Díry v Excelu umožňují vzdálené spuštění kódu

V aplikacích Excel ze všech podporovaných sad Microsoft Office (od 2000 po 2007, Office 2004 for Mac a Office 2008 for Mac nevyjímaje) byly objeveny dvě nové bezpečnostní díry, které umožňují spustit kód útočníka šikovně vpravený do souborů, které má Excel zpracovávat. Scénář vám asi nemusíme připomínat – prostě otevřete patřičně „vybavený“ dokument a je to. V souvislosti s jednou ze zmiňovaných děr už existují reálné případy zneužití a vy už možná tušíte, že jde o díru, o níž Microsoft vydal Security Advisory už 24. února (psali jsme o tom v souvislosti s březnovými záplatami, mezi nimiž na tuto díru žádná záplata nebyla). Nejde o nic vážného, prý šlo jen o omezený počet cílených útoků, nic, co by se šířilo ve velkém a na náhodná místa.

Další podrobnosti a odkazy ke stažení obsahuje Microsoft Security Bulletin MS09-009.

Díry ve WordPadu a Office Text Converteru umožňují vzdálené spuštění kódu

Společný Security Bulletin pro podporované verze Windows (kromě Vista a Serveru 2008), Word 2000 a 2002 (z Office XP) a Microsoft Office Converter Pack látá celkem čtyři nově objevené bezpečnostní díry, z toho dvě z nich jsou již reálně zneužívány a obě mohou vést ke spuštění kódu útočníka umístěného ve .wri souboru (dokument pro starý dobrý Write, dnes již známý jako WordPad). Další díra se týká Office Text converteru, konkrétně formátů WordPerfect 6.x a WordPad Word 97 (.wri a .doc).

Další podrobnosti a odkazy ke stažení obsahuje Microsoft Security Bulletin MS09-010.

Díra v DirectShow umožňuje vzdálené spuštění kódu

Tentokráte je postiženou komponentou samotný DirectX, a to verze 8.1 pro Windows 2000 a řada 9.0 pro všechny systémy vyjma Windows Vista a Server 2008 (tedy od Windows 2000 až po Windows XP/Servery 2003). Problém je konkrétně v dekódování MJPEGu, takže nakažený může být i obyčejný AVI soubor, případně může útočník vpravit svůj kód i do nějakého streamovaného videa přímo na internetu.

Další podrobnosti a odkazy ke stažení obsahuje Microsoft Security Bulletin MS09-011.

Díry ve Windows umožňují zvýšení práv

V systémech Windows byly objeveny další čtyři bezpečnostní díry, jedna ve službě MSDTC, další ve WMI, další v RPCSS a poslední v ThreadPool ACL. Pozoruhodné je, že všechny čtyři díry byly již zveřejněny a také se již zneužívají, jak však vyplývá z povahy zranitelnosti, útočník se musí pro jejich zneužití nejprve vůbec přihlásit na daný počítač a následně si může spouštěním patřičné aplikace zvýšit práva až na úroveň administrátora nebo v některých případech spouštět aplikace na úrovni operačního systému (pod interním účtem LocalSystem). Na pozoru by se tedy měli mít zejména administrátoři většího počtu PC ve firmách s uživateli-záškodníky.

Další podrobnosti a odkazy ke stažení obsahuje Microsoft Security Bulletin MS09-012.

Díry ve službě WinHTTP umožňují vzdálené spuštění kódu

Ve všech podporovaných operačních systémech Windows byly objeveny v HTTP službě tři nové díry, jedna z nich již byla zveřejněna, žádná se prý ale nezneužívá. Službu WinHTTP využívají jak některé komponenty Windows, mezi něž patří i služba UPnP, tak i aplikace třetích stran.

V případě první chyby je první na ráně právě zmíněná služba UPnP. Ta, pokud je zapnuta, sama zjišťuje, zda nejsou na síti v okolí nějaká UPnP zařízení (UPnP zařízení při svém startu vysílají, že jsou přítomny a zda si s nimi nechce někdo popovídat). Útočník na téže síti může zachytit SSDP požadavek systému a donutit službu UPnP navštívit server s přichystaným kódem pro WinHTTP službu.

Druhý problém lze využít v souvislosti s DNS spoofingem tak, že lze systém přesvědčit nejen o tom, že je na „správné adrese“, zatímco je na úplně jiné, ale také o tom, že bezpečnostní certifikát k této stránce patří. A třetí problém je ve Windows Internet API, kdy lze WinHTTP službu přesvědčit, aby serveru útočníka zaslala NTLM přihlašovací údaje uživatele do systému Windows, Tyto údaje pak může útočník použít pro zpětné přihlášení se na daný počítač. Windows Internet API používá také Internet Explorer a je tedy taktéž zranitelný, pro něj je však vydán hned následující Security Bulletin MS09-014.

Další podrobnosti a odkazy ke stažení obsahuje Microsoft Security Bulletin MS09-013.

Kumulativní aktualizace aplikace Internet Explorer

Prozatím je Internet Explorer 8 této kumulativní aktualizace ušetřen, tato se tedy týká všech starších podporovaných Internet Explorerů (tedy zpětně až do IE 5.01 pro Windows 2000 SP4). Nově je opraveno celkem šest bezpečnostních děr, jedna dokonce využívá zranitelnosti v prohlížeči Apple Safari pro Windows verze starší než 3.1.2 (neuvěřitelný scénář: uživatel si prohlíží útočníkovu stránku v postiženém Safari, ta stáhne bez ptaní na plochu spustitelný soubor, pak si další (nebo tutéž) stránku uživatel prohlídne v Internet Exploreru a tato patřičně upravená stránka přesvědčí Internet Explorer ke spuštění souboru, který se předtím stáhl přes Safari, konec příběhu, řekněte LOL :). Další díra byla zmíněna výše v Security Bulletinu MS09-013 a zbylé jsou klasika v podobě brouzdání nepěknými stránkami a chycením nějaké té havěti během koukání na obsah pro dospělé či snahy stáhnout nějaký ten crack a podobně ;-).

Další podrobnosti a odkazy ke stažení obsahuje Microsoft Security Bulletin MS09-014.

Kombinovaná díra v SearchPath umožňuje zvýšení práv

Veselou pohádku o Safari a spouštění útočníkova kódu z plochy Internet Explorerem jsme vám v předchozím Bulletinu nevyprávěli jen tak pro nic za nic. Chyba v Safari může být totiž využita i pro další díru, tentokráte ve funkci SearchPath v systému Windows. Jde však o díru takřka zanedbatelnou a scénář zneužití je ještě nepravděpodobnější. Na plochu se totiž tentokráte nebude stahovat aplikace, ale nějaký soubor, který se teprve nějakou aplikací bude skrze Internet Explorer otvírat. To snad ani nemá cenu rozvádět, pokud máte zájem o podrobnosti, najdete je spolu s odkazy ke stažení v Microsoft Security Bulletinu MS09-015.

Díry v ISA serveru a Forefront Threat Management Gateway umožňují zatuhnutí služby

Microsoft Forefront Threat Management Gateway, Medium Business Edition, ať už samostatně, nebo jako součást Windows Essential Business Serveru 2008, a Microsoft Internet Security and Acceleration Servery 2004 a 2006 obsahují dvě nově objevené bezpečnostní díry. Jednu z nich způsobuje Firewall engine state management, který pro Web proxy či Web publishing naslouchání nezpracovává stav session korektně a může ponechávat otevřené session, které se pak nakupí a služba může v důsledku toho zamrznout. Druhý problém nese jméno „Cross-site Scripting“ a jde o možnost spuštění nepředpokládaného či zakázaného skriptu na webu uvnitř webového prohlížeče pomocí webu třetí strany. Obě chyby se týkají jak Forefront TMG (Medium Business Edition), tak zmíněných Microsoft ISA serverů.

Další podrobnosti a odkazy ke stažení obsahuje Microsoft Security Bulletin MS09-016.

Nástroj pro odstranění škodlivého softwaru

Jak se již stalo skoro tradicí, přidává na seznam odchytitelné a zlikvidovatelné havěti Nástroj pro odstranění škodlivého softwaru jeden kousek. Win32/Waledac je trojský kůň používaný pro rozesílání spamu, stahování a spouštění další havěti, sbírání a odesílání e-mailových adres z nakaženého počítače (vynechává některé soubory archivů, multimédia jako obrázky a videa a spustitelné soubory), provádění DoS útoků, fungování jako proxy pro přesměrování datového toku a vyčmuchávání hesel při komunikaci se SMTP, POP, FTP a HTTP porty. Preventivně mrkněte do registru, jestli tam nemáte v klíči HKLM (nebo HKCU, když se mu nepovede HKLM)\Software\Microsoft\Windows\CurrentVersion\Run\ položku PromoReg a v …CurrentVersion pak ještě MyID nebo RList, to si pak můžete být jisti, že ho máte.

• Nástroj na odstranění škodlivého softwaru - duben 2009 (verze 2.9): 32bitový a 64bitový (x64)