Vídeo: Патч лимита портов USB 2.0/3.0 macOS Mojave 10.14.6! (De novembre 2024)
Microsoft va publicar set butlletins de seguretat que van solucionar més de 20 vulnerabilitats per al dimarts del Patch March. Les components i les aplicacions afectades inclouen Internet Explorer, Silverlight, Visio Viewer, Sharepoint, OneNote, Office per a Mac i un controlador del nucli en totes les versions de Windows.
Dels butlletins, quatre van ser considerats crítics i tres com a importants, segons el consell de seguretat de Microsoft publicat dimarts. El pegat acumulat d’Internet Explorer, que té la màxima prioritat, s’aplica a totes les versions acceptades d’Internet Explorer, de les versions 6 a 10.
"Pràcticament tots els que funcionen amb Windows i moltes botigues Microsoft haurien de ser capaços de revisar els sistemes actuals", va escriure Kurt Baumgartner, investigador de seguretat superior de Kaspersky Lab a SecureList.
L’assessorament d’IE no s’aplica als usuaris que van descarregar i instal·lar IE 10 per a Windows 7 llançat fa poques setmanes, ja que Microsoft ja havia inclòs aquestes solucions. Tot i que actualment cap d’ells s’està orientant en estat salvatge, l’IE és un objectiu freqüent i s’hauria d’atacar immediatament.
"De les nou CVE adreçades, set d'elles afecten totes les versions compatibles d'Internet Explorer, de manera que els atacants tenen moltes opcions quan seleccionen una vulnerabilitat a explotar en un futur proper", va dir a SecurityWatch Marc Maiffret, CTO de BeyondTrust.
Cap de les vulnerabilitats que es van divulgar com a part de la competència Pwn2Own a CanSecWest de la setmana passada no s’inclou en el pedaç d’aquest mes, però és una aposta segura que vindran aviat.
Espectre de Stuxnet
La vulnerabilitat del controlador del mode del nucli que es va enganxar aquest mes pot semblar similar als errors que es van enganxar els mesos de febrer i gener, però és un defecte molt més espantós. El defecte del controlador del dispositiu USB es pot desencadenar només amb l’acte d’algú d’inserir una unitat USB a l’ordinador. No importa si l’ordinador està bloquejat o si l’usuari està desconnectat; l'ordinador només ha d'estar engegat.
Microsoft va classificar aquest butlletí com a "important" en contraposició a "crític" perquè l'atac requereix que l'atacant tingui accés físic a l'ordinador. No hi ha un vector remot, el que significa que només serà "explotat en atacs molt limitats i dirigits", va dir Maiffret.
Tot i això, altres experts es van alarmar. "Imagineu què pot fer un personal de conselleria motivat adequadament amb aquesta vulnerabilitat en una sola nit", va dir Andrew Storms, director d'operacions de seguretat de nCircle. Els quioscos públics i els centres de col·locació que no tenen armaris tancats estan en risc. "No es pot indicar el potencial de danys amb aquesta vulnerabilitat", va dir Storms.
Només per fer-nos una idea de la gravetat de la vulnerabilitat, Stuxnet va aprofitar la funció de "funcionament automàtic" que permetia a Windows executar automàticament codi en una unitat USB sense entrada d'usuari. Tot i que des de llavors s'ha desactivat el funcionament automàtic, la darrera vulnerabilitat USB es llança abans que fins i tot s'hi hagués accedit, segons Ross Barrett de Rapid7.
"Heu vist aquest mètode d'atac a les pel·lícules des de fa anys, i ara es mostra en empreses de tot el món", va dir Storms.
Silverlight, Office, SharePoint, Oh My!
Un dels criteris crítics va solucionar problemes a Microsoft Silverlight, que era "interessant ja que no era conscient que ningú del món s'havia desplegat Silverlight", va dir Barrett de Rapid7 a SecurityWatch . Per als que tenen Silverlight, aquest és un problema greu, "a la vegada que té una vulnerabilitat de flaix", va dir Barrett. L’error afecta totes les versions de Silverlight, però el pegat s’aplica només a Silverlight 5. Els usuaris han d’actualitzar Silverlight abans d’aplicar el pegat.
El pegat de Visio 2010 Viewer està qualificat com a crític perquè permet l'execució remota de codi. Un possible vector d'atac és enganyar a un usuari a llegir un document Visio mal format enviat per correu electrònic. Tot i això, la vulnerabilitat de Visio requereix que s’instal·li el controlador de Visio Viewer ActiveX, va dir Barrett. Va dir que els administradors poden desactivar aquesta funció fins que el pegat s'apliqui completament com a pas de mitigació. El defecte de SharePoint permet als atacants injectar codi maliciós a les consultes guardades mitjançant scripts entre llocs. Aquesta consulta, quan s'executa, podria executar el codi d'atac amb privilegis d'administrador.
OneNote i Outlook per a Mac han tingut pegats aquest mes i tenen una puntuació important. Un atacant pot enganyar l'usuari a obrir un fitxer o carpeta OneNote maliciós, cosa que provocaria l'error per evitar la contrasenya i els mecanismes de protecció de xifrat per llegir els fitxers i les carpetes OneNote de l'usuari.