Microsoft i Adobe publikują łaty, aby powstrzymać ataki na swoje produkty.

Wtorkowa tradycja

Jak zawsze w drugi wtorek miesiąca tak i w lutym Microsoft i inni producenci oprogramowania udostępnili dziesiątki aktualizacji, aby naprawić luki w zabezpieczeniach. Na szczycie listy w tym miesiącu znajdują się dwa zero day’e, na które jest dostępny aktywny exploit, oraz krytyczne luki sieciowe, które pozwalają atakującym na zdalne wykonanie złośliwego kodu lub zamknięcie komputerów.

Adobe Reader, Windows 10 i Windows Server pod obstrzałem

Łatka do tego popularnego programu naprawia błąd związany z wykonywaniem kodu. CVE-2021-21017 to krytyczna luka, polegająca na przepełnieniu bufora. Po otrzymaniu informacji od anonimowego źródła firma Adobe ostrzegła, że wada została już aktywnie wykorzystana w ograniczonych atakach na użytkowników programu Reader z systemem Windows.

Firma Adobe nie podała dodatkowych szczegółów dotyczących luki ani ataków z jej wykorzystaniem. Zazwyczaj jednak ataki podobne do tego polegały na użyciu specjalnie spreparowanych dokumentów wysłanych pocztą e-mail lub opublikowanych w Internecie, aby przepełnić bufor i uruchomić kod instalujący złośliwe oprogramowanie na urządzeniu, na którym działa aplikacja. Użycie przez Adobe słowa „ograniczona” prawdopodobnie oznacza, że hakerzy wąsko koncentrują swoje ataki na niewielkiej liczbie celów o dużej wartości.

W międzyczasie firma Microsoft wydała poprawkę dotyczącą luki w systemach Windows 10 i Windows Server 2019, która również jest aktywnie wykorzystywana. Luka, zindeksowana jako CVE-2021-1732, umożliwia atakującym uruchomienie złośliwego kodu z podwyższonymi uprawnieniami systemu.

Łańcuch exploitów?

Hakerzy używają takich exploitów, nazywanych elevation-of-provilege exploits, do podniesienia uprawnień ale nie samodzielnie. Korzystają z nich razem z „właściwym” exploitem, którego celem jest osobna luka w zabezpieczeniach. Żeby exploit wykorzystujący osobną lukę działał, konieczne jest jego wykonanie z odpowiednimi uprawnieniami, na przykład administratora. I o to dba właśnie elevation-of-provilege exploits, który zapewnia, że kod działa z uprawnieniami, które są wystarczająco wysokie, aby uzyskać dostęp do newralgicznych części systemu operacyjnego.

Sprawdź oferty pracy na TeamQuest

We wpisie na blogu opublikowanym po załataniu luki, badacze DBAPPSecurity, która odkryła sposób działania hakerów, powiedzieli, że grupa atakujących o nazwie Bitter wykorzystuje lukę w „bardzo ograniczonej liczbie ataków” na cele w Chinach. Atakujący mogą go użyć do ucieczki z sandboksa, gdy cele używają przeglądarki Internet Explorer lub Adobe Readera.

Możliwości oferowane przez tą lukę są duże a exploit wyrafinowany. Wykorzystanie tego zero day’a odzwierciedla silne możliwości organizacji przestępczych. Mogą oni rekrutować nowych zdolnych członków i w ten sposób wykrywać luki lub kupować informacje o zero day’ach w Internecie.

Jednoczesne łatanie CVE-2021-21017 i CVE-2021-1732, ich powiązania z systemem Windows oraz zdolność CVE-2021-1732 do pokonania ważnej zabezpieczeń czytnika Adobe, potwierdzają, że ataki polegały na łączeniu exploitów dla dwóch różnych luk. Jednak ani Microsoft, ani Adobe nie przedstawiły szczegółów potwierdzających te spekulacje.

Biuletyn bezpieczeństwa

W swoim najnowszym biuletynie Microsoft zdecydowanie zachęca też użytkowników do załatania trzech luk w komponencie Windows TCP / IP, który jest odpowiedzialny za wysyłanie i odbieranie ruchu internetowego. CVE-2021-24074 i CVE-2021-24094 są oceniane jako krytyczne i pozwalają atakującym na wysyłanie zmanipulowanych pakietów sieciowych, które wykonują kod na zdalnej maszynie. Obie luki umożliwiają również hakerom przeprowadzanie ataków typu denial of service - podobnie jak trzecia luka w zabezpieczeniach protokołu TCP / IP, śledzona jako CVE-2021-24086.

W biuletynie stwierdzono, że tworzenie niezawodnych exploitów służących do wykonywania kodu będzie trudne, ale ataki DoS są już łatwiejsze a zatem luki mogą zostać w ten sposób wykorzystane w niedalekiej przyszłości. Wszystkie trzy luki wynikają z luki w implementacji protokołu TCP / IP firmy Microsoft i dotyczą wszystkich obsługiwanych wersji systemu Windows. Nie ma to wpływu na implementacje pochodzące od firm innych niż Microsoft.

Oby patche były odpowiedniej jakości.