Internet Explorer wiecznie żywy. Microsoft wydaje awaryjną łatkę bezpieczeństwa

Maciej Olanicki, 24.09.2019 r.

Mogłoby się wydawać, że model comiesięcznych biuletynów bezpieczeństwa nie koresponduje już ze współczesną dynamiką cyberzagrożeń. Mimo to Microsoft wciąż aktualizacje swoje oprogramowanie co 4 tygodnie, choć zdarzają się wyjątki. Z takim właśnie mamy do czynienia – wszystkich użytkowników Windowsa zachęca się do aktualizacji systemu, w rezultacie której ich maszyny zostaną zabezpieczone przed podatnością CVE-2019-1367.

Po co łatać Internet Explorera?

Nieczęsto zdarza się, by Microsoft decydował się na odstąpienie od przyjętego harmonogramu wydawania aktualizacji bezpieczeństwa. Wyjątku nie zrobił nawet wówczas, gdy SandboxEscaper opublikowała w kilka dni kolejne exploity niezałatanych podatności między innymi w windowsowym harmonogramie zadań i usłudze zgaszania błędów. Miało to miejsce tuż po publikacji majowych biuletynów, przez co użytkownicy Windowsa czekali na łatkę aż do końcówki czerwca.

Co zatem skłoniło korporację do zrobienia wyjątku dla podatności CVE-2019-1367, którą załatano poza przyjętym cyklem biuletynów? Decyzja może dziwić, jest to bowiem podatność w przeglądarce Internet Explorer (wersje od 9 do 11), z której korzysta dziś niewielu. Tak przynajmniej zwykło się myśleć, przyjmując optykę zawężoną wyłącznie do rynku konsumenckiego. Niemniej dla wielu korporacji IE to wciąż podstawowe narzędzie pracy, umożliwiające korzystanie z wewnętrznych aplikacji wykorzystujących na przykład kontrolki ActiveX. Szerzej na ten temat pisałem w artykule „Internet Explorer to wciąż najważniejsza przeglądarka internetowa Microsoftu”.

Choć może się nam wydawać, że Internet Explorer to archaizm i podatności w nim mają marginalne znaczenie, to w praktyce łatka na CVE-2019-1367 miała absolutnie priorytetowe znaczenie. Zabezpiecza bowiem kluczowych korporacyjnych klientów Microsoftu, których bezpieczeństwo odgrywa znacznie większą rolę niż bezpieczeństwo komputerów osobistych na rynku konsumenckim. Microsoft po niezwykle udanej transpozycji na dostawcę usług enterprise jasno kreśli swoje priorytety, co znajduje odzwierciedlenie w rekordowych wynikach finansowych.

CVE-2019-1367

Wróćmy jednak do samej podatności. Jak wspomnieliśmy, tkwi ona w Internet Explorerze 9 i nowszych wersjach, podatne są zatem systemy Windows 7, 8.1, 10 oraz Windows Server 2008, 2012, 2016 i 2019 Zagrożenie z niej wynikające oceniono jako krytyczne, zaś pośpiech Microsoftu (poza wspomnianym strategicznym znaczeniem IE) wynika przede wszystkim z tego, że luka jest aktywnie wykorzystywane przez atakujących. Jak czytamy na stronach MSRC, do jej wykorzystania wystarczy wizyta na odpowiednio przygotowanej stronie:

W sposobie, w jaki silnik przetwarzania skryptów Internet Explorera obsługuje obiekty w pamięci, tkwi podatność pozwalająca na zdalne wykonanie kodu. Może ona doprowadzić do takiego uszkodzenia pamięci, że atakujący będzie mógł wykonać dowolny kod w kontekście bieżącego użytkownika. Atakujący, który z powodzeniem wykorzysta podatność, będzie miał te same uprawnienia, co zalogowany użytkownik. Jeśli zalogowany użytkownik ma uprawnienia administratora, to atakujący, który z powodzeniem wykorzysta podatność, przejmie kontrolę nad systemem. Atakujący może następnie instalować programy, przeglądać, zmieniać i usuwać dane lub tworzyć nowe konta użytkownika z pełnymi uprawnieniami.

Wszystkich użytkowników, a przede wszystkim administratorów w firmach, gdzie wciąż na dużą skalę wykorzystywany jest Internet Explorer, Microsoft zachęca do natychmiastowej instalacji aktualizacji oznaczonej jako KB4522016. Microsoft zapewne nie wykazywałby takiego pośpiechu, gdyby nie skala, na jaką w tej chwili wykorzystywana jest podatność. Zwłaszcza że wystarczy prosty phishing skłaniający użytkowników do wizyty na odpowiednio spreparowanej stronie (expolit nie został upubliczniony), by możliwe było RCE.