May
2016 Patch Tuesday: IE zero day patch tops the list
by
Michael Heller, Senior Reporter
Published:
10 May 2016
Bài
được đưa lên Internet ngày: 10/05/2016
Bản
vá ngày thứ Ba tháng 5/2016 của Microsoft nhằm vào chỗ bị
tổn thương ngày số 0 của IE mà các chuyên gia nói là ưu
tiên hàng đầu, cũng như vài lỗi ở phía máy chủ cần
chú ý.
Microsoft
đã phát hành các bản sửa lỗi trong Bán vá ngày thứ Ba
tháng 5/2016, tổng cộng gồm 16 bản tin, 8 trong số đó
được xếp hạng sống còn. Một bản vá nổi bật so với
phần còn lại vì nó liên quan tới lỗi ngày số 0 của
IE mà Microsoft thừa nhận đang bị khai thác tích cực.
Bản
tin MS16-051
là bản cập nhật an toàn tích cóp cho IE, là ưu tiên hàng
đầu trong phát hành Bản
vá ngày thứ Ba lần này, nhưng một chỗ bị tổn
thương đặc biệt (CVE-2016-0189)
đòi hỏi việc vá ngay lập tức. Microsoft mô tả vấn đề
này như là chỗ bị tổn thương thực
thi mã ở xa thay cách thức mà các máy JScript
và VBScript
trả về khi điều khiển các đối tượng trong bộ nhớ,
nó có thể cho phép một kẻ tấn công giành được các
quyền y hệt như người sử dụng bị ngắm đích.
Lỗi
ngày số 0 (zero
day) của IE ảnh hưởng tới IE các phiên bản từ 9-11
trên tất cả các phiên bản máy trạm Windows được hỗ
trợ. Các phiên bản máy chủ Windows một phần được bảo
vệ vì IE chạy trong chế độ hạn chế Cấu hình An toàn
Tiên tiến (Enhanced Security Configuration restricted).
Nếu
bản vá này không thể được áp dụng ngay, thì Microsoft
gợi ý cách khắc phục để hạn chế sự truy cập tới
VBScript.dll và JScript.dll để giúp bảo vệ chống lại sự
khai thác cho tới khi bản vá có thể được cài đặt.
Wolfgang
Kandek, CTO của Qualys, đã lưu ý rằng MS16-053
có liên quan tới chỗ bị tổn thương ngày số 0 này của
IE, nó trực tiếp chứa các bản vá cho JScript và VBScript.
“Chỗ
bị tổn thương đó là máy JavaScript và trong Vista và
Windows 2008 thì máy đó được đóng gói riêng rẽ với
trình duyệt, nên nếu bạn chạy các phiên bản Windows đó
(chỉ 2% vẫn còn chạy trên Vista) thì bạn cần cài đặt
MS16-053”, Kandek đã
viết.
MS16-052
gồm các bản vá cho 4 chỗ bị tổn thương sống còn
trong trình duyệt Microsoft Edge cho Windows 10, nhưng không có
khai thác tích cực nào đang diễn ra giống như lỗi ngày
số 0 của IE.
Karl
Sigler, giám đốc tri thức về các mối đe dọa ở
Trustwave, nói các quản trị viên cũng nên ưu tiên bản
tin MS16-064,
nó gồm các bản vá cho Adobe Flash mà có ảnh hưởng tứoi
tất cả các phiên bản Windows 8.1, Windows Server 2012,
Windows Server 2012 R2, Windows RT 8.1, và Windows 10.
“Vì
Flash được nhúng trong các trình duyệt IE và Edge của
Microsoft, Microsoft đã bắt đầu đưa vào các bản vá của
Adobe như một phần của chu kỳ vá của riêng họ từ
tháng trước”, Sigler nói. “Các chỗ bị tổn thương đó
trong Flash được xếp hạng sống còn và chắc chắn nó
chỉ là vấn đề thời gian trước khi chúng được nhập
khẩu vào các
bộ công cụ khai thác”.
Lane
Thames, nhà nghiên cứu an toàn từ Tripwire Vulnerability và
Exposure Research Team, đã gợi ý rằng các nhà quản trị
CNTT nên lưu ý các lỗi của các ứng dụng ở phía máy
chủ trong các bản tin MS16-058
và MS16-054.
MS16-058
giải quyết một chỗ bị tổn thương quan trọng về tải
DLL trong Windows
IIS và MS16-054 gồm các sửa lỗi an toàn cho Microsoft
Office, bao gồm 1 lỗi sống còn trong điều khiển các
phông nhúng mà ảnh hưởng tới các Dịch vụ Tự động
hóa Word (Word Automation Services) trong SharePoint
Server 2010 và Office Web Apps 2010.
“Khi
nói về các ứng dụng phía máy chủ, các quản trị hệ
thống luôn đối mặt với các vấn đề thời gian sống
còn. Một mặt, các ứng dụng phía máy chủ thường truy
cập được từ xa qua Internet và các hệ thống đó thường
giao diện với các dữ liệu sống còn của tổ chức. Chỉ
riêng 2 điểm đó làm cho các ứng dụng phía máy chủ như
IIS và SharePoint trở thành các mục tiêu có giá trị cho
những kẻ tấn công mà, hệ quả là, tranh viết các khai
thác chống lại các chỗ bị tổn thương đó ngay khi
Microsoft phát hành các bản vá của nó”, Thames nói. “Mặt
khác, các bản vá cho các ứng dụng phía máy chủ cần
phải được kiểm thử tỉ mỉ trước khi triển khai. Cài
đặt bản vá có lỗi có thể gây ra thiệt hại nhiều
hơn nhiều so với một kẻ tấn công”.
Các
bản tin sống còn cuối cùng của tháng là MS16-055,
MS16-056
và MS16-057,
chúng nhằm vào các chỗ bị tổn thương trong Microsoft
Graphics Component, Windows Journal và Windows Shell, một cách
tương ứng. Từng lỗi đó có thể cho phép thực thi mã
từ ở xa và nên được cài đặt càng sớm có thể càng
tốt.
Một
trong những bản tin quan trọng, MS16-061,
đã được lưu ý: Bản tin này sửa lỗi trong điều khiến
các yêu cầu Lời gọi Thủ tục Từ xa - RPC (Remote
Procedure Call) ảnh hưởng tới tất cả các phiên bản
Windows được hỗ trợ và có thể cho phép kẻ tấn công
không được xác thực giành được sự kiểm soát các hệ
thống không được vá.
Craig
Young, nhà nghiên cứu cho Tripwire VERT, nói rằng dù
Microsoft đã xếp hạng lỗi đó là ít có khả năng bị
khai thác, thì “tiềm năng bị lạm dụng trong điều này
là lớn”.
“Trong
khi tường lửa của Windows không phát hiện dịch vụ này
một cách mặc định, có nhiều trường hợp nơi mà các
nhà vận hành mạng sẽ mở sự truy cập ra để cho phép
các công cụ quản trị vận hành và xúc tác cho chức
năng mạng sống còn”, Young nói. “May thay thường không
có lý do để nhờ RPC mở ra trên Internet nhưng một kẻ
tấn công đã giành được rồi sự truy cập cơ bản tới
mạng LAN
có thể tiềm tàng sử dụng điều này để giành được
sự truy cập tới không chỉ các máy trạm, mà còn hạ
tầng sống còn như các kiểm soát miền như Active
Directory”.
Xung
quanh phần còn lại các bản tin quan trọng cho tháng là
MS16-059,
nó bao trùm chỗ bị tổn thương thực thi mã ở xa trong
Windows Media Center; MS16-060
và MS16-062,
chúng điều khiển lỗi leo
thang quyền ưu tiên trong Windows Kernel và Kernel-Mode
Drivers, một cách tương ứng; MS16-065
và MS16-067,
chúng sửa các lỗi mở thông tin trong khung .NET và Volume
Manager Driver; và MS16-066,
nó vá một vấn đề bỏ qua về an toàn trong Windows
Virtual Secure Mode.
Từng
trong số các bản vá đó nên được cài đặt trong các
vòng vá thông thường.
Phát
hành tháng trước đã bỏ qua MS16-043, nó vẫn còn chưa
được phát hành, và Tyler Reguly, giám đốc của Tripwire
VERT, đã lưu ý rằng một lần nữa phát hành Bản vá
ngày thứ Ba lại bỏ qua một bản tin, MS16-063.
“Một
trong những khoản mục thú vị hơn trong tháng này là bản
vá Microsoft Exchange được kéo ra. Nó đã được phát hành
ngắn gọn như là MS16-063 và bây giờ dường như được
kéo ra với chỉ văn bản 'Đặt chỗ trước cho Nội dung'
xuất hiện trên trang bản tin”, Reguly nói. “Bản tin đã
nêu rằng nó đã sửa 3 chỗ bị tổn thương leo thang
quyền ưu tiên của Oracle Outside In và hé lộ thông tin có
liên quan tới sự trao đổi phân tích cú pháp các thông
điệp HTML, đặc biệt các URL ảnh bởi những người sử
dụng Outlook
Web Access”. Sẽ là thú vị để thấy liệu bản tin
này có xuất hiện trở lại hôm nay hay liệu chúng ta có
phải chờ cho tới tháng sau hay không.
Microsoft's
May 2016 Patch Tuesday takes aim at an IE zero day vulnerability,
which experts say is the top priority, as well as a couple
server-side flaws to keep an eye on.
Microsoft
released its May 2016 Patch Tuesday fixes today, which included 16
total bulletins, 8 of which were rated critical. One patch stands out
among the rest because it concerns an IE zero day that Microsoft
admits is being actively exploited in the wild.
Bulletin
MS16-051
is the cumulative security update for Internet Explorer, at the
top of the priority scale in this
Patch Tuesday release, but one vulnerability in particular
(CVE-2016-0189)
requires immediate patching. Microsoft describes the issue as a
remote
code execution vulnerability in the way that the JScript
and VBScript
engines render when handling objects in memory, which could allow an
attacker to gain the same rights as the targeted user.
The
IE zero
day affects Internet Explorer versions 9 through 11 on all
supported versions of Windows clients. Windows Server versions are
partially protected by IE running in the Enhanced Security
Configuration restricted mode.
If
this patch cannot be applied right away, Microsoft suggested a
workaround to restrict access to VBScript.dll and JScript.dll in
order to help protect against an exploit until the patch can be
installed.
Wolfgang
Kandek, CTO of Qualys, noted that MS16-053
is related to this IE zero day vulnerability, which contains patches
for JScript and VBScript directly.
"The
vulnerability is in the JavaScript engine and in Vista and Windows
2008 the engine is packaged separately from the browser, so if you
run these variants of Windows (only 2% still run on Vista) you need
to install MS16-053," Kandek wrote.
MS16-052
includes patches for four critical vulnerabilities in the Microsoft
Edge browser for Windows 10, but none are being actively exploited
like the IE zero day.
Karl
Sigler, threat intelligence manager at Trustwave, said admins should
also prioritize bulletin MS16-064,
which includes critical patches for Adobe Flash that affect all
supported editions of Windows 8.1, Windows Server 2012, Windows
Server 2012 R2, Windows RT 8.1, and Windows 10.
"Since
Flash is embedded in Microsoft's IE and Edge browsers, Microsoft
started including Adobe patches as a part of their own patch cycle
last month," Sigler said. "These vulnerabilities in Flash
are rated critical and it's surely just a matter of time before they
get imported into popular exploit
kits."
Lane
Thames, security researcher from the Tripwire Vulnerability and
Exposure Research Team, suggested that IT administrators take note of
the server-side application flaws in bulletins MS16-058
and MS16-054.
MS16-058
addresses an important DLL loading vulnerability in Windows
IIS and MS16-054 contains security fixes for Microsoft Office,
including a critical flaw in handling embedded
fonts that affects Word Automation Services in SharePoint
Server 2010 and Office Web Apps 2010.
"When
it comes to server-side applications, administrators are always faced
with critical timing issues. On the one hand, server-side
applications are usually accessible remotely over the Internet and
these systems often interface with an organization's critical data.
These two points alone make server-side applications such as IIS and
SharePoint valuable targets for attackers who, consequently, scramble
to write exploits against these vulnerabilities as soon as Microsoft
releases its patches," Thames said. "On the other hand,
patches for server-side applications need to be thoroughly tested
before deployment. A faulty patch installation can cause as much and
possibly more damage than an attacker."
The
final critical bulletins for the month are MS16-055,
MS16-056
and MS16-057,
which target vulnerabilities in the Microsoft Graphics Component,
Windows Journal and Windows Shell, respectively. Each could allow for
remote code execution and should be installed as soon as possible.
One
of the the important bulletins, MS16-061,
was notable: The bulletin remediates a flaw in handling Remote
Procedure Call (RPC) requests affecting all supported versions of
Windows and could allow an unauthenticated attacker to gain control
of unpatched systems.
Craig
Young, security researcher for Tripwire VERT, said that although
Microsoft rated the flaw as less likely to be exploited, "the
potential for abuse on this one is enormous."
"While
the Windows firewall does not expose this service by default, there
are many instances where network operators will open up access to
allow administrative tools to operate and enable critical network
functionality," Young said. "Fortunately there is generally
no reason to have RPC exposed on the Internet but an attacker who has
already gained basic access to a LAN
could potentially use this to gain access to not only workstations
but also to critical infrastructure like Active
Directory domain controllers."
Rounding
out the rest of the important bulletins for the month are MS16-059,
which covers a remote execution vulnerability in Windows Media
Center; MS16-060
and MS16-062,
which handle elevation
of privilege flaws in the Windows Kernel and Kernel-Mode Drivers,
respectively; MS16-065
and MS16-067,
which fix information disclosure bugs in the .NET framework and
Volume Manager Driver; and MS16-066,
which patches a security bypass issue in the Windows Virtual Secure
Mode.
Each
of these patches should be installed during normal patch cycles.
Last
month's release skipped MS16-043, which still has not been released,
and Tyler Reguly, manager of Tripwire VERT, noted that once again the
Patch Tuesday release is also missing a bulletin, MS16-063.
"One
of the more interesting items this month is the pulled Microsoft
Exchange patch. It was briefly released as MS16-063 and now appears
to be pulled with just the text 'Content Placeholder' appearing on
the bulletin page," Reguly said. "The bulletin stated that
it fixed three Oracle Outside In elevation of privilege
vulnerabilities and an information disclosure related to the exchange
parsing of HTML messages, specifically image URLs loaded by Outlook
Web Access users. It will be interesting to see if this bulletin
reappears today or if we'll have to wait for next month."
Dịch:
Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.