Nowe aktualizacje usuwają krytyczne luki

Jednym z warunków utrzymania bezpieczeństwa systemów jest ich aktualizacja, gdy tylko producent wydaje stosowne poprawki.

Najnowsze poprawki bezpieczeństwa wydane przez Microsoft usuwają dwie krytyczne podatności, w tym jedna z nich zostaje usunięta w szczególny, bardzo ciekawy sposób. W porównaniu do grudniowych aktualizacji, w których opublikowano 17 łat usuwających aż 40 podatności, najnowsze wydanie jest dość skromne. Niemniej jednak z dwóch opublikowanych aktualizacji jedna ma status krytycznej (najwyższy pod względem ryzyka i narażenia systemu), druga - ważnej, czyli jeden poziom niżej.

Microsoft zaleca nałożenie aktualizacji MS11-002 w pierwszej kolejności, gdyż łata ona dwie podatności, w tym jedną o statusie krytycznej, związane z przejęciem kontroli nad komputerem za pomocą mechanizmu łańcucha pobrań, określanego jako drive-by. Luka ta jest nadal powszechnie wykorzystywana przez cyberprzestępców do zarażania komputerów swoich ofiar, przy czym w podatnym systemie wystarczy kliknąć na specjalnie przygotowany link, zazwyczaj przesłany pocztą elektroniczną. Błąd dotyczy kontrolki ActiveX, związanej z zestawem komponentów Microsoft Data Access Components (MDAC), za których pomocą użytkownicy mogą uzyskiwać dostęp do baz danych ze środowiska przeglądarki Internet Explorer. Ponieważ błąd dotyczy technologii ActiveX, najbardziej narażeni są użytkownicy przeglądarki Internet Explorer, ale ten sam błąd teoretycznie może być zastosowany, jeśli użytkownik korzysta z innej przeglądarki, która uruchamia motor Internet Explorera z użyciem kontrolek ActiveX (na przykład dodatek IETab dla Firefoksa albo przeglądarki bazujące na Internet Explorerze, takie jak Maxthon). Chociaż Microsoft twierdzi, że eksploit wykorzystujący tę podatność pojawi się dopiero za kilkanaście dni, maksimum miesiąc, badacze są zdania, że działa co najmniej od dwóch tygodni.

Podatność na ten błąd wykazują wszystkie wersje systemów Windows, włącznie z XP SP3, Vista oraz Windows 7, a także z wydaniami serwerowymi, tylko że te ostatnie są mniej narażone, ze względu na inne ustawienia bezpieczeństwa przeglądarki i rzadkość przeglądania Internetu z konsoli serwera. Właśnie z tego powodu poziom ryzyka dla wydań serwerowych określono niżej niż krytyczny.

DLL load hijacking załatane

Aktualizacja MS11-001 jest mniej istotna, gdyż dotyczy tylko systemu . Obejmuje ona siódme z kolei podejście do usunięcia luk zgłoszonych w ubiegłym roku, dotyczących przejęcia ładowanej biblioteki (DLL hijacking). Tym razem dotyczy ona narzędzia Backup Manager. Według Jerry'ego Bryanta, menedżera w Microsoft Security Response Center (MSRC), jest to ostatnia łata dotycząca znanych i zgłoszonych do grudnia ubiegłego roku podatności tego typu. Nie oznacza to zakończenia prac nad ochroną przed DLL load hijacking, prawdopodobnie w przyszłości podobne błędy będą ujawniane i stopniowo usuwane.

Nadal nie załatano jednak kilku błędów zgłoszonych w ciągu ostatnich tygodni, w tym jednej krytycznej podatności w Internet Explorerze (zaproponowano jedynie obejście za pomocą narzędzia kompatybilności aplikacji, patrz obok), a także poważnych luk w bezpieczeństwie Windows XP, Vista, Server 2003 i Server 2008. Potwierdzono także fakt poszukiwania kolejnej podatności przez chińskich hackerów. Kolejna podatność została zgłoszona do Microsoftu przez Michała Zalewskiego. Niebawem ma on zamiar opublikować także narzędzie, które posłużyło do wykrycia tych podatności.

Nowy sposób na obejście problemu z IE

Przeglądarka Internet Explorer ma bogatą historię luk w bezpieczeństwie i gigant z Redmond próbuje wszelkich dostępnych środków, by ograniczyć szkody spowodowane atakami dnia zerowego kierowanymi przeciw IE. Jedną z takich metod, która została użyta po raz pierwszy, jest wykorzystanie narzędzia Windows Application Compatibility Toolkit do modyfikacji pracy Internet Explorera.

Luka w bezpieczeństwie tej przeglądarki dotyczyła błędu w obsłudze arkuszy stylów CSS, co umożliwiało rekursywne załadowanie plików i obejście zabezpieczeń. Ponieważ nie udało się przygotować łaty w wymaganym czasie, a luka ta jest aktywnie wykorzystywana przez cyberprzestępców do przejęcia kontroli nad komputerami ofiar, opracowano sposób użycia WACT do uodpornienia przeglądarki na ten atak.

Narzędzie to było bardzo pomocne przy uruchamianiu aplikacji niezgodnych z systemem Windows XP, gdyż potrafi zmodyfikować w pamięci, podczas ładowania bibliotekę mshtml.dll, która zawiera motor renderujący przeglądarki Internet Explorer.

Narzędzie opracowane do uruchomienia niezgodnych aplikacji po raz pierwszy było wykorzystane do zablokowania aktywnie wykorzystywanej podatności oprogramowania Microsoftu. Chociaż wygląda to na desperacki ruch, jest skuteczny. Prawdopodobnie w najbliższym czasie luka zostanie usunięta przy następnej aktualizacji. Dużą zaletą takiego obejścia, blokującego eksploitowanie znanej podatności, jest to, że nałożonej za pomocą WACT modyfikacji nie trzeba odinstalowywać przed zainstalowaniem łaty, która ostatecznie usunie tę lukę.

Błąd związany z obsługą CSS w Internet Explorerze był potwierdzony 22 grudnia ub.r., kilka tygodni wcześniej, zanim francuska firma Vupen związana z bezpieczeństwem wydała ostrzeżenie o podatności wszystkich finalnych wersji Internet Explorera. W tym czasie Microsoft twierdził, że narzędzia śledzące wykorzystywanie luk w bezpieczeństwie zgłaszały jedynie "ograniczone w skali próby przełamania zabezpieczeń".


TOP 200