Microsoft поправи страшен недостатък на USB, 20 грешки, в марш патч вторник

Microsoft пусна седем бюлетина за сигурност, поправящи над 20 уязвимости за March Patch Вторник. Засегнатите приложения и компоненти включват Internet Explorer, Silverlight, Visio Viewer, Sharepoint, OneNote, Office for Mac и драйвер на ядрото във всички версии на Windows.

От бюлетините четири бяха оценени като критични и три като важни, според препоръките за сигурност на Microsoft, публикувани във вторник. Кумулативният патч на Internet Explorer, който има най-висок приоритет, се прилага за всички поддържани версии на Internet Explorer, от версии 6 до 10.

„Почти всички, работещи под Windows и много магазини на Microsoft, днес трябва усърдно да кръпчат системите“, пише в SecureList Kurt Baumgartner, старши изследовател по сигурността в Kaspersky Lab.

Съветът за IE не се прилага за потребители, които са изтеглили и инсталирали IE 10 за Windows 7, пуснат само преди няколко седмици, тъй като Microsoft вече е включил тези корекции. Въпреки че в момента никой от тях не е насочен в природата, IE е честа мишена и трябва да бъде закърпена незабавно.

„От деветте адресирани CVEs седем от тях засягат всяка поддържана версия на Internet Explorer, така че нападателите имат много възможности за избор, когато избират уязвимост, която да се експлоатира в близко бъдеще“, заяви пред SecurityWatch Марк Майфрет, технически директор на BeyondTrust.

Нито една от уязвимостите, които бяха разкрити като част от конкурса Pwn2Own на CanSecWest миналата седмица, не са включени в този месец на кръпка, но е сигурен залог, че те ще дойдат скоро.

Призракът на Stuxnet

Уязвимостта на драйвера на режима на ядрото, запечатана през този месец, може да изглежда подобна на грешките, запечатани през февруари и януари, но е много по-страшен недостатък. Недостатъкът на драйвера на USB устройството може да бъде предизвикан само от акта на някой, който вмъква USB устройство в компютъра. Няма значение дали компютърът е заключен или дали потребителят е излязъл; компютърът просто трябва да е включен.

Microsoft определи този бюлетин само като "важен", а не "критичен", тъй като атаката изисква физическият достъп на нападателя до компютъра. Няма отдалечен вектор, което означава, че той ще бъде "експлоатиран само при много ограничени и целенасочени атаки", каза Майфрет.

Други експерти обаче бяха обезпокоени. "Само си представете какво правилно мотивиран служител на портиер може да направи с тази уязвимост само за една вечер", каза Андрю Стормс, директор на операциите по сигурността в nCircle. Обществените павилиони и центровете за локално местоположение, които нямат заключени шкафове, са изложени на риск. "Потенциалът за вреда от тази уязвимост не може да бъде прекалено заявен", каза Storms.

Само за да даде представа колко сериозна е тази уязвимост, Stuxnet се възползва от функцията „автоматично стартиране“, която позволява на Windows автоматично да изпълнява код на USB устройство без въвеждане на потребител. Въпреки че автоматичното стартиране оттогава е деактивирано, най-новата USB уязвимост започва преди автоматичното пускане дори да бъде достъпна, според Рос Барет на Rapid7.

"Виждате този метод за атака във филми от години и сега се показва в предприятия по целия свят", каза Storms.

Silverlight, Office, SharePoint, Oh My!

Един от критичните бюлетини отстрани проблемите в Microsoft Silverlight, който беше „интересен, тъй като не знаех, че някой в ​​света действително е въвел Silverlight“, заяви Barrett на Rapid7 пред SecurityWatch . За тези, които имат Silverlight, това е сериозен проблем, "наравно с Flash уязвимост", каза Барет. Грешката засяга всички версии на Silverlight, но пластирът се отнася само за Silverlight 5. Потребителите трябва да актуализират Silverlight преди да прилагат пластира.

Корекцията за Visio 2010 Viewer е оценена като критична, защото позволява отдалечено изпълнение на код. Възможен вектор за атака излъчва потребителя да чете неправилно оформен документ Visio, изпратен по имейл. Въпреки това, уязвимостта на Visio изисква инсталирането на Visio Viewer ActiveX контролер, каза Барет. Администраторите могат да деактивират тази функция, докато пластирът не бъде приложен напълно като смекчаваща стъпка, каза той. Недостатъкът на SharePoint позволява на нападателите да инжектират злонамерен код в запазени заявки, използвайки скрипт на кръстосан сайт. Тази заявка, когато се изпълни, може да изпълни кода за атака с администраторски права.

И OneNote и Outlook за Mac са имали патч този месец и са оценени като важни. Атакистът може да измами потребителя да отвори зловреден файл или папка OneNote, което ще задейства грешката да заобиколи паролата и механизмите за защита на криптирането, за да прочете потребителските файлове и папки OneNote.