Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Biuletyny bezpieczeństwa Microsoftu w marcu 2013 r. - słaby wpływ konferencji Pwn2Own, oczekiwanie na dyski USB dla kolejnego Stuxneta

Kurt Baumgartner
Kaspersky Lab Expert
Dodany 24 kwietnia 2013, 14:31 CEST
Tagi:

Firma Microsoft opublikowała dziewięć marcowych biuletynów bezpieczeństwa. Cztery z biuletynów są oceniane jako bardzo ważne. 12 z 20 łatanych luk posiada poziom krytyczny i umożliwia zdalne wykonywanie kodu i podniesienie uprawnień. Oprogramowanie Microsoftu, które łatane jest w pierwszej kolejności, obejmuje aplikacje Internet Explorer, Silverlight, Visio Viewer i SharePoint. Zatem, wszyscy użytkownicy systemów Windows powinni jak najszybciej uaktualnić swoje systemy.

Konferencja Pwn2Own przyciągnęła do Cansecwest największe talenty w dziedzinie ofensywnych systemów bezpieczeństwa, lecz, mimo całkowitej puli nagród o równowartości niemalże pół miliona dolarów (za świeże luki 0-day), nie wywołała szczególnego wpływu na poprawki opublikowane w biuletynie Microsoftu. W tym roku wykryte zostały podatności w aplikacjach firmy Adobe, Javie, Firefoksie i Chromie oraz dwie luki 0-day w przeglądarce Internet Explorer 10, pozwalające na pełnie wtargnięcie do systemu Windows 8 na tablecie Windows Surface Pro. 
MS013-021 jest gigantyczną „poprawką używania Internet Explorera”, dotyczącą jak dotąd najdłuższej listy luk w IE, opublikowanej w pojedynczym biuletynie bezpieczeństwa. Wiedząc, że tylko jedna z tych luk została wcześniej ujawniona publicznie, można postawić hipotezę, że albo firma naprawiła fuzzer w swoich laboratoriach, albo skorzystała z czyjegoś autorskiego rozwiązania.

MS013-022 dotyczy sprawdzania wskaźnika pamięci w składniku renderowania HTML w aplikacji Silverlight – nietypowego problemu, znanego jako „podwójne odwołanie”. Interesującą rzeczą jest to, że po stronie klienta RCE umożliwia wykorzystanie luk nie tylko we wszystkich obsługiwanych systemach Windows, ale również w systemach OS X firmy Apple. W świetle masowych naruszeń systemów OS X w zeszłym roku i niedawnego wysypu ataków ukierunkowanych na OS X, ta poprawka jest bardzo ważna dla użytkowników urządzeń pracujących pod kontrolą systemu firmy Apple.

Do łagodzenia skutków naruszeń bezpieczeństwa w aplikacjach Internet Explorer i Silverlight firma Microsoft zaleca wykorzystanie narzędzia EMET.

Po stronie serwera obserwujemy podatności zupełnie różne od problemów z pamięcią występujących po stronie klienta. Zaobserwować można lukę w zabezpieczeniach usługi internetowej w aplikacji SharePoint, która jest niezwykle popularna w środowiskach korporacyjnych. Rzeczą zwracającą uwagę w tym przypadku jest efekt podniesienia uprawnień powstający przez defekt XSS, który zapewnia zdalnym użytkownikom możliwość wydawania SharePointowi poleceń w imieniu użytkownika administrującego. Wszystkie podatności SharePointa zostały prywatnie zgłoszone przez zewnętrznego specjalistę i nie wiadomo nic o publicznym ujawnieniu tych informacji. Jednocześnie, specjalnie wydana poprawka dotyczy problemów z odmową usługi i przepełnieniem bufora w kodzie SharePointa.

MS012-023 dotyczy niebezpiecznego kodu w aplikacji Visio Viewer 2010, który jest również rozpowszechniany w pakiecie Microsoft Office. Najdziwniejsze jest to, że nie jest znana droga przechodzenia podatnego kodu z Microsoft Office, natomiast firma Microsoft utrzymuje cztery lub pięć wersji Visio Viewer – szeroko stosowanego elementu oprogramowania dla organizacji i firm, pomocnego przy publikowaniu wszelkiego rodzajów diagramów i wykresów. Jednakże, wspomniana luka dotyczy tylko jednej wersji – Microsoft Visio Viewer 2010. Mimo to Microsoft skłania się w kierunku rozwiązywania wszelkich kwestii związanych z bezpieczeństwem (w tym nieznanych, przyszłych problemów) i optuje za łataniem kodu wszędzie tam, gdzie jest to konieczne, łącznie z pakietem Microsoft Office, i bez względu na to, czy przekazuje on kod, czy nie.

Spośród luk niżej ocenianych pod względem krytyczności najbardziej interesujący wydaje się być problem z deskryptorem USB w trybie jądra. Mała dygresja: tytuł tego artykułu jest trochę niepoważny i dość śmieszny. Nie spodziewamy się, aby z powodu tej luki narodził się kolejny Stuxnet. Ale, w retrospekcji do wektorów wykorzystywania luk przez Stuxneta, wspomniana podatność wprowadza kolejny wektor rozprzestrzeniania się zagrożenia w postaci dowolnego kodu, wykonywanego w trybie jądra po niewinnym podłączeniu do systemu urządzenia USB.

W celu wyjaśnienia: niebezpieczeństwo nie leży w bezpośredniej możliwości powstania nowego Stuxneta. Bezpośrednie zagrożenie leży w dostępności powierzchni ataku, zademonstrowanej przez Stuxneta, która sprawia, że ściśle chronione środowiska przemysłowe mogą zostać zinfiltrowane i zaatakowane z zaskoczenia, z efektywnością dorównującą skuteczności ataku na Pearl Harbor.