Microsoft opravil 55 zraniteľností, z toho 3 zero-day

Spoločnosť Microsoft vydala balík opráv Patch Tuesday, v ktorom opravila 55 zraniteľností. Z nich 50 označila ako vysoko závažné a 4 ako kritické. 3 zraniteľnosti sú typu zero-day, no zatiaľ neboli aktívne zneužívané. Väčšina najzávažnejších chýb zabezpečenia umožňuje vzdialené vykonávanie kódu, či zvýšenie oprávnení útočníka.

Dôsledky

  • Vzdialené vykonávanie kódu a jeho automatické šírenie
  • Vyvolanie nedostupnosti, či kompromitácia služieb postavených na virtualizačnej platforme Hyper-V
  • Zvýšenie oprávnení v systéme
  • Kompromitácia infraštruktúry organizácie

Opis činnosti

Spoločnosť Microsoft opravila v rámci svojho pravidelného aktualizačného balíka Patch Tuesday 55 zraniteľností. Štyri z nich dostali hodnotenie kritické, 50 pokladá spoločnosť za vysoko závažné. Tri zraniteľnosti boli verejne známe už pred vydaním opravy, no Microsoft nezaznamenal prípady ich zneužitia.

Kritické:

CVE-2021-31166 (CVSSv3 9,8)

Zraniteľnosť v serveri HTTP.sys, ktorá sa nachádza na zásobníku protokolu HTTP. Umožňuje útočníkovi vzdialene vykonávať kód na serveri s právami jadra. Neautentifikovaný útočník ju môže zneužiť zaslaním špeciálne vytvoreného http paketu zraniteľnej službe. Zraniteľnosť je „wormable“, čo znamená, že útok sa dokáže šíriť medzi zraniteľnými systémami bez interakcie obete.

CVE-2021-26419 (CVSSv3 7,5)

Zraniteľnosť skriptovacieho nástroja prehliadača Internet Explorer, vedie ku poškodeniu pamäte a možnosti vzdialene vykonávať kód. Útočník ju môže zneužiť vytvorením škodlivej webstránky a presvedčením obete, aby podvrhnutú webstránku navštívila. Rovnako môže zaslať obeti súbor využívajúci vykresľovací nástroj Internet Exploreru, do ktorého vloží ovládací prvok ActiveX s označením „safe for initialization“.

CVE-2021-28476 (CVSSv3 9,9)

Zraniteľnosť sa nachádza vo virtualizačnom nástroji Hyper-V. Umožňuje neautentifikovanému útočníkovi vzdialene vykonať kód (RCE). Úspešné zneužitie zraniteľnosti by mohlo útočníkovi umožniť kompromitovať hostiteľské zariadenie z virtualizovaného prostredia. Možno ju zneužiť aj na vyvolanie nedostupnosti služby.

CVE-2021-31194 (CVSSv3 8,8)

Zraniteľnosť sa nachádza v medziprocesovom komunikačnom mechanizme Windows OLE Automation. Podobne ako všetky predchádzajúce zraniteľnosti, umožňuje vzdialené vykonávanie kódu (RCE) bez nutnosti interakcie používateľa.

Zero-day:

CVE-2021-31200 (CVSSv3 7,2)

Zraniteľnosť sa nachádza v open source sade nástrojov Microsoft Neural Network Intelligence. Umožňuje vzdialené vykonávanie kódu.

CVE-2021-31204 (CVSSv3 7,3)

Zraniteľnosť sa nachádza vo vývojovom prostredí .NET a Visual Studio. Existuje pre nedostatočné, alebo neexistujúce bezpečnostné obmedzenia. Chybu zabezpečenia by tak útočník mohol zneužiť na zvýšenie svojich oprávnení v systéme.

CVE-2021-31207 (CVSSv3 6,6)

Zraniteľnosť serveru Microsoft Exchange umožňuje obídenie bezpečnostných prvkov. Bola odhalená na podujatí Pwn2Own 2021. Viac informácií o zraniteľnosti zatiaľ nebolo zverejnených, pre vytvorenie času na vykonanie zabezpečenia emailových serverov Microsoft Exchange.

Zraniteľné systémy

  • Windows 7, 8.1, 10
  • Windows Server
  • Microsoft Exchange Server
  • Internet Explorer 11
  • aplikácie .NET 5.0 využívajúce .NET 5.0.5 a nižšie
  • aplikácie .NET Core 3.1 využívajúce .NET Core 3.1.14 a nižšie
  • Visual Studio: 2019 for Mac version 8.9, 2019 version 16.4, 2019 version 16.7, 2019 version 16.9

Závažnosť zraniteľnosti
Vysoká

Možné škody
Únik citlivých informácií
Vzdialené vykonávanie kódu
Narušenie dostupnosti systému (DoS)

Odporúčania

  • Bezodkladná inštalácia najnovších bezpečnostných aktualizácií Patch Tuesday
  • Udržiavať systémy vždy aktuálne

Odkazy
https://www.bleepingcomputer.com/news/microsoft/microsoft-may-2021-patch-tuesday-fixes-55-flaws-3-zero-days/
https://blog.talosintelligence.com/2021/05/microsoft-patch-tuesday-for-may-2021.html
https://www.zerodayinitiative.com/blog/2021/5/11/the-may-2021-security-update-review
https://www.tenable.com/blog/microsoft-s-may-2021-patch-tuesday-addresses-55-cves-cve-2021-31166
https://www.cybersecurity-help.cz/vdb/SB2021051141
https://msrc.microsoft.com/update-guide/vulnerability
https://github.com/dotnet/announcements/issues/185