Microsoft устранила критическую уязвимость в стеке HTTP-протоколов Windows, известном как HTTP.sys. Эксплуатация этой бреши неизбежна и может иметь разрушительные последствия.

MS15-034 — один из четырех критических бюллетеней, выпущенных разработчиком в минувший вторник. Эксперты предупреждают, что эксплойт данной уязвимости весьма прост и позволяет удаленно выполнить код и повысить привилегии на скомпрометированной машине.

«Следовательно, в том случае, когда злоумышленник знает, как создать «особым образом составленный HTTP-запрос», он просто начнет атаковать все сервера подряд, пока не найдет пригодное для эксплойта устройство, — поясняет Эндрю Стормз (Andrew Storms), вице-президент по безопасности продукции New Context. — В этой связи беспокоит в первую очередь тот факт, что временный фикс от Microsoft предоставляет весьма ограниченные возможности и плохо держит защиту, пока IT-админы тестируют и устанавливают патч во вверенных им сетях. Второй проблемой является широкое распространение Windows-серверов. Хотя Linux-собратья и превосходят их по численности, корпоративные пользователи отдают предпочтение серверам, работающим под Windows, и во многих случаях хранят на них большие ценности».

В качестве временной меры Microsoft рекомендует отключить кэширование на уровне ядра IIS, но вместе с тем отмечает, что такое изменение повлечет снижение производительности. По словам разработчика, данная уязвимость пока не используется itw, но обнаружена в Windows 7, Windows Server 2008 R2, Windows 8/8.1, Windows Server 2012/2012 R2, а также в Server Core — сокращенном варианте реализации Windows Server 2008.

«Атакующий может использовать эту уязвимость, чтобы выполнить код на IIS-сервере с правами пользователя, — предостерегает технический директор Qualys Вольфганг Кандек (Wolfgang Kandek). — Это откроет возможность для повышения привилегий путем эксплойта другой локальной уязвимости; права администратора позволят злоумышленнику установить постоянный эксплойт-код. Такая атака проста в исполнении, поэтому ее необходимо быстро пресечь. Если нет возможности сразу установить этот патч, воспользуйтесь хотя бы временным предложением Microsoft и отключите в IIS кэширование. Если вы оператор Windows-серверов, данную уязвимость следует пропатчить в первую очередь».

Исследователь из Tripwire Крэг Янг (Craig Young) полагает, что первопричиной данного дефекта является некорректная реализация кэширования на уровне ядра IIS. «Не исключено, что itw-эксплойт для данного бага появится в ближайшее время, — заявил эксперт. — Примечательно, что MS15-034 не затрагивает IIS, работающие на устаревшей платформе Windows Server 2003. Видимо, этот баг был привнесен в более поздних релизах IIS».

Администраторам Windows также рекомендуется как можно скорее установить патч для публично раскрытой критической бреши в Office. Бюллетень MS15-033 устраняет три уязвимости, которые для Word 2007 и Office 2010 расцениваются как критические, а для Office 2013, SharePoint Server 2013 и Office Web Apps Server 2013 — как умеренно опасные. Один из этих багов, CVE-2015-1641, уже предан гласности и чреват удаленным выполнением кода через порчу памяти; Microsoft известны несколько попыток его эксплуатации. Еще две закрываемые уязвимости в Office относятся к типу use-after-free и также позволяют удаленному злоумышленнику выполнить произвольный код. MS15-033 исправляет также XSS-ошибку в Microsoft Outlook App для Mac OS.

Предмет бюллетеня MS15-032 — накопительное обновление для Internet Explorer; оно устраняет 10 брешей, в том числе те, которые были приватно представлены на мартовском конкурсе Pwn2Own. Девять ныне закрытых уязвимостей в IE связаны с нарушением целостности памяти и позволяют удаленно выполнить код, десятая при эксплойте открывает возможность для обхода ASLR-защиты.

Последний критический бюллетень, MS15-035, исправляет ошибки в обработке Windows некоторых объектов векторной графики и растровых изображений, выполненных в EMF-формате. «Данная уязвимость позволяет атакующему удаленно исполнить код, если ему удастся убедить пользователя перейти в браузере на специально созданный сайт и открыть особый файл или рабочую директорию, содержащую специально созданный EMF-файл, — поясняют разработчики. — В любом случае атакующий не сможет заставить пользователя совершить эти действия, ему придется прибегнуть к хитрости, обычно это делается с помощью письма или IM-сообщения».

Остальным семи бюллетеням от Microsoft присвоен статус «важный»:

  • MS15-036 закрывает бреши повышения привилегий в SharePoint Server;
  • MS15-037 устраняет возможность повышения привилегий в Windows Task Scheduler;
  • MS15-038 патчит повышение привилегий в Windows NTCreate Transaction Manager и MS-DOS;
  • MS15-039 устраняет обход защиты в XML Core Services;
  • MS15-040 исправляет ошибку раскрытия информации в Active Directory Federation Services;
  • MS15-041 патчит такую же брешь в .NET Framework;
  • MS15-042 устраняет возможность отказа в обслуживании в Windows Hyper-V.

Adobe патчит Flash, ColdFusion, Flex

Компания Adobe ознаменовала «вторник патчей» выпуском обновлений для Flash Player, ColdFusion и Flex. Апдейтом Flash разработчик закрыл уязвимость CVE-2015-3043 (удаленное выполнение кода), которая, по его данным, уже эксплуатируется в дикой природе. Совокупно во Flash было исправлено 22 ошибки, чреватые нарушением безопасности.

Новые патчи актуальны для Adobe Flash Player 17.0.0.134 и ниже, Adobe Flash Player 13.0.0.277 и ниже, а также для Flash до версии 11.2.202.451 включительно.

В ColdFusion была устранена лишь одна уязвимость, CVE-2015-0345, связанная с некорректностью проверки входных данных. Активных эксплойтов для нее пока не замечено.

В утилите ASdoc, входящей в состав Flex-фреймворка, разработчик пропатчил уязвимость CVE-2015-1773, привнесенную ошибкой выхода JavaScript. Данная брешь актуальна для Flex 4.6 и более ранних версий. «Эта уязвимость открывает возможность для проведения атак по методу отраженного межсайтового скриптинга», — предостерегает Adobe в соответствующем бюллетене.

Категории: Главное, Уязвимости