Se apropie. Sunt anuntate 13 buletine – 26 de vulnerabilitati, multe cu remote code execution. Pazea!

http://blogs.technet.com/msrc/archive/2010/02/04/february-2010-bulletin-release-advance-notification.aspx

Si a venit “Patch Tuesday” pentru luna Decembrie: Microsoft a publicat un numar de 6 buletine de securitate in care sunt detaliate metodele de rezolvare pentru 12 vulnerabilitati. Una dintre vulnerabilitati a fost deja exploatata pentru a compromite sistemele, folosind un atac de tip “zero-day” indreptat impotriva Internet Explorer-ului.

In ordinea criticalitatii:

MS09-072

Acest update de securitate rezolva cinci vulnerabilitati din Internet Explorer; aceste vulnerabilitati pot fi exploatate de la distanta daca utilizatorul acceseaza folosind Internet Explorer o pagina web special conceputa. Un atacator poate exploata aceste vulnerabilitati si poate obtine aceleasi drepturi pe sistem cu cele ale utilizatorului local; este evident ca daca utilizatorul local nu are drepturi de administrator impactul poate fi mult mai redus.

Update-ul este considerat critic pentru toate versiunile de Internet Explorer: IE 5.01, 6, 6 SP1, IE 7 (cu exceptia situatiei in care ruleaza pe Windows Server 2003 si 2008) si IE 8 (de asemeni cu exceptia situatiei in care ruleaza pe Windows Server 2003, 2008 si 2008 R2). Pentru IE 7 si IE 8 care ruleaza pe Windows Server 2003, 2008, 2008 R2, update-ul este considerat important dar nu critic.

Sunt afectate toate versiunile de Windows pe care este instalat Internet Explorer, bineinteles cu exceptia Server Core.

MS09-071

Doua vulnerabilitati in serviciul IAS (Internet Authentication Service – MS RADIUS) pot fi exploatate de la distanta. Vulnerabilitatile afecteaza serviciul IAS numai daca se folosesc protocoalele de autentificare PEAP si MS-CHAP v2.

Acest update este critic pentru Windows Server 2008 32 bit si x64 SP2, pentru Windows 2000 SP4, Windows Server 2003 toate versiunile si SP-urile este important, iar pentru Windows XP si Windows Vista este moderat, cu exceptia Vista SP2 in care caz este important.

Nu sunt afectate Windows 7 si Windows Server 2008 R2.

MS09-074

Aceasta vulnerabilitate poate fi exploatata de la distanta daca un utilizator primeste si deschide un fisier tip Project (.mpp) special modificat.

Update-ul este considerat critic pentru Microsoft Project 2000 SR1, important pentru Microsoft Project 2002 SP1 si Microsoft Office Project 2003 SP3.

MS09-070

Acest update rezolva doua vulnerabilitati ce pot fi explotatate de un atacator de la distanta prin intermediul unei cereri special construita catre in server web ce are activat serviciul ADFS. Atacatorul trebuie sa fie user autentificat pentru a exploata oricare dintre vulnerabilitati.

Update-ul este important pentru Windows Server 2003, Windows Server 2003 x64 Edition, Windows Server 2008 si Windows Server 2008 x64 Edition.

MS09-069

Vulnerabiltatea rezolvata de acest update poate produce DOS (denial of service) daca un atacator autentificat trimite prin intermediul IPsec un pachet alterat de tip ISAKMP catre serviciul LSASS (Local Security Authority Subsystem Service) de pe sistemul afectat.

Update-ul este considerat important pentru Windows 2000, XP si Server 2003.

MS09-073

Aceasta vulnerabilitate poate fi exploatata de la distanta daca un fisier special alterat, de tip Word 97, este deschis cu WordPad sau Microsoft Office Word. Atacatorul poate obtine aceleasi drepturi pe sistem cu cele ale utilizatorului local; este evident ca daca utilizatorul local nu are drepturi de administrator impactul poate fi mult mai redus.

Vulnerabilitatea este considerata importanta pentru WordPad pe Windows 2000, Windows XP si Windows Server 2003; de asemeni pentru Microsoft Office Word 2002 si Microsoft Office Word 2003, Microsoft Office Converter Pack si Microsoft Works 8.5.

Adobe a publicat un buletin de securitate referitor la un numar de vulnerabilitati considerate critice in Adobe Flash Player si Adobe Air. Se recomanda upgrade-ul la Adobe Flash Player 10.0.42.34 si Adobe Air 1.5.3. Toate vulnerabilitatile pot fi exploatate de la distanta si sunt considerate critice. Sunt afectate toate platformele – Windows, Linux si Mac.

Postul asta vine cam tarziu, insa mai bine mai tarziu decat niciodata. O sa incercam ca in viitor sa avem asa ceva pentru fiecare serie de update-uri de securitate scoase de Microsoft.

Primul din lista este MS09-063 care datorita unei vulnerabilitati in WSDAPI afecteaza Vista si 2008 Server (inclusiv Core). Se poate folosi Windows Firewall pentru a inchide porturile pe care asculta acest serviciu.

Urmatorul se refera numai la Windows 2000 server pentru ca afecteaza serviciul License Logging – credeam ca toata luma a oprit acest serviciu pana acum.

Si acum vine cireasa de pe tort, MS09-065, in care sunt mai multe probleme dar cea mai mare e ca datorita unor elemente din kernel care proceseaza fonturile, un atacator ar putea face remote remote code execution pe masina “victimei”. Trebuie totusi sa redirectioneze victima catre o pagina web in care are continut special facut pentru acest scenariu (e doar un mod, exista si altele). Aici putem comenta putin severity rating-ul pentru servere: daca nu browsezi de pe server, sansele sa fii afectat sunt minime. Windows 7 si 2008 R2 nu sunt afectate. Atentie ca exista probleme cu acest update. Check here: http://support.microsoft.com/kb/969947

PS: 2008 Server core e afectat si el

Urmatorul se refera strict la Active Directory, ADAM sau AD LDS, facand exceptie AD & AD LDS de pe Windows 2008 R2. Sfatul meu e sa testati update-ul si sa-l instalati.

Ultimele doua se refera strict la Office si sunt importante pe partea de client. Macuserii sunt afectati si ei. Pe servere, daca nu rulezi produsele descrise in buletin, nu esti afectat.

Tacamul complet il gasiti aici: http://www.microsoft.com/technet/security/bulletin/ms09-nov.mspx

Si acum cate putin din teoria conspiratiei: mi se pare suspect ca imediat dupa lansarea Windows 7 apar update-uri care sa demonstreze ca 7 & R2 sunt mult mai secure. Pai produsele astea erau in development de mult timp si au fost gata din vara. Daca producatorul a identificat problemele si le-a corectat in noile versiuni, de ce nu a scos patchurile in acel moment? La fel si cu BSOD-ul din SMBv2. E oare o strategie de marketing pentru a impinge clientii catre un anumit produs? Nu stiu, e doar un gand care mi-a venit acum in minte.

Insa un lucru e clar – http://isc.sans.org/diary.html?storyid=7573. Povestea de aici e pe bune si afecteaza numai Windows 7 si 2008 R2.  Indiferent ca dezactivati SMBv2 sau nu.