GryOprogramowanieRTV

0 dni, nieudana łatka i zagrożenie typu backdoor. Zaktualizuj najciekawsze wtorki

0 dni, nieudana łatka i zagrożenie typu backdoor.  Zaktualizuj najciekawsze wtorki

We wtorek Microsoft załatał 120 luk w zabezpieczeniach, z których dwie są godne uwagi, ponieważ są poddawane aktywnemu atakowi, a trzecia, ponieważ naprawia poprzednią poprawkę w celu usunięcia luki w zabezpieczeniach, która umożliwiła atakującym uzyskanie backdoora, który utrzymywał się nawet po zaktualizowaniu maszyny.

Luki w zabezpieczeniach „zero-day” mają swoją nazwę, ponieważ programista, którego dotyczy luka, ma zero dni na wydanie łatki, zanim luka w zabezpieczeniach zostanie zaatakowana. Exploity typu „zero-day” mogą być jednymi z najbardziej skutecznych, ponieważ zwykle pozostają niewykryte przez programy antywirusowe, systemy zapobiegania włamaniom i inne zabezpieczenia. Tego typu ataki zwykle wskazują na podmiot zagrażający o ponadprzeciętnych środkach ze względu na pracę i umiejętności wymagane do zidentyfikowania nieznanej luki i opracowania niezawodnego exploita. Dodatkowym utrudnieniem jest to, że exploity muszą ominąć zabezpieczenia, które programiści spędzili na implementację znacznych zasobów.

Marzenie hakera: omijanie kontroli podpisywania kodu

Pierwszy dzień zerowy jest obecny we wszystkich obsługiwanych wersjach systemu Windows, w tym Windows 10 i Server 2019, które specjaliści ds. Bezpieczeństwa uważają za dwa z najbezpieczniejszych systemów operacyjnych na świecie. CVE-2020-1464 jest tym, co Microsoft nazywa luką w zabezpieczeniach związaną z fałszowaniem sygnatur systemu Windows Authenticode. Hakerzy, którzy go wykorzystują, mogą przemycić swoje złośliwe oprogramowanie do atakowanych systemów, omijając ochronę przed złośliwym oprogramowaniem, która wykorzystuje podpisy cyfrowe do poświadczenia, że ​​oprogramowanie jest godne zaufania.

Authenticode to wewnętrzna technologia podpisywania kodu firmy Microsoft, która zapewnia, że ​​aplikacja lub sterownik pochodzi ze znanego i zaufanego źródła i nie został naruszony przez nikogo innego. Ponieważ modyfikują jądro systemu operacyjnego, sterowniki można zainstalować w systemie Windows 10 i Server 2019 tylko wtedy, gdy mają jeden z tych podpisów kryptograficznych. We wcześniejszych wersjach systemu Windows podpisy cyfrowe nadal odgrywają ważną rolę we wspomaganiu zabezpieczeń antywirusowych i innych zabezpieczeń w wykrywaniu złośliwych towarów.

Typową drogą omijania tej ochrony przez osoby atakujące jest podpisanie złośliwego oprogramowania za pomocą ważnego certyfikatu skradzionego od legalnego dostawcy. Dochodzenie w sprawie Stuxneta, robaka, który dziesięć lat temu powszechnie uważa się za celującego w program nuklearny Iranu, było jednym z pierwszych przypadków, gdy naukowcy odkryli stosowaną taktykę.

Jednak od tego czasu naukowcy odkryli, że praktyka ta sięga co najmniej 2003 r. I jest znacznie bardziej rozpowszechniona niż wcześniej sądzono. Skradzione certyfikaty nadal są częstym zjawiskiem, a jeden z ostatnich incydentów wykorzystujących certyfikat skradziony w 2018 roku z Nfinity Games do podpisywania złośliwego oprogramowania, które zainfekowało kilku twórców gier Massively Multiplayer Online na początku tego roku.

CVE-2020-1464 umożliwił hakerom osiągnięcie tego samego obejścia bez kłopotów z kradzieżą ważnego certyfikatu lub obawy, że może zostać unieważniony. Wiele wersji systemu Windows, których dotyczy luka, sugeruje, że luka istnieje od lat. Firma Microsoft nie podała żadnych szczegółów na temat przyczyny luki, sposobu jej wykorzystania, kogo lub celów.

Microsoft zazwyczaj przypisuje uznanie badaczom, którzy zgłosili błędy, które naprawia, ale strona potwierdzenia Microsoft dotycząca wtorek aktualizacji w tym miesiącu w ogóle nie wspomina o CVE-2020-1464. Przedstawiciel firmy Microsoft powiedział, że odkrycie zostało dokonane wewnętrznie w wyniku badań przeprowadzonych w firmie Microsoft.

IE: Tak stary, jak niepewny

Drugi atak typu zero-day może zainstalować złośliwe oprogramowanie wybrane przez atakującego, gdy cele przeglądają złośliwą zawartość za pomocą Internet Explorera, starożytnej przeglądarki z przestarzałą bazą kodu, która jest podatna na wszelkiego rodzaju exploity.

Według firmy zajmującej się bezpieczeństwem Sophos, CVE-2020-1380 wywodzi się z klasy błędu, który umożliwia atakującym ładowanie złośliwego kodu do lokalizacji pamięci, która została zwolniona, gdy jej poprzednia zawartość nie była już używana. Luka tkwi w kompilatorze just-in-time mechanizmu JavaScript przeglądarki IE.

Jednym ze sposobów, w jaki atakujący mogą wykorzystać tę lukę, jest umieszczenie kodu-pułapki w witrynie, którą odwiedza cel. Inną metodą jest osadzenie złośliwego formantu ActiveX w aplikacji lub dokumencie Microsoft Office, który korzysta z silnika renderującego IE. Pomimo tego, że jest szkodliwy, system Windows pokaże, że formant ActiveX jest „bezpieczny do zainicjowania”.

Nie ma wątpliwości, że exploity in-the-wild są alarmujące dla atakowanych osób lub organizacji. Ale w sumie CVE-2020-1380 mniej dotyczy Internetu jako całości ze względu na małą bazę zagrożonych użytkowników. Wraz z rozwojem zaawansowanych zabezpieczeń w przeglądarkach Chrome, Firefox i Edge, przeglądarka IE przeszła z przeglądarki prawie monopolistycznej do takiej, która ma mniej niż 6% udziału w rynku. Każdy, kto nadal go używa, powinien zrezygnować z czegoś z lepszą obroną.

Błąd „leet” z nieuchwytną poprawką

Trzecia poprawka wydana we wtorek to CVE-2020-1337. Warto zwrócić uwagę na numer 1337, którego hakerzy często używają do zapisu „leet”, jak w przypadku „elite”. Ważniejszą różnicą jest to, że jest to łatka do CVE-2020-1048, aktualizacji wydanej przez Microsoft w maju.

Majowa łatka miała naprawić lukę w zabezpieczeniach związaną z eskalacją uprawnień w Windows Print Spooler, usłudze zarządzającej procesem drukowania, w tym lokalizacją sterowników drukarek i ich ładowaniem oraz planowaniem zadań drukowania.

Krótko mówiąc, luka umożliwiła atakującemu z możliwością wykonania kodu o niskich przywilejach w celu ustanowienia backdoora na podatnych na ataki komputerach. Osoba atakująca może powrócić w dowolnym momencie po tym, aby zwiększyć dostęp do wszechmocnych praw systemowych. Luka wynikała z tego, że bufor wydruku pozwalał atakującemu na zapisywanie dowolnych danych do dowolnego pliku na komputerze z uprawnieniami systemowymi. Umożliwiło to upuszczenie złośliwej biblioteki DLL i uruchomienie jej przez proces działający z uprawnieniami systemowymi.

Szczegółowy opis techniczny tej wady znajduje się w tym poście od badaczy Yardena Shafira i Alexa Ionescu. Zauważają, że bufor wydruku nie wzbudził zainteresowania badaczy, mimo że jest to jeden z najstarszych kodów wciąż działających w systemie Windows.

Niecałe dwa tygodnie po wydaniu przez Microsoft łatki badacz z uchwytem math1as przesłał raport do usługi Zero Day Initiative w usłudze bounty, który wykazał, że aktualizacja nie naprawiła luki. Odkrycie wymagało od firmy Microsoft opracowania nowej poprawki. Rezultatem jest ten, który został wydany we wtorek. ZDI ma tutaj pełny opis nieudanej łatki.

W sumie, we wtorek z aktualizacjami w tym miesiącu załatano prawie trzy tuziny luk ocenionych jako krytyczne i wiele innych z niższymi ocenami. W ciągu jednego dnia od wydania system Windows automatycznie pobiera poprawki i instaluje je, gdy komputer nie jest używany.

Dla większości ludzi ten automatyczny system aktualizacji jest w porządku, ale jeśli jesteś podobny do mnie i chcesz je zainstalować od razu, to też jest łatwe. W systemie Windows 10 przejdź do Start> Ustawienia> Aktualizacja i zabezpieczenia> Windows Update i kliknij Sprawdź aktualizacje. W systemie Windows 7 przejdź do Start> Panel sterowania> System i zabezpieczenia> Windows Update i kliknij Sprawdź aktualizacje. Wymagane będzie ponowne uruchomienie.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook