn: bỏ cài đặt
các gói phần mềm có thể lấy đi được mẫu đe dọa
của bạn. Thậm chí bỏ cài đặt một phần hạ tầng
của bạn là đáng bỏ công sức.
- Vá nhanh: Hãy có ra tay trước những kẻ tấn công đang ngày càng chuyên nghiệp trong phân tích các bản vá và kỹ thuật nghịch đảo các chỗ bị tổn thương được giải quyết.
- Tăng cường bổ sung: Phần mềm như EMET và các “áo khoác chật hẹp xử lý” có thể giúp bạn mua thời gian cần thiết để vượt qua với một giải pháp lâu dài. Đối với Java hãy xem Deployment Rule Sets, nó cho phép bạn tạo thuận lợi có lựa chọn cho Java ở những nơi cần thiết.
OK,
đủ về giới thiệu Bản vá ngày thứ Ba lớn của ngày
hôm nay rồi. Hãy đi vào chi tiết: cũng có các bản sửa
từ Adobe cho Reader và Shockwave, cũng như 14 bản
tin cho cả các máy chủ và máy trạm và phát hành lớn
của Oracle giải quyết 10 sản phẩm và sửa hơn 100 chỗ
bị tổn thương.
Đối
với Adobe và Microsoft, đây là các bảng tin đứng ở đỉnh
của danh sách:
- APSB15-18 giải quyết các CVE-2015-5122 và 5213 đang bị khai thác. Hãy áp dụng bản vá này bây giờ.
- MS15-065 giải quyết 28 chỗ bị tổn thương trong Explorer, với 3 trong số chúng được biết rồi (CVE-2051-2413, CVE-2015-2419 và CVE-2015-2421). CVE-2015-2425 cũng tới từ đống dữ liệu ở HackingTeam và tôi ấn tượng với tốc độ sửa lỗi mà Microsoft đã chỉ ra ở đây. Về các chỗ bị tổn thương khác, toàn bộ 19 là dạng RCE và cho phép kẻ tấn công chiếm quyền kiểm soát máy đích đơn giản bằng việc duyệt một site độc hại, hoặc bị lây nhiễm.
- MS15-070 giải quyết 8 chỗ bị tổn thương Thực thi Mã Ở xa (RCE) trong Microsoft Office, với một chỗ bị tổn thương hiện đang bị khai thác (CVE-2015-2424).
- MS15-077 sửa một chỗ bị tổn thương trong Adobe Type Manager đang bị khai thác tích cực (CVE-2015-2387).
- MS15-058 là chỗ bị tổn thương còn lại sau tháng trước. Nó giải quyết 3 vấn đề dạng RCE sống còn trong MS-SQL server, điều còn chưa có bất kỳ bản vá an toàn nào kể từ các gói dịch vụ cuối cùng. Nếu bạn sử dụng MS-SQL thì hãy xem trong các kịch bản mà áp dụng, điều đang làm hạn chế một chú những ai bị ảnh hưởng.
- MS15-067 là chỗ bị tổn thương sống còn trong RDP. Nếu bạn sử dụng RDP như là giao thức truy cập từ ở xa của bạn trên Windows 7 hoặc 8 với 32 bit (vâng 64 bit còn chưa bị ảnh hưởng), thì điều này nên là ưu tiên cao trong danh sách của bạn.
- MS15-068 sửa 2 chỗ bị tổn thương sống còn trong Hyper-V, điều bạn nên xem nếu bạn sử dụng sản phẩm công nghệ ảo hóa này của Microsoft.
Các
bản tin còn lại giải quyết các vấn đề trong Windows
các mức an toàn sống còn và quan trọng. Chúng sẽ được
triển khai sau khi bạn đã làm việc theo cách của bạn
qua các vấn đề ưu tiên từ Adobe và Microsoft. Mặc dù
vậy, Adobe cũng đã phát hành các bản cập nhật cho
Reader (46 CVE được giải quyết) và Shockwave Player.
Mặc
dù vậy, tháng 7 là tháng cuối cùng các bản vá cho
Windows Server 2003. 9 trong số 14 bản tin đã ảnh hưởng
tới Windows Server 2003. Đó là chỉ số rõ ràng rằng những
kẻ tấn công sẽ tiếp tục thấy các vấn đề trong
Windows 2003 nhiều (hãy xem qualys.com/research để biết vài
ví dụ về Windows XP). Chỉ có 2 điều phải làm để
tránh mối đe dọa đó, chuyển khỏi Server 2003 hoặc trả
tiền cho Microsoft để có các bản vá cần thiết qua một
mối liên hệ hỗ trợ đặc biệt.
Xin
hãy cảm thấy thoải mái để bình luận, hoặc ở đây
trong blog hoặc qua thư điện tử tới wkandek@qualys.com. Tôi
rất thú vị nghe tốc độ cao hơn này trong an toàn thông
tin đang ảnh hưởng như thế nào tới các đội của bạn
và bạn.
When
we started preparing internally for July’s Patch Tuesday, we
debated what the biggest issue of the month would be. Two parties
emerged, we were split in the middle between end-of-life of Windows
Server 2003, and the mystery vulnerability MS15-058 that Microsoft
did not release last month. Well, it turns out both parties were
wrong: the biggest issues this month are the multiple 0-days in Adobe
Flash.
On
Sunday, July 5th an attacker leaked 400 GB of data taken from the
network of the Italian surveillance software company HackingTeam. The
data contains e-mails, documentation and source code that has been
scrutinized for interesting information by a number of journalists
and security researchers. HackingTeam’s main product is a Remote
Control Software called Galileo aimed at the government market.
Galileo
provides its government customers a centralized console to monitor
and control targeted computers through the installation of an agent.
Security researchers were interested in the mechanisms that
HackingTeam uses to get their agent onto the targets running Windows,
Mac OS X, Linux, iOS and Android. They were assuming that Galileo
contains a number of 0-day vulnerabilities usable for remote
infections.
So
far they have found four 0-day vulnerabilities: three in Adobe Flash
and one in Microsoft Windows. Adobe already addressed the first
vulnerability last week in an out-of-band patch
(APSB15-16) that also fixed 35 other vulnerabilities, in essence
anticipating their normal Patch Tuesday release. Since then two other
0-day vulnerabilities in Adobe Flash have been found that Adobe
acknowledges in APSA15-04 and is addressing today. But security
researchers are not the only ones using the data dump to search for
vulnerabilities. Cybercriminals have been doing their own research
and have been able to integrate all three 0-day vulnerabilities into
the major ExploitKits exposing the general public to these previously
unknown attacks. Since no patches had been available before today,
our advice so far has been to either uninstall Flash to completely
neutralize the attack, use EMET on Windows to provide additional
hardening for your browser or use Google Chrome as your browser as it
was not affected by at least the first Flash 0-day. BTW, for more
info on the data breach, I recommend Steve Ragan's Salted Hash blog
post
as a starting point.
Adobe
and Microsoft 0-days are not the only ones that are out there.
Trend-Micro reported on a 0-day in Java, that affects the latest Java
v8u45, which is used in targeted attacks at the moment. Oracle is
releasing their quarterly Critical Patch Update July 2015 today,
which will address 25 vulnerabilities in Java, but does not cover
this particular vulnerability yet. Stay tuned for a potential
out-of-band release.
So,
where does this whole situation leave you? This year we have seen
multiple 0-day attacks quickly integrated into mainstream attack
products. This affects every organization and every user on the web
and not only the companies that are under targeted attacks by
sophisticated actors. You can address this by:
Minimizing
your software footprint: an uninstalled software package can be taken
out of your threat model. Even uninstalling on part of your
infrastructure is worth the effort.
- Fast patching: Stay ahead of the attackers that are increasingly professional in the analysis of patches and the reverse engineering of the vulnerabilities addressed.
- Additional hardening: Software like EMET and other “process strait jackets” can help to buy you the time needed to come up with a permanent solution. For Java take a look at Deployment Rule Sets that allow you to selectively enable Java where needed.
Ok,
enough of an intro to today’s large Patch Tuesday. Let's get into
the details: there are also fixes from Adobe for Reader and
Shockwave, as well as Microsoft 14 bulletins
for both server and client side and the large Oracle delivery that
covers tens of product and fixes over 100 vulnerabilities.
For
Adobe and Microsoft here are the bulletins that come out on the top
of the list:
- APSB15-18 addresses the currently exploited CVE-2015-5122 and 5213. Apply this patch now.
- MS15-065 addresses 28 vulnerabilities in Internet Explorer, with three of them known already (CVE-2051-2413, CVE-2015-2419 and CVE-2015-2421 ). CVE-2015-2425 also comes from the data dump at HackingTeam as well and I am impressed by the fix speed that Microsoft showed here. Of the other vulnerabilities a full 19 are of type RCE and allow the attacker to take over the targeted machine simply by browsing to an malicious, or infected site.
- MS15-070 addresses eight Remote Code Execution (RCE) vulnerabilities in Microsoft Office, with one under current exploitation (CVE-2015-2424).
- MS15-077 fixes a vulnerability in the Adobe Type Manager that is under active exploitation (CVE-2015-2387).
- MS15-058 is the vulnerability that got left behind last month. It covers three critical RCE type issues in MS-SQL server, which has not had any security patches since the last service packs. If you use MS-SQL take a look at the scenarios that apply, which are restricting somewhat who is affected.
- MS15-067 a critical vulnerability in RDP. If you use RDP as your remote access protocol on Windows 7 or 8 32bit (yes 64 bit is not affected), this should be high on your list.
- MS15-068 fixes 2 critical vulnerabilities in Hyper-V, which you should look at if you make production use of Microsoft’s virtualization technology.
The
remaining bulletins address issues in Windows of critical and
important severity levels. These should be implemented after you have
worked your way through the priority issues from Adobe and Microsoft.
Btw, Adobe also released updates for Reader (46 CVEs addressed) and
Shockwave Player.
BTW,
July is the last month of patches for Windows Server 2003. Nine of
the 14 bulletins affected Windows Server 2003. That is a clear
indication that attackers will continue to find issues in Windows
2003 at roughly that rate (take a look at qualys.com/research for a
some example of Windows XP). There are only two things to do to avoid
that threat, migrate away from Server 2003 or pay Microsoft for the
necessary patches through a special support contract.
Please
feel free to comment, either here in the blog or via e-mail at
wkandek@qualys.com. I am very interested in hearing how this higher
speed in information security is affecting your and your teams.
Dịch:
Lê Trung Nghĩa
MS15-065
resolves 28 flaws in Internet Explorer that could otherwise "modify
how IE, VBScript and Jscript handle objects in memory." Qualys
CTO Wolfgang Kandek pointed out that three of these were previously
known (CVE-2051-2413, CVE-2015-2419 and CVE-2015-2421 ).
"CVE-2015-2425 seems to come from the data dump at Hacking Team
as well and I am impressed by the fix speed that Microsoft showed
here. Of the other vulnerabilities a full 19 are of type RCE and
allow the attacker to take over the targeted machine simply by
browsing to a malicious, or infected site."
MS15-066
addresses a vulnerability in Windows VBScript scripting engine that
an attacker could otherwise exploit for remote code execution.
MS15-067
resolves a hole in Windows that an attacker could exploit if the
Remote Desktop Protocol server service is enabled.
MS15-068
is a fix for flaws in Windows Hyper-V, correcting "how Hyper-V
initializes system data structures in guest virtual machines. The
vulnerabilities could allow remote code execution in a host context
if a specially crafted application is run by an authenticated and
privileged user on a guest virtual machine hosted by Hyper-V. An
attacker must have valid logon credentials for a guest virtual
machine to exploit this vulnerability."
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.