Security Week 12: критическая уязвимость в протоколе SMB

dcybwru-ni82f7nyxjn4ofyenb0.pngКомпания Microsoft 10 марта выкатила очередной ежемесячный набор апдейтов, закрывающий 115 уязвимостей в ее продуктах — от Windows 10 до облачного сервиса Azure. А 11 марта пришлось выпустить внеочередной патч для критической проблемы в реализации протокола SMB в Windows 10 (новость, бюллетень Microsoft, описание патча, обсуждение на Хабре).

Исходное предупреждение об обнаружении уязвимости было распространено за день до выпуска патча, причем по довольно нестандартной причине. Статьи с описанием уязвимости были по ошибке опубликованы компаниями Cisco Talos и Fortinet, что, видимо, стало результатом взаимонепонимания между ними и Microsoft в процессе совместного исследования. Публикации были удалены, однако в качестве меры предосторожности компания Microsoft распространила рекомендации по защите SMB-серверов. Для клиентов до выпуска патча временного решения не существовало, что представляло определенную опасность, так как дыру в Windows 10 (и в двух модификациях Windows Server) можно эксплуатировать для выполнения произвольного кода.
Уязвимости подвержены системы, использующие версию протокола SMB 3.1.1, — это релизы Windows 10 1903 и 1909, а также аналогичные версии Windows Server, распространяемые через особый канал с регулярными апдейтами один раз в полгода. Обычные инсталляции Windows Server, равно как и более ранние пользовательские версии Windows, уязвимости не подвержены — очевидно, она была внесена в код SMB для обмена файлами недавно.

Базовое описание уязвимости опубликовано компанией Duo Security по мотивам тех самых удаленных материалов Fortinet и Cisco Talos. Речь идет об ошибке переполнения буфера, ведущего к выполнению произвольного кода на непропатченной системе. Атака на SMB-сервер может быть проведена с любого клиента, имеющего доступ; для атаки на клиентское ПО нужно реализовать сценарий подключения к модифицированному серверу. В этом кратком описании содержится намек на то, что уязвимость может быть «wormable». То есть использована атакующим для последовательного заражения всех подверженных систем, например внутри корпоративного периметра.

Отсюда и рекомендации Microsoft: ограничение доступа по протоколу SMB, закрытие портов для доступа извне. В отдельном документе даются настройки для блокировки связанных с общим доступом к файлам портов при подключении компьютера к недоверенной сети. Таким образом можно снизить риск атаки на компьютер сотрудника в распространенном сценарии удаленной работы из дома или при использовании публичного Wi-Fi. Еще одна, изначальная рекомендация для защиты файлового сервера — отключение сжатия данных — говорит о возможном источнике проблемы.

Что еще произошло

В новых версиях браузера Firefox 73 и ESR 68.6 закрыты пять критических уязвимостей и одна смешная. Уязвимость CVE-2020–6812 «может привести к раскрытию реального имени пользователя при использовании на устройствах Apple». Точнее, если пользователь iPhone имеет также наушники AirPods и разрешает в браузере Firefox определенным сайтам доступ к камере и микрофону. По умолчанию беспроводные наушники в iOS называются по реальному имени пользователя (например, Jane Doe’s AirPods). Если дать какому-то сайту доступ к камере и микрофону, название наушников передается как имя устройства. Соответственно, владелец сайта может с высокой вероятностью получить реальное имя пользователя. Проблема решена при помощи принудительного переименования аудиоустройств вида ХХХХ AirPods просто в AirPods при обработке запросов к микрофону.

Thanks a 100.000 times to Google and the @GoogleVRP team! :) Not only for the (amazing) GCP prize, but for all the fun events and opportunities that you provide. Hope to see you all again soon.https://t.co/NtYTnEntjA

— wtm@offensi.com (@wtm_offensi) March 11, 2020


Компания Google выплатила больше 100 тысяч долларов исследователю, обнаружившему способ получения прав суперпользователя в консоли Google Cloud Shell для разработчиков.

Эксперты «Лаборатории Касперского» опубликовали детальный разбор трояна для устройств на базе Android, крадущего куки из браузера и приложения Facebook. Еще одно исследование мобильных угроз «Лаборатории Касперского» посвящено представителю программ типа stalkerware, используемых для слежки. Помимо контроля за перепиской во всех популярных мессенджерах это ПО также может быть использовано для кражи кода разблокировки устройства.

В корпоративном чате Slack закрыта серьезная уязвимость, обеспечивающая возможность кражи аккаунтов.
Опубликован интересный рассказ о реверс-инжиниринге системы Driver Assistance, используемой в автомобилях Audi. Уязвимостей не обнаружено, но анализ протокола связи позволил исследователям покрутить рулем без ведома владельца.

Опубликовано новое исследование (PDF) атак по сторонним каналам от специалистов из Университета Граца в Австрии (нашедших в том числе уязвимости Spectre). В данном случае речь идет о потенциальных уязвимостях в процессорах AMD. В работе показан метод извлечения секретных данных способом, похожим на атаку Spectre, но с применением нового стороннего канала. Такой подход позволил производителю процессоров заявить, что данные исследования нельзя квалифицировать как новую уязвимость. Соответственно, закрывать ее также не планируется: безопасный код сделает такую атаку невозможной.

© Habrahabr.ru