Microsoft Patch Tuesday for April 2015: 11 Bulletins Released
Talos Group | April 14, 2015 at 11:40 am PST
Bài được đưa lên Internet ngày: 14/04/2015
Lời người dịch: Bản vá ngày thứ Ba tháng 4/2015 có tổng cộng 11 bản tin được đưa ra, giải quyết 26 CVE. 4 bản tin đầu tiên được xếp hạng sống còn và giải quyết các chỗ bị tổn thương trong Internet Explorer, Office, IIS, và Graphics Component. 7 bản tin còn lại được xếp hạng là quan trọng và bao trùm các chỗ bị tổn thương trong SharePoint, Task Scheduler, Windows, XML Core Services, Active Directory, .NET, và Hyper-V. Các bản tin sống còn là MS15-032, MS15-033, MS15-034, và MS15-035, các bản tin quan trọng là MS15-036, MS15-037, MS15-038, MS15-039, MS15-040, MS15-041, và MS15-042. Xem thêm: Windows XP sau ngày hết hỗ trợ kỹ thuật toàn cầu, 08/04/2014.
Hôm nay, Microsoft đã phát hành tập hợp hàng tháng của họ các bản tin an toàn được thiết kế để giải quyết các chỗ bị tổn thương về an toàn trong các sản phẩm của họ. Phát hành tháng này có tổng cộng 11 bản tin được đưa ra, giải quyết 26 CVE. 4 bản tin đầu tiên được xếp hạng sống còn và giải quyết các chỗ bị tổn thương trong Internet Explorer, Office, IIS, và Graphics Component. 7 bản tin còn lại được xếp hạng là quan trọng và bao trùm các chỗ bị tổn thương trong SharePoint, Task Scheduler, Windows, XML Core Services, Active Directory, .NET, và Hyper-V.
MS15-032, MS15-033, MS15-034, và MS15-035 là sống còn.
MS15-032 là bản tin an toàn hàng tháng cho Internet Explorer với các chỗ bị tổn thương trong các phiên bản từ 6-11 đang được giải quyết. Tháng này, 10 CVE đã được giải quyết với đa số các CVE đang là các chỗ bị tổn thương sử dụng sau phát hành có thể gây ra sự thực thi mã ở xa. Vài thông tin mở ra các chỗ bị tổn thương cũng được được giải quyết tháng này.
MS15-033 giải quyết 5 chỗ bị tổn thương trong Microsoft Office, bao gồm CVE-2015-1641, nó đã từng được mở ra công khai và hiện đang bị khai thác. 3 chỗ bị tổn thương đó (
CVE-2015-1649,
CVE-2015-1650,
CVE-2015-1651) là các điều kiện sử dụng sau khi phát hành đã từng được giải quyết. 2 chỗ bị tổn thương khác (
CVE-2015-1639,
CVE-2015-1641) là các chỗ bị tổn thương theo kịch bản liên site và hỏng bộ nhớ đã từng được giải quyết.
MS15-034 giải quyết 1 chỗ bị tổn thương được nêu riêng trong Windows IIS.
CVE-2015-1635 là một chỗ bị tổn thương thực thi mã ở xa trong kho giao thức HTTP trong HTTP.sys, do việc phân tích không đúng gây ra một yêu cầu HTTP giả mạo. Để khai thác chỗ bị tổn thương này, một kẻ tấn công có thể cần gửi một gói độc hại giả mạo một yêu cầu HTTP hoạt động sai tới máy chủ bị tổn thương.
MS15-035 giải quyết
CVE-2015-1645, một chỗ bị tổn thuonwg được nêu riêng trong Microsoft Graphics Component ảnh hưởng tới Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, và Windows Server 2008 R2. Chỗ bị tổn thương này là một chỗ bị tổn thương thực thi mã ở xa do Windows không phân tích ccược các tệp định dạng hình ảnh EMF (Enhanced Metafile). Một kẻ tấn công có thể khai thác chỗ bị tổn thương này bằng việc làm giả một trang web độc hại bao gồm tệp hình ảnh độc hại giả mạo hoặc bằng kỹ thuật xã hội làm cho người sử dụng mở tệp hình ảnh giả mạo thông qua một vài phương tiện, như thư điện tử.
Các bản tin được xếp hạng quan trọng
MS15-036, MS15-037, MS15-038, MS15-039, MS15-040, MS15-041, và MS15-042 được xếp hạng là quan trọng.
MS15-036 giải quyết 2 chỗ bị tổn thương được nêu riêng trong Microsoft Sharepoint Server 2010 SP2 và Microsoft Sharepoint Server 2013 SP1.
CVE-2015-1640 và
CVE-2015-1653 là các chỗ bị tổn thương kịch bản liên site (XSS) vì SharePoint không làm sạch đúng một yêu cầu đặc thù giả mạo tới một máy chủ SharePoint bị tổn thương. Một kẻ tấn công có thể khai thác các chỗ bị tổn thương đó bằng việc gửi một yêu cầu độc hại giả mạo tới một máy chủ bị tổn thương và thực thi một cuộc tấn công XSS. Một kẻ tấn công có thể sau đó có khả năng có các kịch bản của chúng chạy theo ngữ cảnh của bất kỳ người sử dụng nào khác hiện đã đăng nhập vào site SharePoint.
MS15-037 giải quyết
CVE-2015-0098, một chỗ bị tổn thương được nêu riêng trong thành phần Windows Task Scheduler ảnh hưởng tới Windows 7 và Windows Server 2008 R2. Chỗ bị tổn thương này là một chỗ bị tổn thương leo thang quyền ưu tiên vì một tác vụ hệ thống không hợp lệ được biết đang tồn tại trong các hệ thống nhất định. Một kẻ tấn công có ủy quyền có thể có khả năng khai thác chỗ bị tổn thương đó bằng việc kiểm tra để xem liệu tác vụ không hợp lệ đó có hiện diện hay không trong hệ thống đích, và sau đó thiết lập cấu hình lại cho tác vụ để khởi tạo một ứng dụng theo lựa chọn của người sử dụng. Ứng dụng đó có thể saud đó được khởi động có thể chạy trong ngữ cảnh của người sử dụng SYSTEM.
MS15-038 giải quyết 2 chỗ bị tổn thương được nêu riêng gây ảnh hưởng tới tất cả các phiên bản được hỗ trợ của Windows.
CVE-2015-1643 và
CVE-2015-1644 là các chỗ bị tổn thương leo thang quyền ưu tiến nơi mà Windows không ép tuân thủ đúng các mức thủ vai. Điều này có thể cho phép một người sử dụng giành được sự truy cập của quản trị viên và thực hiện các chức năng quản trị tùy ý, như thêm người sử dụng và cài đặt ứng dụng. Một kể tấn công được ủy quyền có thể có khả năng khai thác các chỗ bị tổn thương đó bằng việc làm giả và thực thi một ứng dụng có thể vượt qua các kiểm tra an toàn mức thủ vai.
MS15-039 giải quyết
CVE-2015-1646, một chỗ bị tổn thương trong Microsoft XML Core Services trong Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, và Windows 2008 R2. Chỗ bị tổn thương này là một vi phạm chính sách gốc như nhau nơi mà sự truy cập dữ liệu liên miền là có khả năng trong các kịch bản như vậy bằng một tệp XML được làm đặc biệt. Sự khai thác chỗ bị tổn thương này có thể đòi hỏi người sử dụng mở một tệp XML độc hại được làm giả. Khai thác chỗ bị tổn thương này chỉ có trong Windows Server 2012 R2 và Windows Server 2012 R2 Server Core.
MS15-040 giải quyết CVE-2015-1638, một chỗ bị tổn thương trong Active Directory Federation Services (ADFS). Chỗ bị tổn thương này làm một chỗ bị tổn thương mở thông tin nơi mà ADFS không đăng xuất đúng cho người sử dụng. Một kẻ tấn công có thể tiềm tàng khai thác chỗ bị tổn thương này bằng việc mở lại một cửa sổ trình duyệt sau khi nó đã được đóng, và xem thông tin của người sử dụng khác. Chỗ bị tổn thương này chỉ hiện diện trong Windows Server 2012 R2 và Windows Server 2012 R2 Server Core.
MS15-041 giải quyết
CVE-2015-1648, một chỗ bị tổn thương được nêu riêng trong khung .NET. Chỗ bị tổn thương này là một chỗ bị tổn thương mở thông tin mà có thể tiềm tàng bị khai thác nếu một kẻ tấn công gửi một yêu cầu web được làm giả độc hại tới máy chủ bị tổn thương. Một kẻ tấn công có khả năng khai thác thành công chỗ bị tổn thương này có khả năng xem các phần của tệp cấu hình web, điều có thể làm lộ các thông tin bí mật.
MS15-042 và
CVE-2015-1647, một chỗ bị tổn thương được nêu riêng trong Windows Hyper-V. Chỗ bị tổn thương này là một chỗ bị tổn thương từ chối dịch vụ mà có thể tiềm tàng bị một kẻ khai thác được ủy quyền khai thác, kẻ quản lý một ứng dụng độc hại được làm giả trong một máy ảo trên máy chủ Hyper-V. Kết quả là, điều này có thể gây ra tiềm tàng lý do khác với các máy ảo đang chạy trong cùng máy chủ host đó không quản lý được qua trình Virtual Machine Manager. Thực thi mã ở xa hoặc leo thang quyền ưu tiên là có khả năng với chỗ bị tổn thương này.
Sự bao trùm
Để đối phó với những mở ra của các bản tin, Talor đang đưa ra các quy định sau để giải quyết các chỗ bị tổn thương đó. Lưu ý rằng các quy tắc bổ sung có thể được đưa ra trong tương lai và các quy tắc hiện hành tuân thủ sự thay đổi treo thông tin bị tổn thương bổ sung. Để có thông tin về quy định hiện hành, xin tham chiếu tới Defense Center, FireSIGHT Management Center hoặc Snort.org.
Snort SIDs: 34059-34099
Today, Microsoft has released their monthly set of security bulletins designed to address security vulnerabilities within their products. This month’s release sees a total of 11 bulletins being released which address 26 CVEs. The first 4 bulletins are rated Critical and address vulnerabilities within Internet Explorer, Office, IIS, and Graphics Component. The remaining 7 bulletins are rated Important and cover vulnerabilities within SharePoint, Task Scheduler, Windows, XML Core Services, Active Directory, .NET, and Hyper-V.
Bulletins Rated Critical
MS15-032, MS15-033, MS15-034, and MS15-035 are rated Critical.
MS15-032 is this month’s Internet Explorer security bulletin with vulnerabilities in versions 6 through 11 being addressed. This month, 10 CVEs were addressed with the majority of those CVEs being use-after-free vulnerabilities that could result in remote code execution. A couple of information disclosure vulnerabilities were also addressed this month. MS15-033 addresses 5 vulnerabilities within Microsoft Office, including CVE-2015-1641, which has been publicly disclosed and is currently being exploited. Three of these vulnerabilities (CVE-2015-1649, CVE-2015-1650, CVE-2015-1651) are use-after-free conditions that have been addressed. The other two vulnerabilities (CVE-2015-1639, CVE-2015-1641) are cross-site scripting and memory corruption vulnerabilities that were also addressed. MS15-034 addresses 1 privately reported vulnerability within Windows IIS. CVE-2015-1635 is a remote code execution vulnerability within the HTTP protocol stack in HTTP.sys, caused by improperly parsing a crafted HTTP request. In order to exploit this vulnerability, an attacker would need to send a maliciously crafted packet containing a malformed HTTP request to the vulnerable server. MS15-035 addresses CVE-2015-1645, a privately reported vulnerability within the Microsoft Graphics Component affecting Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2. This vulnerability is a remote code execution vulnerability due to Windows failing to parse Enhanced Metafile (EMF) image format files. An attacker can exploit this vulnerability by crafting a malicious web page which includes the maliciously crafted image file or by socially engineering the user to open the crafted image file via some other means, such as email. Bulletins Rated Important
MS15-036, MS15-037, MS15-038, MS15-039, MS15-040, MS15-041, and MS15-042 are rated Important.
MS15-036 addresses 2 privately reported vulnerabilities within Microsoft Sharepoint Server 2010 SP2 and Microsoft Sharepoint Server 2013 SP1. CVE-2015-1640 and CVE-2015-1653 are cross-site scripting (XSS) vulnerabilities due to SharePoint failing to properly sanitize a specific crafted request to a vulnerable SharePoint server. An attacker could exploit these vulnerabilities by sending a maliciously crafted request to a vulnerable server and perform a XSS attack. An attacker would then be able to have their scripts run in the context of any other user currently logged into the SharePoint site. MS15-037 addresses CVE-2015-0098, a privately reported vulnerability within the Windows Task Scheduler component affecting Windows 7 and Windows Server 2008 R2. This vulnerability is a privilege escalation vulnerability that is due to a known invalid system task being present on certain systems. An authenticated attacker would be able to exploit this vulnerability by checking to see if the invalid task is present on the target system, and then reconfiguring the task to launch an application of the user’s choice. The application that would then be launch would run in the context of the SYSTEM user. MS15-038 addresses 2 privately reported vulnerabilities affecting all supported versions of Windows. CVE-2015-1643 and CVE-2015-1644 are privilege escalation vulnerabilities where Windows fails to properly enforce impersonation levels. This could allow a user to gain administrator access and perform arbitrary administrative functions, such as adding users and installing applications. An authenticated attacker would be able to exploit these vulnerabilities by crafting and executing an application that would bypass the impersonation level security checks. MS15-039 addresses CVE-2015-1646, a privately reported vulnerability in Microsoft XML Core Services in Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, and Windows 2008 R2. This vulnerability is a same-origin policy violation where cross-domain data access is possible in certain scenarios with a specially crafted XML file. Exploitation of this vulnerability would require a user to open a maliciously crafted XML file via a link to the file on a site or via an email attachment. MS15-040 addresses CVE-2015-1638, a privately reported vulnerability in Active Directory Federation Services (ADFS). This vulnerability is a information disclosure vulnerability where ADFS fails to properly logout a user. An attacker can potentially exploit this vulnerability by reopening a browser window after it has been closed, and view another user’s information. This vulnerability is only present in Windows Server 2012 R2 and Windows Server 2012 R2 Server Core. MS15-041 addresses CVE-2015-1648, a privately reported vulnerability within the .NET framework. This vulnerability is a information disclosure vulnerability that can potentially be exploited if an attacker sends a maliciously crafted web request to a vulnerable server. An attacker who is able to successfully exploit this vulnerability would be able to view parts of the web configuration file, which could expose sensitive information. MS15-042 addresses CVE-2015-1647, a privately reported vulnerability within Windows Hyper-V. This vulnerability is a denial of service vulnerability that can potentially be exploited by an authenticated attacker who runs a maliciously crafted application within a virtual machine on a Hyper-V host. As a result, this can potentially cause other virtual machines running on the same host to not be manageable via the Virtual Machine Manager. Remote code execution or privilege escalation are not possible with this vulnerability. Coverage
In response to these bulletin disclosures, Talos is releasing the following rules to address these vulnerabilities. Please note that additional rules may be released at a future date and current rules are subject to change pending additional vulnerability information. For the most current rule information, please refer to your Defense Center, FireSIGHT Management Center or Snort.org.
Snort SIDs: 34059-34099
Dịch: Lê Trung Nghĩa