Patch Tuesday June 2016

Posted by wkandek in The Laws of Vulnerabilities on June 14, 2016 10:03 AM

Theo: https://blog.qualys.com/laws-of-vulnerabilities/2016/06/14/patch-tuesday-june-2016

Bài được đưa lên Internet ngày: 14/06/2016

Lời người dịch: Bản vá ngày thứ Ba tháng 06/2016 của Microsoft có 16 bản tin giải quyết 44 chỗ bị tổn thương. 5 bản tin được xếp hạng sống còn giải quyết các chỗ bị tổn thương được thấy trong MS DNS Server, Edge, Internet Explorer, JScript/VBScript, và Office. Các bản tin còn lại được xếp hạng quan trọng và giải quyết các chỗ bị tổn thương trong Active Directory, Exchange Server, Group Policy, SMB Server, Netlogon, Windows Graphics component, Windows Kernel-mode Drivers, Windows PDF, Window Search Component, và WPAD.

Xem thêm: Windows XP sau ngày hết hỗ trợ kỹ thuật toàn cầu, 08/04/2014

Đây là Bản vá ngày thứ Ba tháng 6/2016, và Microsoft đang đưa ra 16 bản tin sửa hơn 40 chỗ bị tổn thương khác nhau (CVEs). Nó mang ra tổng cộng 81 dự án trong vòng nửa năm so với tổng số hơn 160 bản tin cho năm 2016, một kỷ lục mới về các bản vá trong thập kỷ vừa qua.

Nhưng sự chú ý trước tiên của bạn nên tập trung vào Adobe Flash. Adobe đã công nhận rằng chỗ bị tổn thương (CVE-2016-4171) trong trình chơi Flash hiện hành đang được sử dụng trong hoang dại và bị chậm ra bản vá hàng tháng được kỳ vọng cho Adobe Flash. Trong khuyến cáo của mình APSA16-03 họ hứa vá vào cuối tuần này. Hãy thật chú ý vào phát hành đó và hãy giải quyết càng nhanh càng tốt. Nếu bạn có EMET trên các máy tính của bạn, thì bạn được bảo vệ. Dù vậy, đây là tháng thứ 3 liên tục chúng tôi đang thấy lỗi ngày số 0 trong Flash, làm cho nó chắc chắn nhất trở thành phần mềm bị ngắm đích nhiều nhất trong các điểm cuối của tổ chức của bạn.

Nếu không, sẽ có sự pha trộn ở phía máy trạm và phía máy chủ các bản tin tháng này, nên toàn bộ đội CNTT sẽ có tải công việc tuần này để đảm bảo an toàn cho các hệ thống của bạn.

Chỗ bị tổn thương thú vị nhất ở phần máy chủ được đề cập tới trong MS16-071. Nó sửa chỗ bị tổn thương sống còn trong máy chủ DNS của Microsoft. Sự khai thác thành công bày ra cho kẻ tấn công sự Thực thi Mã Từ xa (RCE) trên máy chủ, nó là cực kỳ đáng lo ngại đối với dịch vụ sống còn như DNS. Các tổ chức mà quản lý máy chủ DNS của họ trên cùng máy với máy chủ Active Directory cần nhận thức gấp đôi về sự nguy hiểm của chỗ bị tổn thương này.

Về phía máy trạm thì chỗ bị tổn thương quan trọng nhất được đề cập tới trong MS16-070, nó sửa một số vấn đề trong Microsoft Office. Chỗ bị tổn thương quan trọng nhất ở đây là CVE-2016-0025 trong định dạng Microsoft Word RTF, nó bày ra RCE cho kẻ tấn công. Vì RTF có thể được sử dụng để tấn công qua khung xem trước của Outlook, lỗi đó có thể được kích hoạt với một thư điện tử đơn giản mà không cần sự tương tác của người sử dụng.

Ở phía trình duyệt web, MS16-063 cho Internet Explorer, MS16-068 cho Edge và MS16-069 cho Javascript trong Windows Vista hiện diện với một số chỗ bị tổn thương sống còn RCE có khả năng bị khai thác thông qua duyệt web đơn giản. Các chỗ bị tổn thương đó đại diện cho vật trung gian tấn công ưa thích đối với các tội phạm không gian mạng và chúng tôi khuyến cáo giải quyết chúng trong 7 ngày tiếp sau.

Các chỗ bị tổn thương còn lại tất cả được xếp hạng quan trọng và thường có thể được sử dụng để leo thang quyền ưu tiên một khi ai đó đã giành được sự thực thi mã trên máy tính, vì thế chúng có thể được sử dụng kết hợp với thực thi mã ở xa như được mô tả ở trên. Ngoại lệ là MS16-076 giải quyết lỗi duy nhất trong Windows Netlogon có thể cung cấp RCE cho kẻ tấn công - độ nghiêm trọng của nó là thấp hơn so với chỗ bị tổn thương RCE thông thường vì nó đòi hỏi kẻ tấn công kiểm soát được máy chủ thư mục tích cực rồi.

Có 2 chỗ bị tổn thương nữa ở phía máy chủ mà được xếp hạng là “quan trọng”:

• Sự leo thang quyền ưu tiên trong thành phần máy chủ SMB trong MS16-075

• Lỗi trong Microsoft Exchange trong MS16-079 cũng gây ra sự leo tháng quyền ưu tiên, vài lỗi từ Oracle Patch (Bản vá của Oracle) trong thư viện Outside-in của họ.

Tổng thể đây là Bản vá ngày thứ Ba thường lệ với 1 lỗi ngày số 0 được biết, nên việc giám sát khẩn cấp đặc biệt cho bản cập nhật Flash sắp tới. Hãy vá phần còn lại theo các ưu tiên thông thường của bạn, nhưng hãy chú ý đặc biệt tới chỗ bị tổn thương của máy chủ DNS vì nó có liên quan tới sự hấp dẫn một vài sự chú ý không mong muốn.

It is Patch Tuesday June 2016, and Microsoft is coming out with 16 bulletins bringing fixing over 40 distinct vulnerabilities (CVEs). It brings up the half-year total to 81 which projects to a total of over 160 bulletins for 2016, a new record in terms of patches for the last decade.

But your primary attention should be on Adobe Flash. Adobe has acknowledged that a vulnerability (CVE-2016-4171) in the current Flash player is being used in the wild and delayed the expected monthly Adobe Flash patch.  In their advisory APSA16-03 they promise the  patch for the end of this week. Pay close attention to the release and address as quickly as possible. If you have EMET on your systems you are protected. By the way, this is the third month in a row that we are seeing a 0-day in Flash, making it most certainly the most targeted software on your organization’s endpoints.

Otherwise, there is a mix of client side and server side bulletins this month, so the whole IT team will have a workload this week to secure their systems.

The most interesting vulnerability on the server side is addressed in MS16-071. It fixes a single critical vulnerability in Microsoft’s DNS server. Successful exploitation yields the attacker Remote Code Execution (RCE) on the server, which is extremely worrisome on such a mission critical service such as DNS. Organizations that run their DNS server on the same machine as their Active Directory server need to be doubly aware of the danger of this vulnerability.

On the client side the most important vulnerability is addressed in MS16-070, which fixes a number of problems in Microsoft Office. The most important vulnerability here is CVE-2016-0025 in Microsoft Word RTF format, which yields RCE for the attacker. Since RTF can be used to attack through Outlook’s preview pane, the flaw is can be triggered with a simple e-mail without user interaction.

On the web browser side MS16-063 for Internet Explorer, MS16-068 for Edge and MS16-069 for Javascript on Windows Vista attend to a number of critical RCE vulnerabilities exploitable through simple web browsing. These vulnerabilities represent a favorite attack vector for cyber criminals and we recommend to address them with the next 7 days.

The remaining vulnerabilities are all rated important and typically can be used to elevate privileges once one has gained code execution on the machine, so they would be used in concert with a remote code execution as described above. The exception is MS16-076 which addresses a single flaw in Windows Netlogon that can provide RCE to the attacker – its severity is lower than for a normal RCE vulnerability because it requires that the attacker control the active directory server already.

There are two more vulnerabilities on the server side that are rated “important”:

• An elevation of privilege on the SMB server component in MS16-075

• A flaw in Microsoft Exchange in MS16-079 also resulting in elevation of privilege, some resulting from the Oracle Patch in their Outside-in library.

Overall this is a normal Patch Tuesday with one known 0-day, so special urgency monitoring for the upcoming Flash update. Patch the remainder according to your normal priorities, but pay special attention to the DNS server vulnerability as it is bound to attract some unwanted attention.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com