Bản vá ngày thứ Ba tháng 5/2016: bản vá ngày số 0 cho IE đứng dầu danh sách

May 2016 Patch Tuesday: IE zero day patch tops the list

by Michael Heller, Senior Reporter

Published: 10 May 2016

Theo: http://searchsecurity.techtarget.com/news/450296066/May-2016-Patch-Tuesday-IE-zero-day-patch-tops-the-list

Bài được đưa lên Internet ngày: 10/05/2016

Xem thêm: Windows XP sau ngày hết hỗ trợ kỹ thuật toàn cầu, 08/04/2014;

Bản vá ngày thứ Ba tháng 5/2016 của Microsoft nhằm vào chỗ bị tổn thương ngày số 0 của IE mà các chuyên gia nói là ưu tiên hàng đầu, cũng như vài lỗi ở phía máy chủ cần chú ý.

Microsoft đã phát hành các bản sửa lỗi trong Bán vá ngày thứ Ba tháng 5/2016, tổng cộng gồm 16 bản tin, 8 trong số đó được xếp hạng sống còn. Một bản vá nổi bật so với phần còn lại vì nó liên quan tới lỗi ngày số 0 của IE mà Microsoft thừa nhận đang bị khai thác tích cực.

Bản tin MS16-051 là bản cập nhật an toàn tích cóp cho IE, là ưu tiên hàng đầu trong phát hành Bản vá ngày thứ Ba lần này, nhưng một chỗ bị tổn thương đặc biệt (CVE-2016-0189) đòi hỏi việc vá ngay lập tức. Microsoft mô tả vấn đề này như là chỗ bị tổn thương thực thi mã ở xa thay cách thức mà các máy JScript và VBScript trả về khi điều khiển các đối tượng trong bộ nhớ, nó có thể cho phép một kẻ tấn công giành được các quyền y hệt như người sử dụng bị ngắm đích.

Lỗi ngày số 0 (zero day) của IE ảnh hưởng tới IE các phiên bản từ 9-11 trên tất cả các phiên bản máy trạm Windows được hỗ trợ. Các phiên bản máy chủ Windows một phần được bảo vệ vì IE chạy trong chế độ hạn chế Cấu hình An toàn Tiên tiến (Enhanced Security Configuration restricted).

Nếu bản vá này không thể được áp dụng ngay, thì Microsoft gợi ý cách khắc phục để hạn chế sự truy cập tới VBScript.dll và JScript.dll để giúp bảo vệ chống lại sự khai thác cho tới khi bản vá có thể được cài đặt.

Wolfgang Kandek, CTO của Qualys, đã lưu ý rằng MS16-053 có liên quan tới chỗ bị tổn thương ngày số 0 này của IE, nó trực tiếp chứa các bản vá cho JScript và VBScript.

“Chỗ bị tổn thương đó là máy JavaScript và trong Vista và Windows 2008 thì máy đó được đóng gói riêng rẽ với trình duyệt, nên nếu bạn chạy các phiên bản Windows đó (chỉ 2% vẫn còn chạy trên Vista) thì bạn cần cài đặt MS16-053”, Kandek đã viết.

MS16-052 gồm các bản vá cho 4 chỗ bị tổn thương sống còn trong trình duyệt Microsoft Edge cho Windows 10, nhưng không có khai thác tích cực nào đang diễn ra giống như lỗi ngày số 0 của IE.

Karl Sigler, giám đốc tri thức về các mối đe dọa ở Trustwave, nói các quản trị viên cũng nên ưu tiên bản tin MS16-064, nó gồm các bản vá cho Adobe Flash mà có ảnh hưởng tứoi tất cả các phiên bản Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1, và Windows 10.

“Vì Flash được nhúng trong các trình duyệt IE và Edge của Microsoft, Microsoft đã bắt đầu đưa vào các bản vá của Adobe như một phần của chu kỳ vá của riêng họ từ tháng trước”, Sigler nói. “Các chỗ bị tổn thương đó trong Flash được xếp hạng sống còn và chắc chắn nó chỉ là vấn đề thời gian trước khi chúng được nhập khẩu vào các bộ công cụ khai thác”.

Lane Thames, nhà nghiên cứu an toàn từ Tripwire Vulnerability và Exposure Research Team, đã gợi ý rằng các nhà quản trị CNTT nên lưu ý các lỗi của các ứng dụng ở phía máy chủ trong các bản tin MS16-058 và MS16-054.

MS16-058 giải quyết một chỗ bị tổn thương quan trọng về tải DLL trong Windows IIS và MS16-054 gồm các sửa lỗi an toàn cho Microsoft Office, bao gồm 1 lỗi sống còn trong điều khiển các phông nhúng mà ảnh hưởng tới các Dịch vụ Tự động hóa Word (Word Automation Services) trong SharePoint Server 2010 và Office Web Apps 2010.

“Khi nói về các ứng dụng phía máy chủ, các quản trị hệ thống luôn đối mặt với các vấn đề thời gian sống còn. Một mặt, các ứng dụng phía máy chủ thường truy cập được từ xa qua Internet và các hệ thống đó thường giao diện với các dữ liệu sống còn của tổ chức. Chỉ riêng 2 điểm đó làm cho các ứng dụng phía máy chủ như IIS và SharePoint trở thành các mục tiêu có giá trị cho những kẻ tấn công mà, hệ quả là, tranh viết các khai thác chống lại các chỗ bị tổn thương đó ngay khi Microsoft phát hành các bản vá của nó”, Thames nói. “Mặt khác, các bản vá cho các ứng dụng phía máy chủ cần phải được kiểm thử tỉ mỉ trước khi triển khai. Cài đặt bản vá có lỗi có thể gây ra thiệt hại nhiều hơn nhiều so với một kẻ tấn công”.

Các bản tin sống còn cuối cùng của tháng là MS16-055, MS16-056 và MS16-057, chúng nhằm vào các chỗ bị tổn thương trong Microsoft Graphics Component, Windows Journal và Windows Shell, một cách tương ứng. Từng lỗi đó có thể cho phép thực thi mã từ ở xa và nên được cài đặt càng sớm có thể càng tốt.

Một trong những bản tin quan trọng, MS16-061, đã được lưu ý: Bản tin này sửa lỗi trong điều khiến các yêu cầu Lời gọi Thủ tục Từ xa - RPC (Remote Procedure Call) ảnh hưởng tới tất cả các phiên bản Windows được hỗ trợ và có thể cho phép kẻ tấn công không được xác thực giành được sự kiểm soát các hệ thống không được vá.

Craig Young, nhà nghiên cứu cho Tripwire VERT, nói rằng dù Microsoft đã xếp hạng lỗi đó là ít có khả năng bị khai thác, thì “tiềm năng bị lạm dụng trong điều này là lớn”.

“Trong khi tường lửa của Windows không phát hiện dịch vụ này một cách mặc định, có nhiều trường hợp nơi mà các nhà vận hành mạng sẽ mở sự truy cập ra để cho phép các công cụ quản trị vận hành và xúc tác cho chức năng mạng sống còn”, Young nói. “May thay thường không có lý do để nhờ RPC mở ra trên Internet nhưng một kẻ tấn công đã giành được rồi sự truy cập cơ bản tới mạng LAN có thể tiềm tàng sử dụng điều này để giành được sự truy cập tới không chỉ các máy trạm, mà còn hạ tầng sống còn như các kiểm soát miền như Active Directory”.

Xung quanh phần còn lại các bản tin quan trọng cho tháng là MS16-059, nó bao trùm chỗ bị tổn thương thực thi mã ở xa trong Windows Media Center; MS16-060 và MS16-062, chúng điều khiển lỗi leo thang quyền ưu tiên trong Windows Kernel và Kernel-Mode Drivers, một cách tương ứng; MS16-065 và MS16-067, chúng sửa các lỗi mở thông tin trong khung .NET và Volume Manager Driver; và MS16-066, nó vá một vấn đề bỏ qua về an toàn trong Windows Virtual Secure Mode.

Từng trong số các bản vá đó nên được cài đặt trong các vòng vá thông thường.

Phát hành tháng trước đã bỏ qua MS16-043, nó vẫn còn chưa được phát hành, và Tyler Reguly, giám đốc của Tripwire VERT, đã lưu ý rằng một lần nữa phát hành Bản vá ngày thứ Ba lại bỏ qua một bản tin, MS16-063.

“Một trong những khoản mục thú vị hơn trong tháng này là bản vá Microsoft Exchange được kéo ra. Nó đã được phát hành ngắn gọn như là MS16-063 và bây giờ dường như được kéo ra với chỉ văn bản 'Đặt chỗ trước cho Nội dung' xuất hiện trên trang bản tin”, Reguly nói. “Bản tin đã nêu rằng nó đã sửa 3 chỗ bị tổn thương leo thang quyền ưu tiên của Oracle Outside In và hé lộ thông tin có liên quan tới sự trao đổi phân tích cú pháp các thông điệp HTML, đặc biệt các URL ảnh bởi những người sử dụng Outlook Web Access”. Sẽ là thú vị để thấy liệu bản tin này có xuất hiện trở lại hôm nay hay liệu chúng ta có phải chờ cho tới tháng sau hay không.

Microsoft's May 2016 Patch Tuesday takes aim at an IE zero day vulnerability, which experts say is the top priority, as well as a couple server-side flaws to keep an eye on.

Microsoft released its May 2016 Patch Tuesday fixes today, which included 16 total bulletins, 8 of which were rated critical. One patch stands out among the rest because it concerns an IE zero day that Microsoft admits is being actively exploited in the wild.

Bulletin MS16-051 is the cumulative security update for Internet Explorer, at  the top of the priority scale in this Patch Tuesday release, but one vulnerability in particular (CVE-2016-0189) requires immediate patching. Microsoft describes the issue as a remote code execution vulnerability in the way that the JScript and VBScript engines render when handling objects in memory, which could allow an attacker to gain the same rights as the targeted user.

The IE zero day affects Internet Explorer versions 9 through 11 on all supported versions of Windows clients. Windows Server versions are partially protected by IE running in the Enhanced Security Configuration restricted mode.

If this patch cannot be applied right away, Microsoft suggested a workaround to restrict access to VBScript.dll and JScript.dll in order to help protect against an exploit until the patch can be installed.

Wolfgang Kandek, CTO of Qualys, noted that MS16-053 is related to this IE zero day vulnerability, which contains patches for JScript and VBScript directly.

"The vulnerability is in the JavaScript engine and in Vista and Windows 2008 the engine is packaged separately from the browser, so if you run these variants of Windows (only 2% still run on Vista) you need to install MS16-053," Kandek wrote.

MS16-052 includes patches for four critical vulnerabilities in the Microsoft Edge browser for Windows 10, but none are being actively exploited like the IE zero day.

Karl Sigler, threat intelligence manager at Trustwave, said admins should also prioritize bulletin MS16-064, which includes critical patches for Adobe Flash that affect all supported editions of Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1, and Windows 10.

"Since Flash is embedded in Microsoft's IE and Edge browsers, Microsoft started including Adobe patches as a part of their own patch cycle last month," Sigler said. "These vulnerabilities in Flash are rated critical and it's surely just a matter of time before they get imported into popular exploit kits."

Lane Thames, security researcher from the Tripwire Vulnerability and Exposure Research Team, suggested that IT administrators take note of the server-side application flaws in bulletins MS16-058 and MS16-054.

MS16-058 addresses an important DLL loading vulnerability in Windows IIS and MS16-054 contains security fixes for Microsoft Office, including a critical flaw in handling embedded fonts that affects Word Automation Services in SharePoint Server 2010 and Office Web Apps 2010.

"When it comes to server-side applications, administrators are always faced with critical timing issues. On the one hand, server-side applications are usually accessible remotely over the Internet and these systems often interface with an organization's critical data. These two points alone make server-side applications such as IIS and SharePoint valuable targets for attackers who, consequently, scramble to write exploits against these vulnerabilities as soon as Microsoft releases its patches," Thames said. "On the other hand, patches for server-side applications need to be thoroughly tested before deployment. A faulty patch installation can cause as much and possibly more damage than an attacker."

The final critical bulletins for the month are MS16-055, MS16-056 and MS16-057, which target vulnerabilities in the Microsoft Graphics Component, Windows Journal and Windows Shell, respectively. Each could allow for remote code execution and should be installed as soon as possible.

One of the the important bulletins, MS16-061, was notable: The bulletin remediates a flaw in handling Remote Procedure Call (RPC) requests affecting all supported versions of Windows and could allow an unauthenticated attacker to gain control of unpatched systems.

Craig Young, security researcher for Tripwire VERT, said that although Microsoft rated the flaw as less likely to be exploited, "the potential for abuse on this one is enormous."

"While the Windows firewall does not expose this service by default, there are many instances where network operators will open up access to allow administrative tools to operate and enable critical network functionality," Young said. "Fortunately there is generally no reason to have RPC exposed on the Internet but an attacker who has already gained basic access to a LAN could potentially use this to gain access to not only workstations but also to critical infrastructure like Active Directory domain controllers."

Rounding out the rest of the important bulletins for the month are MS16-059, which covers a remote execution vulnerability in Windows Media Center; MS16-060 and MS16-062, which handle elevation of privilege flaws in the Windows Kernel and Kernel-Mode Drivers, respectively; MS16-065 and MS16-067, which fix information disclosure bugs in the .NET framework and Volume Manager Driver; and MS16-066, which patches a security bypass issue in the Windows Virtual Secure Mode.

Each of these patches should be installed during normal patch cycles.

Last month's release skipped MS16-043, which still has not been released, and Tyler Reguly, manager of Tripwire VERT, noted that once again the Patch Tuesday release is also missing a bulletin, MS16-063.

"One of the more interesting items this month is the pulled Microsoft Exchange patch. It was briefly released as MS16-063 and now appears to be pulled with just the text 'Content Placeholder' appearing on the bulletin page," Reguly said. "The bulletin stated that it fixed three Oracle Outside In elevation of privilege vulnerabilities and an information disclosure related to the exchange parsing of HTML messages, specifically image URLs loaded by Outlook Web Access users. It will be interesting to see if this bulletin reappears today or if we'll have to wait for next month."

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com