Microsoft Patches OLE Zero Day, Recommends EMET 5.1 Before Applying IE Patches
by Michael Mimoso, November 11, 2014 , 2:07 pm
Bài được đưa lên Internet ngày: 11/11/2014
Lời người dịch: Thực tế, Bản vá ngày thứ Ba tháng 11/2014 có 14 bản tin, trong đó có 4 là sống còn, gồm: MS14-064, MS14-065, MS14-066 và MS14-067. Chúng ảnh hưởng tới Windows OLE, tất cả các phiên bản của IE, thực thi mã trong Kênh An toàn của Microsoft (Microsoft Schannel), và Dịch vụ Cốt lõi XML của Microsoft qua IE, một cách tương ứng. Không có bản vá nào dành cho Windows XP!. Lưu ý: Việt Nam, cho tới hết tháng 02/2014, còn hơn 5.5 triệu máy tính, chiếm 45.65% máy tính cả nước còn chạy Windows XP hết hỗ trợ kỹ thuật từ 08/04/2014. Hơn nữa, các dịch vụ công của Việt Nam chỉ chạy được trên trình duyệt web Microsoft Internet Explorer và Windows. Nguy hiểm: Microsoft làm việc với FBI để phá an ninh Internet và Tòa án Liên bang Mỹ ra lệnh cho Microsoft phải trao các thư điện tử được lưu trữ trên các máy chủ ở nước ngoài cho các nhà chức trách Mỹ. Xem thêm: Windows XP sau ngày hết hỗ trợ kỹ thuật toàn cầu.
Bản vá ngày thứ Ba của Microsoft đã tới hôm nay với một ý nghĩa cấp bách và phức tạp ngoại lệ.
Có 4 trong tổng số 14 bản tin được Microsoft xếp hạng sống còn, là một bản vá cho chỗ bị tổn thương ngày số 0 cho OLE đang được sử dụng trong một số cuộc tấn công có chủ đích. Lỗi ngày số 0 này đang lan truyền thông qua các thông điệp thư điện tử chứa các gắn tệp Office độc hại. Sự tiết lộ, lần thứ 2 chống lại OLE kể từ ngày 14/10, một phần được giải quyết khi Microsoft đã phát hành một công cụ FixIt như một sự giảm nhẹ tạm thời.
Chỗ bị tổn thương OLE đã ảnh hưởng tới tất cả các phiên bản Windows được hỗ trợ và đã cho phép những kẻ tấn công kiểm soát từ xa các máy tính bị lây nhiễm và chạy mã. Tuyên bố này đi sau một báo cáo của iSIGHT Partners tiết lộ rằng nhóm APT Sandworm đã từng khai thác một lỗ hổng khác trong OLE để tấn công các cơ quan chính phủ và các cơ sở năng lượng.
OLE, hoặc Đối tượng Windows Nhúng và Kết nối (Windows Object Linking and Embedding) của Microsoft, cho phép việc nhúng và liên kết tới các tài liệu và các đối tượng khác.
MS14-064 giải quyết cả 2 chỗ bị tổn thương theo yêu cầu, CVE-2014-6332 và CVE-2014-6352. CVE đầu xảy ra khi Internet Explorer truy cập không đúng các đối tượng trong bộ nhớ, Microsoft nói. Bản vá thứ 2 sửa cách mà Windows kiểm tra hợp lệ sử dụng bộ nhớ khi các đối tượng OLE được truy cập, Microsoft nói.
Sử dụng Bộ công cụ Giảm nhẹ được Cải tiến - EMET (Enhanced Mitigation Experience Toolkit) của Microsoft cũng đã được khuyến cáo như một giải pháp khắc phục tạm thời. Microsoft hôm thứ 2 đã đưa ra EMET 5.1, và đã cập nhật một số sự giảm nhẹ có sẵn, bao gồm quyết định một điều kiện đua trong sự giảm nhẹ ASLR Bắt buộc và tăng cường vài sự giảm nhẹ khác chống lại những bỏ qua được nêu.
Tuy nhiên, các bản cập nhật quan trọng nhất phải làm với tính tương thích với một số ứng dụng có ở khắp nơi, bao gồm Internet Explorer, Adobe Reader và Flash, và Mozilla Firefox.
Trên thực tế, Microsoft khuyến cáo rằng những người sử dụng EMET 5.0 nâng cấp lên 5.1 ngay lập tức trước khi xử lý với ứng dụng các bản vá ngày hôm nay.
“Nếu bạn đang sử dụng Internet Explorer 11, hoặc trong Windows 7 hoặc Windows 8.1, và đã triển khai EMET 5.0, thì điều đặc biệt quan trọng phải cài đặt EMET 5.1 khi mà các vấn đề về tính tương thích được phát hiện với bản cập nhật an toàn Internet Explorer tháng 11 và giảm nhẹ EAF+”, Microsoft nói trong khuyến cáo. “Như một sự lựa chọn, bạn có thể tạm thời vô hiệu hóa EAF+ trong EMET 5.0”.
Như sẽ trở thành chỉ tiêu, Microsoft cũng đã đưa ra một bản cập nhật cộng dồn cho IE. Bản tin hôm nay, MS14-065, vá 17 chỗ bị tổn thương, nhiều trong số đó cho phép thực thi mã ở xa. Bản cập nhật được xếp hạng sống còn đi ngược về tới IE6.
“Bản cập nhật an ninh giải quyết các chỗ bị tổn thương bằng việc sửa đổi cách mà Internet Explorer điều khiển các đối tượng trong bộ nhớ, bằng việc bổ sung thêm các kiểm tra hợp lệ sự cho phép bổ sung cho Internet Explorer, và bằng việc giúp đảm bảo rằng các phiên bản bị ảnh hưởng của Internet Explorer triển khai đúng tính năng an toàn của ASLR”, Microsoft nói.
Microsoft cũng đã vá một chỗ bị tổn thương thực thi mã trong Kênh An toàn của Microsoft, hoặc Schannel, một gói an toàn mã hóa Windows có sử dụng cho các kết nối SSL và TLS. MS14-066 vá một vấn đề theo cách mà Schannel xử lý các gói được vọc đặc biệt, Microsoft nói.
“Các sửa lỗi trong báo cáo này là kết quả của một sự rà soát lại lỗi trong nội bộ ở Microsoft mà đã phát hiện một số vấn đề hỏng bộ nhớ trong Schannel ở cả các vai trò máy chủ và máy trạm”, CTO của Qualys Wolfgang Kandek, nói. “Các chỗ bị tổn thương là riêng tư khi chúng đã được tìm thấy trong nội bộ Microsoft và trong khi Microsoft xem xét nó là thách thức về mặt kỹ thuật đối với mã một khai thác mà nó chỉ là vấn đề của thời gian và tài nguyên, thì hãy khôn ngoan để cài đặt bản tin này trong vòng vá tiếp sau”.
MS14-067 là bản tin cuối cùng được Microsoft xếp hạng sống còn. Chỗ bị tổn thương này có thể bị khai thác bằng một website độc hại được thiết kế để gọi các Dịch vụ Cốt lõi XML của Microsoft qua IE, Microsoft nói. MSXML phân tích cú pháp không đúng các nội dung XML, điều có thể sau đó tới lượt nó làm hỏng tình trạng hệ thống và xúc tác cho sự thực thi mã ở xa, Microsoft nói.
Một bản tin được Microsoft xếp hạng quan trọng là MS14-069, nó vá chỗ bị tổn thương trong Microsoft Word 2007 và cho phép thực thi mã ở xa. Vì được giới hạn tới Office 2007 và không thể được tự động khai thác từ ở xa và đòi hỏi hành động của người sử dụng, Microsoft đã xếp hạng cho nó là quan trọng.
“Kịch bản tấn công ở đây là một tài liệu độc hại mà kẻ tấn công chuẩn bị khai thác chỗ bị tổn thương. Những kẻ tấn công sau đó gửi tài liệu đó trực tiếp hoặc một liên kết tới các đích của chúng và sử dụng các kỹ thuật thiết kế xã hội, như các tên tệp và mô tả nội dung có vẻ hợp pháp mà có khả năng lôi kéo các mục tiêu trả lời”, Kandek nói. “Nếu bạn chạy các phiên bản mới hơn của Microsoft Office thì bạn không bị tổn thương, nhưng những người sử dụng Office 2007 sẽ đặt ưu tiên cao vào bản tin này”.
Các bản tin còn lại tất cả được Microsoft xếp hạng là quan trọng:
MS14-070 là một leo thang quyền ưu tiên chỗ bị tổn thương trong TCP/IP
MS14-071 là một leo thang quyền ưu tiên chỗ bị tổn thương trong Windows Audio Service
MS14-072 là một leo thang quyền ưu tiên chỗ bị tổn thương trong khung .NET
MS14-073 là một leo thang quyền ưu tiên chỗ bị tổn thương trong SharePoint Foundation
MS14-074 là một sự bỏ qua tính năng an toàn trong Remote Desktop Protocol
MS14-076 là một sự bỏ qua tính năng an toàn trong Internet Information Services
MS14-077 là một chỗ bị tổn thương hé lộ thông tin trong Active Directory Federation Services
MS14-078 là một leo thang quyền ưu tiên chỗ bị tổn thương trong IME (tiếng Nhật)
A busy Microsoft Patch Tuesday arrived today with an extra sense of urgency and a complication.
Among 14 bulletins, four of which are rated critical by Microsoft, is a patch for the OLE zero-day vulnerability being used in a number of targeted attacks. The zero-day is being spread via email messages containing malicious Office file attachments. The disclosure, the second against OLE since Oct. 14, was partially addressed when Microsoft issued a FixIt tool as a temporary mitigation.
The OLE vulnerability affected all supported releases of Windows and allowed attackers to remotely control infected computers and execute code. The announcement followed a report by iSIGHT Partners revealing that the Sandworm APT group was exploiting another hole in OLE to attack government agencies and energy utilities.
OLE, or Microsoft Windows Object Linking and Embedding, allows for embedding and linking to documents and other objects.
MS14-064 addresses both vulnerabilities in question, CVE-2014-6332 and CVE-2014-6352. The first CVE occurs when Internet Explorer improperly access objects in memory, Microsoft said. The second patch modifies the way Windows validates the use of memory when OLE objects are accessed, Microsoft said.
The use of Microsoft’s Enhanced Mitigation Experience Toolkit (EMET) was also recommended as a temporary stopgap. Microsoft on Monday released EMET 5.1, and updated a number of the mitigations available, including the resolution of a race condition in the Mandatory ASLR mitigation and the hardening of several other mitigations against reported bypasses.
The most important updates, however, have to do with compatibility with a number of ubiquitous applications, including Internet Explorer, Adobe Reader and Flash, and Mozilla Firefox.
In fact, Microsoft recommends that EMET 5.0 users upgrade to 5.1 immediately before proceeding with the application of today’s patches.
“If you are using Internet Explorer 11, either on Windows 7 or Windows 8.1, and have deployed EMET 5.0, it is particularly important to install EMET 5.1 as compatibility issues were discovered with the November Internet Explorer security update and the EAF+ mitigation,” Microsoft said in an advisory. “Alternatively, you can temporarily disable EAF+ on EMET 5.0.”
As is becoming the norm, Microsoft also released a cumulative update for IE. Today’s bulletin, MS14-065, patches 17 vulnerabilities, many of which allow remote code execution. The update is rated critical going back to IE 6.
“The security update addresses the vulnerabilities by modifying the way that Internet Explorer handles objects in memory, by adding additional permission validations to Internet Explorer, and by helping to ensure that affected versions of Internet Explorer properly implement the ASLR security feature,” Microsoft said.
Microsoft also patched a remote code execution vulnerability in Microsoft Secure Channel, or Schannel, a Windows encryption security package used for SSL and TLS connections. MS14-066 patches an issue in the way Schannel processes specially crafted packets, Microsoft said.
“The fixes in this bulletin are the result of an internal code review at Microsoft that uncovered a number of memory corruption issues in Schannel in both server and client roles,” said Qualys CTO Wolfgang Kandek. “The vulnerabilities are private as they were found by Microsoft internally and while Microsoft considers it technically challenging to code an exploit it is only a matter of time and resources, it is prudent to install this bulletin in your next patch cycle.”
MS14-067 is the final bulletin ranked critical by Microsoft. The vulnerability can be exploited by a malicious website designed to invoke Microsoft XML Core Services through IE, Microsoft said. MSXML improperly parses XML content, which can then in turn corrupt the system state and enable remote code execution, Microsoft said.
One bulletin rated important by Microsoft is MS14-069, which patches vulnerabilities in Microsoft Word 2007 and allows for remote code execution. Because it’s limited to Office 2007 and cannot be automatically exploited remotely and requires user action, Microsoft rated it important.
“The attack scenario here is a malicious document that the attacker prepares to exploit the vulnerability. Attackers then send the document directly or a link to their targets and use social engineering techniques, such as legitimate sounding file names and content descriptions that are likely interest the targets in question,” Kandek said. “If you run newer versions of Microsoft Office you are not vulnerable, but users of Office 2007 should place high priority on this bulletin.”
The remaining bulletins are all rated important by Microsoft:
MS14-070 is an elevation of privilege vulnerability in TCP/IP
MS14-071 is an elevation of privilege vulnerability in Windows Audio Service
MS14-072 is an elevation of privilege vulnerability in the .NET framework
MS14-073 is an elevation of privilege vulnerability in SharePoint Foundation
MS14-074 is a security feature bypass in Remote Desktop Protocol
MS14-076 is a security feature bypass in Internet Information Services
MS14-077 is an information disclosure vulnerability in Active Directory Federation Services
MS14-078 is an elevation of privilege vulnerability in IME (Japanese)
Dịch: Lê Trung Nghĩa
Ý kiến bạn đọc
Những tin mới hơn
Những tin cũ hơn
Blog này được chuyển đổi từ http://blog.yahoo.com/letrungnghia trên Yahoo Blog sang sử dụng NukeViet sau khi Yahoo Blog đóng cửa tại Việt Nam ngày 17/01/2013.Kể từ ngày 07/02/2013, thông tin trên Blog được cập nhật tiếp tục trở lại với sự hỗ trợ kỹ thuật và đặt chỗ hosting của nhóm phát triển...