Błędnie skonfigurowane klucze rejestru systemowego

Luka odnaleziona przez Labro tkwi w dwóch błędnie skonfigurowanych kluczach rejestru usług RPC Endpoint Mapper i DNSCache, które są częścią wszystkich instalacji w obrębie systemu Windows:

HKLM\SYSTEM\CurrentControlSet\Services\RpcEptMapper
HKLM\SYSTEM\CurrentControlSet\Services\Dnscache

Francuz podaje, iż osoba atakująca, która uzyskała już dostęp do jednego z wymienionych wyżej systemów, może zmodyfikować powyższe klucze rejestru, aby aktywować podklucz używany zwykle przez mechanizm monitorowania wydajności systemu Windows. Podklucze „wydajnościowe” są zwykle używane do monitorowania wydajności aplikacji, a ze względu na ich rolę umożliwiają programistom ładowanie własnych plików DLL, w celu śledzenia wydajności przy użyciu niestandardowych narzędzi.

O ile w najnowszych wersjach systemu Windows wymienione wyżej biblioteki DLL są zwykle ograniczone i ładowane z ograniczonymi uprawnieniami, Labro twierdzi, że w systemach Windows 7 i Windows Server 2008 nadal można było załadować niestandardowe biblioteki DLL, które działały z uprawnieniami na poziomie systemowym.

Luki upublicznione przypadkiem

Labro oświadczył, że odkrył omawiane tu luki już po tym, jak opublikował aktualizację programu PrivescCheck, pozwalającego na sprawdzania typowych błędnych konfiguracji zabezpieczeń systemu Windows, które mogą być wykorzystywane przez złośliwe oprogramowanie do eskalacji uprawnień. Wydana w zeszłym miesiącu poprawka dodała obsługę nowego zestawu narzędzi, pozwalających wykrywać techniki eskalacji uprawnień. Francuz zakomunikował, iż nie wiedział, że owe narzędzia wskażą na nową i niezałataną do tej pory metodę eskalacji uprawnień, dopóki nie zaczął badać serii alertów pojawiających się w starszych systemach Windows, takich jak Windows 7, już kilka dni po udostępnieniu.

Nieoficjalna łatka jest dostępna

Windows 7 i Windows Server 2008 R2 nie są już wspierane, osiągnęły status EOL, a firma Microsoft przestała udostępniać dla nich bezpłatne aktualizacje zabezpieczeń. Poprawka rozwiązująca powyższy problem dla użytkowników płatnego programu wsparcia ESU (Extended Support Updates) nie została jeszcze wydana.

Nieoficjalną łatkę przygotowała firma ACROS Security. Można pobrać ją w tym miejscu.

Źródło: Clément Labro via Instalki

Lukę o identyfikatorze CVE-2020-0674 znaleziono w sposobie, w jaki Internet Explorer zarządza pamięcią. Cyberprzestępcy mogą wykorzystać podatność celem uruchomienia szkodliwego kodu na komputerze ofiary – wystarczy, że użytkownik będący celem ataku otworzy szkodliwą stronę internetową z poziomu linku wysłanego pocztą elektroniczną lub widniejącego w wyszukiwarce internetowej.

„Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu polega na tym, że silnik skryptowy obsługuje obiekty w pamięci w programie Internet Explorer. Luka ta może uszkodzić pamięć w taki sposób, że osoba atakująca może wykonać dowolny kod w odniesieniu do bieżącego użytkownika. Cyberprzestępca, któremu uda się wykorzystać tę lukę, może uzyskać takie same uprawnienia, jak bieżący użytkownik. Jeśli użytkownik jest zalogowany z uprawnieniami administratora, osoba atakująca, której uda się wykorzystać lukę, może przejąć kontrolę nad systemem, którego dotyczy luka. napastnik może następnie zainstalować programy; przeglądać, zmieniać lub usuwać dane, a nawet utworzyć nowe konta z pełnymi prawami użytkownika”, podaje Microsoft.

Firma Microsoft w odpowiedzi na pytanie nadesłane przez serwis TechCrunch poinformowała, że jest świadoma występowania „ograniczonej liczby skutecznych ataków, które wykorzystują lukę” i „pracuje już nad stosowną poprawką”. Wiele jednak wskazuje na to, że łatka zostanie udostępniona dopiero 11 lutego, przy okazji udostępniania zwyczajowych zbiorczych poprawek bezpieczeństwa w drugi wtorek miesiąca. Nie wiadomo czy Internet Explorer dla Windowsa 7 zostanie spatchowany. Jeśli korzystacie z tego systemu i Internet Explorera, lepiej czym prędzej zainstalujcie nowego Microsoft Edge’a.

Wszystko wskazuje na to, że jest to identyczna luka jak ta, którą Mozilla załatała już w połowie zeszłego tygodnia w przeglądarce internetowej Firefox. Z przeglądarki Mozilli korzysta obecnie nawet 9% internautów, podczas gdy z leciwego Internet Explorera mniej niż 1%. Nie oznacza to jednak, że Microsoft nie powinien działać w takich kwestiach znacznie sprawniej.

Źródło: Instalki.pl, US-CERT, CVE

„Wyjątkowo przerażająca luka” związana jest ze sposobem w jaki Windows CprytoAPI (Crypt32.dll) weryfikuje certyfikaty Elliptic Curve Cryptography (ECC). Pomyślny exploit buga, pozwala cyberprzestępcy przeprowadzić atak typu man-in-the-middle i odszyfrować wszelkie wrażliwe informacje znajdujące się na komputerze ofiary. Metodę działania exploitu wyjaśnia Microsoft.

„Osoba atakująca może wykorzystać tę lukę, używając sfałszowanego certyfikatu podpisu kodu, w celu podpisania złośliwego pliku wykonywalnego, sprawiając wrażenie, że plik pochodzi z zaufanego, wiarygodnego źródła. Użytkownik nie ma możliwości wiedzieć, że plik jest złośliwy, ponieważ podpis cyfrowy wydaje się pochodzić od zaufanego dostawcy”, czytamy.

Podatność ma status „istotnej”, ale Microsoft nie informuje o jakichkolwiek atakach przeprowadzonych za jej pomocą.

Jeśli korzystacie z systemu Windows, koniecznie sprawdźcie Windows Update w poszukiwaniu poprawek zbiorczych za ten miesiąc (o ile te nie zainstalowały się już u Was automatycznie).

Źródło: Microsoft, Instalki.pl

Odkryta przez badaczy z Google, Resecurity i iDefense Labs luka 0-day (rozpoznawana jako CVE-2019-1429) została załatana w najnowszej paczce aktualizacji przeglądarki Internet Explorer. Jak zawiadamia Microsoft luka dotyczy Internet Explorera, ale może zostać wykorzystana również w dokumentach pakietu Microsoft Office.

Sprawa jest naprawdę poważna, a sam producent ostrzega, że możliwe jest zdalne przejęcie kontroli nad systemem z uprawnieniami zalogowanego użytkownika. Gdy jest to administrator, wówczas atakujący jest w stanie zainstalować dowolne oprogramowanie na komputerze, manipulować danymi oraz tworzyć nowe konta.

Odkrywcy luki podejrzewają, że omawiana podatność ma związek z innym błędem oznaczonym jako CVE-2019-0880. Uważają, że obie usterki zostały wykorzystane przez grupę szpiegowską, której celem był atak na użytkowników pochodzących z różnych części świata.

Eksperci zajmujący się bezpieczeństwem zalecają pilną aktualizację przeglądarki Internet Explorer. Jak to zrobić? Wystarczy zainstalować najnowsze aktualizacje dostępne w ramach Windows Update. Poprawka łatająca omawianą lukę dostępna jest w ramach paczki Patch Tuesday, którą udostępniono na początku tego tygodnia.

Źródło: ESET via Instalki.pl

Problem został zgłoszony gigantowi z Redmond 17 marca, a łatka udostępniona została użytkownikom 9 kwietnia. Powodem zagrożenia była luka, przez którą exploit mógł użyć komendy PowerShell, aby pobrać i wykonać skrupy w celu rozpakowania kodu powłoki HTTP, przydzielenia pamięci wykonywalnej, przypisania do niej kodu powłoki i wywołania CreateThread w celu jego wykonania.

Celem tego zabiegu było stworzenie prostej powłoki HTTP, która pomagała atakującemu zyskać pełną kontrolę nad systemem ofiary ataku. Co prawda Microsoft stwierdza, że cyberprzestępcy muszą najpierw zalogować się do systemu ofiary, aby móc wykonywać późniejsze ataki, jednak nadal luka ta pozostaje bardzo groźna.

„W systemie Windows występuje luka w zabezpieczeniach podniesienia uprawnień, gdy składnik Win32k nie obsługuje poprawnie obiektów w pamięci. Osoba atakująca, której uda się wykorzystać tę lukę, może uruchomić dowolny kod w trybie jądra. Osoba atakująca może następnie zainstalować programy; przeglądać, zmieniać lub usuwać dane; lub twórz nowe konta z pełnymi prawami użytkownika” – mówi Microsoft.

Kaspersky zaznacza, że ta luka zero day została aktywnie wykorzystana, jednak żadna z grup odpowiedzialnych za atak nie podzieliła się szczegółami. Błąd został naprawiony w aktualizacji CVE-2019-0859 z dnia 9 kwietnia i zaleca się jak najszybsze jej zainstalowanie. 

Źródło: Secure List via Instalki.pl

Po wykryciu luki specjaliści przesyłają informacje na jej temat do twórców aplikacji i wyznaczają określony czas na załatanie błędu. Właśnie w ten sposób Microsoft w przeszłości dwukrotnie nie dotrzymał terminu, a Google nie okazało się pobłażliwe, ujawniając lukę przed załataniem.

Właśnie doszło do kolejnej sytuacji tego typu. Google ujawniło informacje o wykrytej przez siebie luce w przeglądarce Microsoft Edge zanim Microsoft zdołał ją naprawić. Gigant z Redmond rzekomo nie dotrzymał wyznaczonego terminu.

Wspomniana luka określana jest mianem „średniego” zagrożenia i została zgłoszona Microsoftowi już w listopadzie 2017 roku. Firma miała 90 dni na załatanie problemu, jednak tego nie zrobiła. Z tego też względu Google postanowiło ją upublicznić.

Pokrótce umożliwia ona obejście komponentu ACG i stworzenie pliku wykonawczego w pamięci. Microsoft wyjaśnia, że luka okazała się nieco bardziej skomplikowana, niż początkowo się wydało.

Dlatego też Google przyznało firmie dodatkowe 14 dni na jej załatanie, jednak nawet to nie wystarczyło na naprawę błędu. Microsoft zapewnia, że luka zostanie wyeliminowana w ramach kolejnego wydania Patch Tuesday, które jest zaplanowane na 13 marca.

Źródło: Instalki

Dziurę jako pierwszy wykrył Stefan Kanthak. Tłumaczy on, że atakujący może podsunąć własny, fałszywy plik DLL, który zostanie rozpoznany przez system. Dzięki temu utrzyma uprawnienia, które sam nazywa „administratorem na sterydach”.

W efekcie cyberprzestępca będzie mógł wykonać wiele czynności na naszym komputerze. Mowa o usuwaniu i kradzieży danych czy chociażby uruchomieniu programu szyfrującego pliki.

Microsoft nie załata dziury

Badacz poinformował Microsoft o problemie już we wrześniu. Firma potwierdziła, że dzięki luce rzeczywiście można uzyskać wysokie uprawnienia w systemie, jednak nie zamierza jej załatać, gdyż „wymagałoby to rewizji ogromnej ilości kodu źródłowego”.

Gigant z Redmond zapewnił, że luka zostanie całkowicie wyeliminowana w nowej wersji komunikatora Skype. Firma nie wyda zatem łatki bezpieczeństwa, tylko skupi się na pracach nad następną edycją aplikacji.

Warto dodać, że na atak podatne są nie tylko urządzenia z Windowsem. W podobny sposób uprawnienia można uzyskać w Linuksie i macOS.

Źródło: ZDNet via Instalki

Okazało się, że zawierają one sporo błędów i luk, a ostatecznie mogą prowadzić do niestabilności systemu. W takim przypadku możliwe było uszkodzenie lub nawet utrata danych.

Z tego też względu Microsoft postanowił wycofać te aktualizacje aż do czasu poprawienia ich przez Intela. W sieci pojawiały się bowiem doniesienia o niepoprawnym działaniu systemu.

Łatki miały teoretycznie przeciwdziałać drugiemu wariantowi luki Spectre, o której głośno zrobiło się już kilka tygodni temu. Jak zatem widać, wydanie poprawnej i wolnej od błędów aktualizacji nie jest łatwym zadaniem.

Microsoft poinformował, że do dnia 25 stycznia nie wykrył żadnego ataku wykorzystującego drugi wariant luki Spectre. Nie oznacza to jednak, że w przyszłości takowe się nie pojawią. Szybkie załatanie dziur powinno być zatem priorytetem Intela i partnerów.

Zobacz także: Spowolnienie komputera po najnowszych łatkach bezpieczeństwa

Źródło: Neowin via Instalki

Medialne nagłośnienie sprawy sprawiło, że Microsoft zdecydował się wstrzymać dystrybucję aktualizacji dla urządzeń z podzespołami, które powodują problemy. Dzięki temu po reinstalacji systemu nie trzeba wyłączać aktualizacji, by móc normalnie korzystać z komputera.

Co ciekawe, przedstawiciele Microsoftu wyjaśniają, że winę za błąd ponosi AMD, które rzekomo dostarczyło błędną dokumentację wybranych procesorów podczas pracy nad aktualizacją.

Firmy działają już nad rozwiązaniem problemu. Póki co aktualizacja dla urządzeń z AMD została wstrzymana, by posiadacze procesorów AMD mogli normalnie korzystać z systemu.

Źródło: Instalki

Microsoft dość szybko wydał łatkę dla systemu Windows 10, która zabezpieczała przed wspomnianymi lukami. Niestety powoduje ona problemy na niektórych komputerach z procesorami AMD.

Internauci skarżą się na forum Microsoftu, że po instalacji łatki o numerze KB4056892 ich komputer odmawia posłuszeństwa. Zawiesza się już na ekranie wczytywania systemu lub chwilę po zalogowaniu.

Problem dotyczy głównie układów AMD Athlon. Ich posiadacze wskazują, że przed aktualizacją wszystko działało poprawnie. Warto dodać, że łatka nie tworzy punktu przywracania systemu, tak więc użytkownikom pozostaje przeinstalowanie systemu.

To niestety również nie jest rozwiązaniem problemu, gdyż Windows 10 automatycznie pobiera aktualizacje i ponownie „psuje” komputer. Pozostaje wyłączenie aktualizacji, co jak wiemy, w systemie Windows 10 nie należy do najłatwiejszych.

Zobacz jak wyłączyć aktualizacje w Windows 10

Źródło: The Register via Instalki

Na szczęście najnowsza edycja Patch Tuesday przebiega bez problemów. Microsoft załatał w niej łącznie 54 luki w zabezpieczeniach swoich produktów, z czego 26 dotyczyło systemów Windows.

Aż 19 luk związanych z Windowsem oznaczono jako krytyczne. Wszystkie mogły doprowadzić do zdalnego wykonania kodu na komputerze ofiary. Szczególnie niebezpieczna była ta związana z atakiem na usługę Windows Search. Haker mógł wysłać za pomocą SMB specjalnie spreparowaną wiadomość, przejmując tym samym kontrolę nad urządzeniem.

Firma wyjaśnia, że dotychczas nie odnotowano ataków z wykorzystaniem wspomnianych luk. Warto jednak przeprowadzić aktualizację systemu, gdyż szczegóły na temat dziur są już dostępne w sieci i z pewnością ktoś pokusi się o ich wykorzystanie.

System Windows powinien zaktualizować się automatycznie. Alternatywnie należy udać się do Windows Update w celu sprawdzenia dostępności aktualizacji.

Źródło: Instalki

Microsoft załatał już usterkę, dlatego wszyscy użytkownicy Skype’a dla systemu Windows powinni jak najprędzej wykonać aktualizację do najnowszej wersji.

Lukę dostrzeżono w aplikacji Skype w wersji 7.2, 7.35 oraz 7.36. Może ona doprowadzić do zawieszenia programu, a nawet zdalnego wykonania kodu źródłowego. Co więcej, atak nie wymaga żadnej interakcji ze strony użytkownika.

Atak następuje poprzez wklejenie specjalnie zmodyfikowanego obrazka do okna konwersacji. Ten jest automatycznie zapisywany na komputerze odbiorcy, co może prowadzić do zawieszenia aplikacji. W tym też momencie atakujący może wykorzystać lukę do dalszej infekcji systemu.

Skype w wersji 7.37 jest wolny od tego błędu. Aktualizacja jest już od jakiegoś czasu dostępna na serwerach Microsoftu.

Obecnie nie ma żadnych sygnałów o udanych atakach wykorzystujących tę metodę. 26 czerwca opublikowano jednak szczegółowe informacje o luce, tak więc osoby, które nie przeprowadziły aktualizacji, są teraz znacznie bardziej narażone.

Źródło: Instalki

Gigant z Redmond załatał już błąd, dlatego też Ormandy mógł upublicznić szczegóły wykrytej luki. Dzięki usterce atakujący mógł pozyskać listę lokalnych plików z wyników skanowania programu Windows Defender. W najgorszym przypadku mogło dojść nawet do zdalnego wykonania kodu.

Inny badacz – Udi Yavo, określił tę lukę jako

„potencjalnie ekstremalnie niebezpieczną, ale prawdopodobnie trudniejszą do wykorzystania, niż poprzednia luka”.

Użytkownicy Windowsa powinni upewnić się, że posiadają aktualną wersję systemu. Wspomniana łatka jest już bowiem dostępna na serwerach.

Źródło: Instalki

Gigant z Redmond nie zdołał jej jednak załatać w przeciągu 90 dni od momentu zgłoszenia. Z tego też względu Google postanowiło ją ujawnić, trzymając się własnego regulaminu.

Wspomniana luka jest obecna w wielu systemach Microsoftu, począwszy od Windows Vista, a na Windows 10 kończąc. Dziura jest związana z bibliotekami GDI i umożliwia atakującemu kradzież informacji z pamięci. Dotyczy to każdego programu korzystającego z GDI.

Warto jednak dodać, że chcąc wykorzystać tę metodę atakujący musi mieć fizyczny dostęp do komputera. Sytuacja nie jest zatem tak poważna, jak mogło się wydawać.

Tymczasem Microsoft opóźnił wydanie najnowszych aktualizacji bezpieczeństwa. Ze względu na wykryte błędy lutowa paczka plików ukaże się dopiero w marcu. Do tego czasu luka prawdopodobnie nie zostanie załatana.

To nie pierwszy raz, gdy Google ujawnia niezałataną jeszcze lukę Microsoftu. W przeszłości wielokrotnie dyskutowano nad słusznością takiego postępowania ze strony internetowego giganta.

Źródło: Neowin via Instalki

To dodatkowy projekt Microsoftu, który potrwa przez 10 miesięcy. Badacze, którzy udowodnią skuteczny zdalny atak na przeglądarkę znajdującą się w fazie testowej (Insider Preview), zostaną nagrodzeni kwotą od 500 do 15000 dolarów, w zależności od stopnia skomplikowania ataku.

Z racji tego, iż program dotyczy wersji testowej przeglądarki, Microsoft może być już świadomy pewnych luk i pracować nad ich załataniem. Mimo wszystko jeżeli ktoś zgłosi taką dziurę, może się liczyć z nagrodą w wysokości maksymalnie 1500 dolarów.

Jak zatem widać, Microsoft, podobnie jak Google, nie szczędzi pieniędzy na bezpieczeństwo swojej przeglądarki.

Źródło: Instalki

Casey Smith znalazł jednak lukę, która pozwala to zabezpieczenie ominąć. Wystarczy wykorzystać regsvr32.exe i wskazać zdalnie hostowany plik, a ten uruchomi się bez względu na reguły ustalone w AppLockerze. Co ciekawe, atakujący nie potrzebuje nawet uprawnień administratora, by wykonać tę czynność.

W ten sposób na komputerze z systemem Windows 7 lub nowszym można uruchomić dowolną aplikację. Microsoft jest już świadomy problemu i prawdopodobnie pracuje nad rozwiązaniem.

Zainteresowane tematem osoby sugerują, że tymczasowym rozwiązaniem problemu jest zablokowanie regsvr32.exe w ustawieniach firewalla (zapory systemu).

Źródło: Engadget via Instalki