Zawsze miałem problem z rozczytaniem o co chodzi w biuletynach, wiem że nie tylko ja. Zawsze mnie zastanawiało, co tak naprawdę jest łatane i jak to działa. Postanowiłem wyjść co niektórym na przeciw i opisać “po polsku” biuletyny zabezpieczeń. Myślę, że dzięki temu więcej ludzi zda sobie sprawę z tego, że żadne system nie jest idealny i każdy trzeba łatać.
Co w tym miesiącu Microsoft zaoferował nam? Trzy biuletyny, w tym jeden z krytycznym wskaźnikiem ważności. Oto krótki przegląd:
- Identyfikator biuletynu: MS09-006
- Tytuł biuletynu: Vulnerabilities in Windows Kernel Could Allow Remote Code Execution (958690)
- Wskaźnik ważności: Krytyczny
- Rodzaj usterki: Zdalne wykonanie kodu
- Wymóg restartu: Wymagane
- Zagrożone oprogramowanie: Microsoft Windows
Biuletyn ten zalecany jest dla wszystkich komputerów z systemami Microsoft Windows. Dzięki luce w kernelu Windowsa (a dokładniej w komponencie GDI – Graphics Device Interface), możliwe jest zdalne wykonanie kodu, przez co atakujący może przejąć kontrolę nad komputerem.
Jak atakujący może przejąć kontrolę?
Przy użyciu spreparowanego pliku WMF bądź EMF – czyli obrazów graficznych (więcej na ich temat http://support.microsoft.com/kb/320314). Wystarczy otworzyć zainfekowany plik, bądź wejść na stronę na której ten plik się znajduje i jesteśmy zagrożeni.
Co atakujący może zrobić?
Instalować programy, przeglądać, zmieniać usuwać dane, tworzyć konta z pełnymi uprawnieniami.
Dodam tylko, że zagrożone są także systemy Windows 7 Beta oraz Windows Server 2008 R2.
Security Update for Windows 7 Beta (KB958690)
Security Update for Windows Server 2008 R2 Beta x64 Edition (KB958690)
Kolejne dwa oznaczone są wskaźnikiem ważności: ważny, co nie oznacza, że trzeba się nimi mniej przejmować
- Identyfikator biuletynu: MS09-007
- Tytuł biuletynu: Vulnerability in SChannel Could Allow Spoofing (960225)
- Wskaźnik ważności: Ważny
- Rodzaj usterki: Fałszowanie
- Wymóg restartu: Wymagane
- Zagrożone oprogramowanie: Microsoft Windows
Luka została znaleziona w SChannel, atakujący może zalogować się na serwer zabezpieczony przez SSL. Zagrożeniu są użytkownicy, którzy mają zamapowane certyfikaty do lokalnych kont systemu (problem nie dotyczy Active Directory). Więcej informacji o mapowaniu certyfikatów znajdziecie: http://technet.microsoft.com/pl-pl/library/cc779393.aspx
Jak atakujący może przejąć kontrolę?
Do tego może wystarczyć klucz publiczny. Przy odpowiedniej konfiguracji serwera, może on zostać oszukany, tak że atakujący może zalogować się tylko przy użyciu klucza publicznego – zamiast prywatnego.
Co atakujący może zrobić?
Może zalogować się na serwer, gdzie wymagany jest klucz prywatny tylko przy pomocy klucza publicznego.
Więcej informacji można znaleźć na blogu: http://blogs.technet.com/srd/archive/2009/03/10/assessing-the-risk-of-the-schannel-dll-vulnerability-ms09-007.aspx
Ostatni biuletyn dotyczy głównie serwerów:
- Identyfikator biuletynu: MS09-008
- Tytuł biuletynu: Vulnerabilities in DNS and WINS Server Could Allow Spoofing (962238)
- Wskaźnik ważności: Ważny
- Rodzaj usterki: Fałszowanie
- Wymóg restartu: Wymagane
- Zagrożone oprogramowanie: Microsoft Windows
Dziury zostały znalezione w serwerach DNS i WINS, umożliwiają zdalnie przekierować ruch sieciowy w inne miejsce.
Jak atakujący może przejąć kontrolę?
Atakujący wysyła spreparowane zapytania do serwera DNS, bądź WINS, przez co może przekazać fałszywe dane do serwerów.
Co atakujący może zrobić?
Głównie, to przekierować ruch sieciowe w inne miejsce w Internecie.
Mam nadzieję, że udało mi się przybliżyć tematykę marcowych biuletynów zabezpieczeń. Na zakończenie dodam jeszcze link, gdzie można pobrać obraz ISO wszystkich łatek opisanych wyżej dla wszystkich systemów.
March 2009 Security Release ISO Image
