Blog FOSS by Lê Trung Nghĩa

https://letrungnghia.mangvn.org


Bản vá ngày thứ ba - tháng 4/2016

Microsoft Patch Tuesday - April 2016
Tuesday, April 12, 2016
Theo: http://blog.talosintel.com/2016/04/ms-tuesday.html
Bài được đưa lên Internet ngày: 12/04/2016
Xem thêm: Windows XP sau ngày hết hỗ trợ kỹ thuật toàn cầu, 08/04/2014.
Các lỗi sống còn trong các phần mềm của Microsoft năm thứ 2 sau ngày 08/04/2014
Bản vá ngày thứ Ba tháng 4/2016 đã tới với việc Microsoft phát hành tập các bản tin an toàn tháng mới nhất để giải quyết các chỗ bị tổn thương về an toàn trong các sản phẩm của họ. Phát hành tháng này có 13 bản tin có liên quan tới 31 chỗ bị tổn thương. 6 bản tin giải quyết các chỗ bị tổn thương được xếp hạng sống còn trong Edge, Graphic Components, Internet Explorer, XML Core Service, Microsoft Office và Adobe Flash Player. 7 bản tin còn lại giải quyết các chỗ bị tổn thương quan trọng trong Hyper-V, Microsoft Office và các thành phần khác của Windows.
Các bản tin được xếp hạng sống còn
Các bản tin từ MS16-037 tới MS16-040 và các bản tin MS16-042, MS16-050 được xếp hạng sống còn trong phát hành tháng này.
MS16-037 có liên quan tới 6 chỗ bị tổn thương trong Internet Explorer. Các chỗ bị tổn thương nghiêm trọng nhất cho phép kẻ tấn công lừa website thực thi mã tùy ý trên thiết bị của nạn nhân vì chỗ bị tổn thương hỏng bộ nhớ trong trình duyệt. Kẻ tấn công có thể hạn chế mã thực thi với các quyền quản trị y hệt như người sử dụng hiện hành, nhưng với nhiều người sử dụng có các quyền quản trị đầy đủ, một kẻ tấn công có thể sử dụng điều này để kiểm soát hoàn toàn thiết bị. Để khai thác chỗ bị tổn thương, kẻ tấn công phải làm cho nạn nhân xem nội dung được kẻ tấn công kiểm soát. Trước đó, điều này đã không chứng minh được là giới hạn chính đối với kẻ tấn công. Những kẻ tấn công đã chứng minh là thông thạo trong việc gửi các thông điệp spam, làm tổn thương các website hợp pháp và lạm dụng các mạng quảng cáo web để tái định tuyến những người sử dụng tới các website độc hại.
MS16-038 giải quyết 5 chỗ bị tổn thương thực thi mã từ xa bổ sung thêm trong trình duyệt Edge của Microsoft, và một chỗ bị tổn thương phổ biến đối với IE và Edge, nó cũng được mô tả trong MS16-037. Nghiêm trọng nhất trong số các chỗ bị tổn thương đó cũng cho phép kẻ tấn công thực thi mã tùy ý trên thiết bị của nạn nhân vì các chỗ bị tổn thương bộ nhớ hỏng. Những kẻ tấn công lừa website độc hại để khai thác các chỗ bị tổn thương trên các thiết bị của nạn nhân như được mô tả trước đó.
MS16-039 giải quyết 3 chỗ bị tổn thương quan trọng leo thang quyền ưu tiên trong trình điều khiển chế độ nhân Windows, và 1 chỗ bị tổn thương sống còn, CVE-2016-0145 trong thư viện phông Windows mà cho phép thực thi mã ở xa. Các chỗ bị tổn thương trong các phông được nhúng trước đó đã được tìm thấy và được vá, lưu ý tới chỗ bị tổn thương mã từ xa của tháng 7/2015 được mở ra trong bản cập nhật MS15-078, và chỗ bị tổn thương về phông chữ được giải quyết trong MS13-053 và MS13-054 từ tháng 07/2013. Các khai thác trong các phông nhúng là vật trung gian đặc biệt hữu dụng cho những kẻ tấn công vì chúng có thể được đưa vào trong cả các website độc hại lẫn vào các tài liệu của Microsoft Office.
Hơn nữa, các chỗ bị tổn thương thực thi mã từ xa được giải quyết với MS16-040MS16-042. XML Core Services bị tổn thương với mã XML bị làm giả đặc biệt đang được sử dụng để thực thi mã tùy ý, như được đề cập tới trong MS16-040. Microsoft Office bị tổn thương với 4 chỗ bị tổn thương thực thi mã từ xa tách biệt trong MS16-042. Điều duy nhất trong số đó được xếp hạng như là sống còn thay vì quan trọng là CVE-2016-0127, nó bị khai thác thông qua Preview Pane.
MS16-050 là câu trả lời của Microsoft cho Bản tin An toàn APSB16-10 của Adobe, và giải quyết 10 chỗ bị tổn thương khác nhau trong Adobe Flash Player trong nhiều phiên bản của Windows 8.1, Windows Server 2012 và Windows 10. Một trong các chỗ bị tổn thương hiện đang bị khai thác bởi Bộ công cụ Magnitude Exploit Kit. Hữu ích, bản tin đó có các chỉ dẫn để vô hiệu hóa Flash Player bằng việc sửa đăng ký, và thông qua việc áp dụng Chính sách Nhóm (Group Policy). Các nhà quản trị có lẽ muốn cẩn thận xem xét các rủi ro và các lợi ích của việc sử dụng các kỹ thuật loại bỏ Flash Player khỏi các thiết bị mà đối với các thiết bị đó họ có trách nhiệm.
Các bản tin được xếp hạng quan trọng
Các bản tin của Microsoft MS16-041 và từ MS16-044 tới MS16-049 được xếp hạng quan trọng.
MS16-041 giải quyết CVE-2016-0148 trong .NET framework của Microsoft. Trong một vài hệ điều hành của Microsoft chỗ bị tổn thương này có thể được sử dụng để thực thi mã ở xa, nhưng chỉ nếu kẻ tấn công đã truy cập được rồi tới hệ thống cục bộ. Trong một vài môi trường, chỗ bị tổn thương đó có thể được sử dụng để tiến hành tấn công từ chối dịch vụ, các hệ điều hành khác của Microsoft không bị ảnh hưởng vì chỗ bị tổn thương này.
MS16-044 giải quyết CVE-2016-0153, chỗ bị tổn thương thực thi mã ở xa bên trong Microsoft OLE. Windows 10 không bị ảnh hưởng vì chỗ bị tổn thương này.
MS16-045 giải quyết 3 chỗ bị tổn thương trong Hyper-V. CVE-2016-0088 cho phép người sử dụng trong hệ điều hành máy trạm thực thi mã tùy ý trong máy chủ Hyper-V. 2 chỗ bị tổn thương khác cho phép những người sử dụng trên các hệ điều hành máy trạm đọc thông tin bộ nhớ từ hệ điều hành Hyper-V.
MS16-046 giải quyết một chỗ bị tổn thương trong Windows 10 mà cho phép người sử dụng có xác thực leo thang các quyền ưu tiên của họ và thực thi mã tùy ý như một người quản trị. MS16-048 giải quyết chỗ bị tổn thương leo thang quyền ưu tiên trong quản lý các thẻ token tiến trình trong bộ nhớ của Hệ thống phụ Thời gian chạy chế độ Máy trạm - Máy chủ (Client-Server Run-time Subsystem) mà nó cho phép người sử dụng có xác thực vượt qua được các tính năng an toàn và thực thi mã như một người quản trị.
MS16-047 giải quyết khai thác tiềm năng nơi mà kẻ tấn công có thể tung ra một cuộc tấn công người đứng giữa đường để vô hiệu hóa xác thực kênh RPC để giả danh người sử dụng có xác thực. Bằng việc khai thác chỗ bị tổn thương này trong các giao thức từ xa của Security Account Manager và Local Security Authority Domain Polic, kẻ tấn công sau đó có thể truy cập cơ sở dữ liệu Security Account Manager.
MS16-049 giải quyết cuộc tấn công từ chối dịch vụ trong kho giao thức HTTP 2.0 (HTTP.sys) của Windows 10. Một kẻ tấn công có thể tạo ra yêu cầu giả đặc biệt HTTP 2.0 mà có thể dẫn tới các hệ thống bị tổn thương trở nên không đáp trả được.
Bao trùm
Để trả lời cho các tiết lộ của các bản tin, Talos đang phát hành các quy tắc sau đây để giải quyết các chỗ bị tổn thương đó. Xin lưu ý rằng các quy tắc bổ sung có thể được tung ra trong tương lai và các quy tắc hiện hành tuân theo thông tin về chỗ bị tổn thương bổ sung đang chờ thay đổi. Đối với thông tin về quy tắc hiện hành nhất, xin tham chiếu tới Trung tâm Phòng vệ của bạn, FireSIGHT Management Center hoặc Snort.org.
Các quy tắc Snort
  • Các quy tắc liên quan tới Microsoft: 38458 - 38464, 38469 - 38470, 38473 - 38474, 38479 - 38484, 38489 - 38490, 38495 - 38496, 38503 - 38506
  • Có liên quan tới các bản tin của Adobe: 38401 - 38402, 38413 - 38416, 38425 - 38428

 
Patch Tuesday for April has arrived with Microsoft releasing their latest monthly set of security bulletins to address security vulnerabilities in their products. This month's release contains 13 bulletins relating to 31 vulnerabilities. Six bulletins address vulnerabilities rated as critical in Edge, Graphic Components, Internet Explorer, XML Core Service, Microsoft Office and Adobe Flash Player. The remaining seven bulletins address important vulnerabilities in Hyper-V, Microsoft Office and other Windows components.

Bulletins Rated Critical

Bulletins MS16-037 through MS16-040 and bulletins MS16-042, MS16-050 are rated as critical in this month's release.
MS16-037 is related to six vulnerabilities in Internet Explorer. The most severe vulnerabilities allow an attacker to craft a website that executes arbitrary code on the victim's device due to the memory corruption vulnerabilities in the browser. The attacker would be limited to executing code with same administrative rights as the current user, but with many users having full administrator rights, an attacker could use this to take full control of a device. To exploit the vulnerability the attacker must get the victim to view attacker controlled content. Previously, this has not proved a major limitation for attackers. Attackers have proved adept at sending spam messages, compromising legitimate websites and abusing web advertising networks to redirect users to malicious websites.
MS16-038 addresses five additional remote code execution vulnerabilities in Microsoft's Edge browser, and one vulnerability common to IE and Edge, which is also described in MS16-037. The most severe of these vulnerabilities also allow attacker to execute arbitrary code on a victim's device due to memory corruption vulnerabilities. Attackers could craft a malicious website to exploit the vulnerabilities on victim's devices as previously described.
MS16-039 addresses three important escalation of privilege vulnerabilities in the Windows Kernel mode driver, and the critical vulnerability, CVE-2016-0145 in the Windows font library which allows remote code execution. Vulnerabilities in embedded fonts have previously been found and patched, notably the remote code vulnerability of July 2015 disclosed in the out of band update MS15-078, and the font vulnerabilities addressed in MS13-053 and MS13-054 from July 2013. Exploits in embedded fonts are a particularly useful vector for attackers since they can be included in both malicious websites and Microsoft Office documents.
Further remote code execution vulnerabilities are addressed by MS16-040 and MS16-042. XML Core Services is vulnerable to specially crafted XML code being used to execute arbitrary code, as addressed in MS16-040. Microsoft Office is vulnerable to four separate remote code execution vulnerabilities addressed in MS16-042. The only of these rated as critical rather than important is CVE-2016-0127 which is exploitable via the Preview Pane.
MS16-050 is Microsoft's response to Adobe's Security Bulletin APSB16-10, and address ten different vulnerabilities in the Adobe Flash Player on multiple versions of Windows 8.1, Windows Server 2012 and Windows 10. One of these vulnerabilities is currently being exploited by the Magnitude Exploit Kit. Helpfully, the bulletin contains instructions for disabling Flash Player by modifying the registry, and through applying a Group Policy. Administrators may wish to carefully consider the risks and benefits of using these techniques to remove Flash Player from devices for which they are responsible.

Bulletins Rated Important

Microsoft bulletins MS16-041 and bulletins MS16-044 through to MS16-049 are rated as important.MS16-041 addresses CVE-2016-0148 within Microsoft's .NET framework. On some Microsoft operating systems this vulnerability can be used for remote code execution, but only if the attacker already has access to the local system. In some environments the vulnerability can be used to conduct a denial of service attack, other Microsoft operating systems are unaffected by this vulnerability.
MS16-044 addresses CVE-2016-0153, a remote code execution vulnerability within Microsoft OLE. Windows 10 is unaffected by this vulnerability.
MS16-045 addresses three vulnerabilities in Hyper-V. CVE-2016-0088 allows a user on a guest operating system to execute arbitrary code on the Hyper-V host. Two further vulnerabilities allow users on guest operating systems to read memory information from the Hyper-V operating system.MS16-046 addresses a vulnerability within Windows 10 that permits an authenticated user to escalate their privileges and execute arbitrary code as an administrator. MS16-048 addresses a further escalation of privilege vulnerability in the management of process tokens in memory of the Client-Server Run-time Subsystem which allows an authenticated user to bypass security features and execute code as an administrator.
MS16-047 addresses a potential exploit where an attacker could launch a man-in-the-middle attack to downgrade the authentication of the RPC channel in order to impersonate an authenticated user. By exploiting this vulnerability in the Security Account Manager and Local Security Authority Domain Policy remote protocols the attacker could then access the Security Account Manager database. MS16-049 addresses a denial of service attack in the HTTP 2.0 protocol stack (HTTP.sys) of Windows 10. An attacker could create a specially crafted HTTP 2.0 request that would lead vulnerable systems to become unresponsive.

Coverage

In response to these bulletin disclosures, Talos is releasing the following rules to address these vulnerabilities. Please note that additional rules may be released at a future date and current rules are subject to change pending additional vulnerability information. For the most current rule information, please refer to your Defense Center, FireSIGHT Management Center or Snort.org.

Snort Rules

  • Microsoft Related Ruled: 38458 - 38464, 38469 - 38470, 38473 - 38474, 38479 - 38484, 38489 - 38490, 38495 - 38496, 38503 - 38506
  • Adobe Bulletin Related: 38401 - 38402, 38413 - 38416, 38425 - 38428
Dịch: Lê Trung Nghĩa
letrungnghia.foss@gmail.com
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây