Pravidelné úterní bezpečnostní aktualizace Microsoftu a k tomu jedna mimořádná pro kritickou chybu v Microsoft Malware Protection Engine. V novém systému oprav se téměř nikdo nevyzná. Další záplaty: Adobe, Cisco, Intel, ovládání monitorů…
Nový způsob zveřejňování bezpečnostních aktualizací Microsoftu způsobuje, že se v situaci málokdo vyzná. Změny se netýkají pouze samotných aktualizací (třeba stahovat najednou, kumulativní aktualizace pro jednotlivé OS jako celek), ale i informování o nich. Dříve srozumitelné členění na bulletiny zabezpečení vzalo za své; nakonec i na globálních zpravodajských webech se informace o aktualizacích objevují stále později nebo vůbec.
Snad lze konstatovat, že v tomto se Windows dále přibližují „službě“ nebo „cloudu“, kdy se o stále více věci stará poskytovatel. Se všemi souvisejícími klady a zápory – médiím každopádně Microsoft informování zrovna neusnadňuje, jak tyto změny posuzují správci IT v podnicích? Praxe bulletinů zabezpečení fungovala od roku 2003 a byla celkem přehledná, i když se ji Microsoft tu a tam snažil komplikovat třeba o spíše matoucí rozšiřující funkce typu „exploitability index“.
Ghacks.net konstatuje, že tentokrát, ve druhém květnovém úterý, už nejsou k dispozici opravy pro Windows Vista, záplaty pro Windows 10 RTM jsou uvolněny naposledy a i podpora této verze OS končí. Jinak byly aktualizace vydány pro všechny podporované verze Windows včetně serverových. Dále jsou záplaty určeny pro Internet Explorer, Microsoft Edge, Microsoft Office, Microsoft .NET Framework a Adobe Flash Player (Microsoft již tradičně distribuuje i záplaty Adobe). Reportovány byly problémy s aktualizací KB3008923 pro Internet Explorer (InfoWorld). U oprav, které jsou vedeny jako určené pro operační systém a MS Office, závisí závažnost na konkrétní verzi. Z aktualizací pro Internet Explorer Microsoft jako kritické uvádí 2 z 10, u MS Edge 16 z 28.
Kritická zranitelnost bezpečnostních nástrojů MS
Microsoft ještě před pravidelnými květnovými opravami zalátal vzdáleně zneužitelnou chybu (CVE-2017-0290) ve svých nástrojích pro ochranu před malwarem. Samotná chyba byla ve skenovacím enginu, který je součástí většiny bezpečnostních řešení Microsoftu včetně Windows Defenderu od Windows 7, Microsoft Security Essentials, Microsoft Forefront Endpoint Protection atd.
Problém odhalili Tavis Ormandy a Natalie Silvanovich z Google Project Zero a byl zneužitelný vzdáleně. Stačilo, aby program Microsoft Malware Protection Engine dostal ke skenování speciálně vytvořený soubor, což se dalo docílit např. tím, že soubor byl přilopojen jako příloha e-mailu, oběť ho ani nemusela otevřít. Jinou možností útoku byla kontrola při stahování souboru z webu (lze nastavit automatické stahování už při zobrazení stránky). Vložený kód měl přitom nejvyšší oprávnění, stejně jako samotné bezpečnostní řešení. Ormady uvedl, že jde o nejhorší případ možného vzdáleného spuštění kódu ve Windows z poslední doby. Microsoft proto vydal opravu jako mimořádnou, tentokrát velmi rychle po reportu chyby.
Další chyby a záplaty
Adobe vydala 9. 5. současně s Microsoftem opravy pro přehrávač Flash Player (7 záplat, v porovnání s jinými měsíci relativně málo) a tentokrát rovněž pro nástroj Experience Manager (cca systém CMS, chyba je v součásti Forms). Chyby v přehrávači reportovali především Jihui Lu z Tencent KeenLab a tým Google Project Zero. Opravená verze Flash Playeru má číslo 25.0.0.171, kritické zranitelnosti se vztahovaly ke všem operačním systémům i plug-inům pro webové prohlížeče.
V softwaru pro správu monitorů od firmy Portrait Displays, který užívá většina světových dodavatelů (podle SecurityWeek: Sony, HP, Acer, Fujitsu, Philips, Dell, Benq, Lenovo, Sharp a Toshiba), byla objevena bezpečnostní chyba umožňující spuštění kódu. Zranitelnost má nicméně pouze povahu eskalace oprávnění, nepřihlášený vzdálený útočník by tímto způsobem přístup k systému získat neměl. Záplata je již k dispozici. Příslušná aplikace se někdy klasifikuje jako bloatware, tj. dodávána je spíše s levnějšími systémy.
Nalezena byla chyba CVE-2017-5689 v technologii Intelu pro správu počítače AMT (Active Management Technology); dále se uvádí, že podle dodatečných zjištění podobný problém postihuje i Intel Standard Manageability (ISM) a Intel Small Business Technology (SBT) verze 6 až 11.6. Zranitelnost umožňuje útočníkovi získat za určitých podmínek vzdálený přístup k systému (bez ohledu na OS). Vlastní záplatu (aktualizaci firmwaru) vydal Intel, z výrobců zařízení již vydání opravy oznámil např. Dell; situaci lze řešit i zákazem konkrétních služeb apod. změnami nastavení.
Intel uvolnil i nástroj, který otestuje systém a sdělí uživateli, zda jeho konfigurace je zranitelná. Samotná chyba podle všeho pochází už z roku 2010. Problém objevil Maksim Malyutin z firmy Embedi. The Hacker News upozorňuje, že problém lze vzdáleně zneužít i u vypnutého počítače. Podle The Register zase výzkumníci Positive Technology převedli, jak tento problém zneužít dokonce k ovládnutí bankomatu a neoprávněnému výběru peněz, i když postup vyžaduje splnění řady dodatečných podmínek a v praxi ho podle všeho nikdo zatím neprovedl.
Cisco vydalo opravu pro zranitelnosti v mnoha svých přepínačích (CVE-2017-3881). Má se jednat o jednu z chyb v „seznamu CIA“, i když není jasné, zda se někdo už pokoušel o zneužití. To je možné přes protokol Telnet pomocí zaslání příkazu CMP (cluster management protocol). Seznam dotčených zařízení je velmi dlouhý, nicméně kromě instalace opravy stačí na zařízení prostě i zakázat Telnet, správa zařízení přes SSH zranitelná tímto způsobem zřejmě není.
