A hibajavító kedd utózöngéi

A héten rengeteg fontos hibajavítás jelent meg különféle operációs rendszerekhez és alkalmazásokhoz. A megszüntetett sebezhetőségek között akadnak olyanok is, amelyeket a kiberbűnözés egy ideje már ismer, és használ.
 

A biztonsági hibajavítások szempontjából az elmúlt időszak egyik legmozgalmasabb hetén vagyunk túl. Az elmúlt napokban ugyanis tucat számra jelentek meg a különféle frissítések, amelyek nem egy esetben valóban nagyon súlyos hibákat orvosoltak. Számos javítást adott ki a Microsoft, az Adobe és nem utolsó sorban az Oracle is. Ez utóbbi vállalat egymagában több mint 150 biztonsági rést foltozott be a különböző termékein, köztük a Javán is. 

Annak ellenére, hogy megannyi hibajavítás vált elérhetővé, két biztonsági cég szerint is a legfontosabb teendők közé a Windows frissítését kell sorolni. Ennek az az oka, hogy az operációs rendszer több olyan sérülékenysége is orvosolhatóvá vált, amelyeket már korábban ismertek a kiberbűnözők, és azokat aktívan ki is használták. Vagyis nulladik napi sebezhetőségek megszüntetésére kell sort keríteni. De lássuk, hogy milyen sérülékenységekről is van szó valójában.

Jelentős kibertámadásokhoz vezetett a Windows hibája

Mielőtt a Microsoft az októberi hibajavító keddjén kiadta volna a frissítéseit, azelőtt már lehetett tudni, hogy egy olyan sérülékenységet is orvosolni fog, amely az elmúlt időszakban jelentős támadásokban kaphatott szerepet. 

Az iSIGHT Partners még augusztusban arra lett figyelmes, hogy egy meglehetősen jól ismert kiberbűnözői csoport egy addig ismeretlen, nulladik napi sebezhetőséget igyekszik a saját javára fordítani. Ez azért is különös érdeklődést váltott ki a kutatókból, mert arról a Sandworm (más néven Quedach) csoportról volt szó, amely már korábban bebizonyította, hogy képes jelentős célpontok ellen harcba szállni. Noha az iSIGHT hangsúlyozta, hogy a csoport tevékenysége meglehetősen szövevényes és átláthatatlan, az adatok azt mutatják, hogy ismét kiemelt célpontokat választott magának. Egyebek mellett a NATO, ukrajnai kormányzati szervek, lengyel energetikai vállalatok, európai telekommunikációs cégek és amerikai oktatási intézmények is célkeresztbe kerültek. A támadások vagy támadási kísérletek során a csoport célzott adathalász módszerekkel próbálta rávenni a felhasználókat, alkalmazottakat arra, hogy nyissanak meg egy PowerPoint állományt. Amennyiben ez megtörtént, akkor a Windows-ban jelen lévő sebezhetőség révén jogosulatlan kódfuttatásra és műveletvégrehajtásra adódhatott lehetőségük az elkövetőknek. 
Az iSIGHT Partners kutatói részletesen kivizsgálták a szóban forgó, Windows-os sérülékenységet, és az eredményeiket megosztották a Microsoft fejlesztőivel. Ennek köszönhetően vált elérhetővé az a hibajavítás, amely tulajdonképpen az operációs rendszer OLE-kezelését érinti, és speciálisan szerkesztett dokumentumokkal, PowerPoint állományokkal válhat kihasználhatóvá. A CVE-2014-4114 jelű sérülékenységet elsősorban az okozza, hogy a Windows lehetőséget ad OLE objektumokkal való visszaélésekre, és hálózati megosztásokról történő INF-formátumú állományok futtatására speciálisan szerkesztett OLE-objektumok révén.

Noha az iSIGHT Partners által feltárt biztonsági hibának hamar híre ment, a Microsoft "csak" fontos veszélyességűnek ítélte a problémát. 

További Windows sebezhetőségek

Nemrégen a FireEye kutatói a Windows kapcsán két veszélyes sebezhetőségre akadtak. Az egyik jogosultsági szint emelésre adhat módot, míg a másik jogosulatlan kódfuttatást tehet lehetővé a támadók számára. Ez utóbbi rendellenesség a TrueType betűtípusok esetenkénti nem megfelelő kezelésére vezethető vissza, és akár ártalmatlannak látszó Office dokumentumokkal is kihasználhatóvá válhat. A sebezhetőség fontos jellemzője, hogy az összes jelenleg támogatással rendelkező Windows kiadást érinti, és mind a 32 bites, mind a 64 bites verziók esetében kockázatot jelent, még akkor is, ha a FireEye eddig leginkább 32 bites rendszerek elleni támadásokról szerzett tudomást.

A két sérülékenységről a Microsoft MS14-058-as számú, kritikus veszélyességi besorolással ellátott biztonsági közleménye ad tájékoztatást.