Patch Tuesday June 2016
Posted
by wkandek in
The
Laws of Vulnerabilities on June 14, 2016 10:03 AM
Bài
được đưa lên Internet ngày: 14/06/2016
Lời
người dịch: Bản
vá ngày thứ Ba tháng 06/2016 của Microsoft có
16 bản tin giải quyết 44 chỗ bị
tổn thương. 5 bản tin được xếp hạng sống còn giải quyết các chỗ bị tổn
thương được thấy trong MS DNS Server, Edge, Internet
Explorer, JScript/VBScript, và Office. Các bản tin còn lại
được xếp hạng quan trọng và giải quyết các chỗ bị
tổn thương trong Active Directory, Exchange Server, Group Policy,
SMB Server, Netlogon, Windows Graphics component, Windows Kernel-mode
Drivers, Windows PDF, Window Search Component, và WPAD.
Đây
là Bản vá ngày thứ Ba tháng 6/2016, và Microsoft đang đưa
ra 16 bản
tin sửa hơn 40 chỗ
bị tổn thương khác nhau (CVEs). Nó mang ra tổng cộng 81
dự án trong vòng nửa năm so với tổng số hơn 160 bản
tin cho năm 2016, một kỷ lục mới về các bản vá trong
thập kỷ vừa qua.
Nhưng
sự chú ý trước tiên của bạn nên tập trung vào Adobe
Flash. Adobe đã công nhận rằng chỗ bị tổn thương
(CVE-2016-4171) trong trình chơi Flash hiện hành đang được
sử dụng trong hoang dại và bị chậm ra bản vá hàng
tháng được kỳ vọng cho Adobe Flash. Trong khuyến cáo của
mình APSA16-03
họ hứa vá vào cuối tuần này. Hãy thật chú ý vào phát
hành đó và hãy giải quyết càng nhanh càng tốt. Nếu bạn
có EMET trên các máy tính của bạn, thì bạn được bảo
vệ. Dù vậy, đây là tháng thứ 3 liên tục chúng tôi
đang thấy lỗi ngày số 0 trong Flash, làm cho nó chắc chắn
nhất trở thành phần mềm bị ngắm đích nhiều nhất
trong các điểm cuối của tổ chức của bạn.
Nếu không, sẽ có sự pha trộn ở phía máy trạm và phía
máy chủ các bản tin tháng này, nên toàn bộ đội CNTT sẽ
có tải công việc tuần này để đảm bảo an toàn cho
các hệ thống của bạn.
Chỗ
bị tổn thương thú vị nhất ở phần máy chủ được
đề cập tới trong MS16-071.
Nó sửa chỗ bị tổn thương sống còn trong máy chủ DNS
của Microsoft. Sự khai thác thành công bày ra cho kẻ tấn
công sự Thực thi Mã Từ xa (RCE) trên máy chủ, nó là cực
kỳ đáng lo ngại đối với dịch vụ sống còn như DNS.
Các tổ chức mà quản lý máy chủ DNS của họ trên cùng
máy với máy chủ Active Directory cần nhận thức gấp đôi
về sự nguy hiểm của chỗ bị tổn thương này.
Về
phía máy trạm thì chỗ bị tổn thương quan trọng nhất
được đề cập tới trong MS16-070,
nó sửa một số vấn đề trong Microsoft Office. Chỗ bị
tổn thương quan trọng nhất ở đây là CVE-2016-0025 trong
định dạng Microsoft Word RTF, nó bày ra RCE cho kẻ tấn
công. Vì RTF có thể được sử dụng để tấn công qua
khung xem trước của Outlook, lỗi đó có thể được kích
hoạt với một thư điện tử đơn giản mà không cần sự
tương tác của người sử dụng.
Ở
phía trình duyệt web, MS16-063
cho Internet Explorer, MS16-068
cho Edge và MS16-069
cho Javascript trong Windows Vista hiện diện với một số chỗ
bị tổn thương sống còn RCE có khả năng bị khai thác
thông qua duyệt web đơn giản. Các chỗ bị tổn thương
đó đại diện cho vật trung gian tấn công ưa thích đối
với các tội phạm không gian mạng và chúng tôi khuyến
cáo giải quyết chúng trong 7 ngày tiếp sau.
Các
chỗ bị tổn thương còn lại tất cả được xếp hạng
quan trọng và thường có thể được sử dụng để leo
thang quyền ưu tiên một khi ai đó đã giành được sự
thực thi mã trên máy tính, vì thế chúng có thể được
sử dụng kết hợp với thực thi mã ở xa như được mô
tả ở trên. Ngoại lệ là MS16-076
giải quyết lỗi duy nhất trong Windows
Netlogon có thể cung cấp RCE cho kẻ tấn công - độ nghiêm
trọng của nó là thấp hơn so với chỗ
bị tổn thương RCE thông thường vì nó đòi hỏi kẻ tấn
công kiểm soát được máy chủ thư mục tích cực rồi.
Có 2 chỗ bị tổn thương nữa ở phía máy chủ mà được
xếp hạng là “quan trọng”:
- Sự leo thang quyền ưu tiên trong thành phần máy chủ SMB trong MS16-075
- Lỗi trong Microsoft Exchange trong MS16-079 cũng gây ra sự leo tháng quyền ưu tiên, vài lỗi từ Oracle Patch (Bản vá của Oracle) trong thư viện Outside-in của họ.
Tổng
thể đây là Bản vá ngày thứ Ba thường lệ với 1 lỗi
ngày số 0 được biết, nên việc giám sát khẩn cấp đặc
biệt cho bản cập nhật Flash sắp tới. Hãy vá phần còn
lại theo các ưu tiên thông thường của bạn, nhưng hãy
chú ý đặc biệt tới chỗ
bị tổn thương của máy chủ DNS vì nó có liên quan tới
sự hấp dẫn một vài sự chú ý không mong muốn.
It
is Patch Tuesday June 2016, and Microsoft is coming out with 16
bulletins
bringing fixing over 40 distinct vulnerabilities (CVEs). It brings up
the half-year total to 81 which projects to a total of over 160
bulletins for 2016, a new record in terms of patches for the last
decade.
But your primary attention should
be on Adobe Flash. Adobe has acknowledged that a vulnerability
(CVE-2016-4171) in the current Flash player is being used in the wild
and delayed the expected monthly Adobe Flash patch. In their
advisory APSA16-03
they promise the patch for the end of this week. Pay close
attention to the release and address as quickly as possible. If you
have EMET on your systems you are protected. By the way, this is the
third month in a row that we are seeing a 0-day in Flash, making it
most certainly the most targeted software on your organization’s
endpoints.
Otherwise,
there is a mix of client side and server side bulletins this month,
so the whole IT team will have a workload this week to secure their
systems.
The
most interesting vulnerability on the server side is addressed in
MS16-071.
It fixes a single critical vulnerability in Microsoft’s DNS server.
Successful exploitation yields the attacker Remote Code Execution
(RCE) on the server, which is extremely worrisome on such a mission
critical service such as DNS. Organizations that run their DNS server
on the same machine as their Active Directory server need to be
doubly aware of the danger of this vulnerability.
On
the client side the most important vulnerability is addressed in
MS16-070,
which fixes a number of problems in Microsoft Office. The most
important vulnerability here is CVE-2016-0025 in Microsoft Word RTF
format, which yields RCE for the attacker. Since RTF can be used to
attack through Outlook’s preview pane, the flaw is can be triggered
with a simple e-mail without user interaction.
On
the web browser side MS16-063
for Internet Explorer, MS16-068
for Edge and MS16-069
for Javascript on Windows Vista attend to a number of critical RCE
vulnerabilities exploitable through simple web browsing. These
vulnerabilities represent a favorite attack vector for cyber
criminals and we recommend to address them with the next 7 days.
The
remaining vulnerabilities are all rated important and typically can
be used to elevate privileges once one has gained code execution on
the machine, so they would be used in concert with a remote code
execution as described above. The exception is MS16-076
which addresses a single flaw in Windows Netlogon that can provide
RCE to the attacker – its severity is lower than for a normal RCE
vulnerability because it requires that the attacker control the
active directory server already.
There
are two more vulnerabilities on the server side that are rated
“important”:
- An elevation of privilege on the SMB server component in MS16-075
- A flaw in Microsoft Exchange in MS16-079 also resulting in elevation of privilege, some resulting from the Oracle Patch in their Outside-in library.
Overall this is a normal Patch
Tuesday with one known 0-day, so special urgency monitoring for the
upcoming Flash update. Patch the remainder according to your normal
priorities, but pay special attention to the DNS server vulnerability
as it is bound to attract some unwanted attention.
Dịch:
Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.