Microsoft ujawnił szereg luk w zabezpieczeniach powodujących uszkodzenie pamięci w bibliotece programistycznej ncurses, używanej głównie w systemach Linux i macOS. Luki, jeśli zostaną wykorzystane, mogą pozwolić ugrupowaniom zagrażającym na wykonanie złośliwego kodu w podatnych systemach. Badacze Analityka zagrożeń firmy Microsoft podkreślili, że manipulując zmiennymi środowiskowymi, osoby atakujące mogą wykorzystać te luki w celu zwiększenia uprawnień i wykonania kodu w kontekście docelowego programu.
Wglądy techniczne i implikacje
Luki, oficjalnie oznaczone jako CVE-2023-29491 z wynikiem CVSS wynoszącym 7,8 zostały poprawione w kwietniu 2023 r. Firma Microsoft współpracowała z firmą Apple, aby rozwiązać problemy specyficzne dla systemu macOS związane z tymi lukami. Wykryte wady obejmują różnorodne problemy, w tym wyciek informacji o stosie, pomieszanie sparametryzowanego typu łańcucha i przekroczenie sterty podczas analizowania pliku bazy danych Terminfo. Badacze podkreślili, że wykorzystanie tych luk wymagałoby wieloetapowej strategii ataku.
Wspólne wysiłki i środki zaradcze
Firma Microsoft aktywnie udostępniała te luki innym osobom odpowiednim interesariuszom poprzez skoordynowane ujawnianie luk w zabezpieczeniach (CVD) i badanie luk w zabezpieczeniach firmy Microsoft (MSVR). Opiekunowie biblioteki ncurses natychmiast zajęli się lukami. Firma Microsoft doceniła także wkład badacza Gergely’ego Kalmana, który przedstawił cenne przypadki użycia, które pomogły w badaniach. Użytkownicy biblioteki ncurses proszeni są o aktualizację swoich systemów w celu zabezpieczenia się przed potencjalnym wykorzystaniem.
Najnowsze poprawki z wtorku
W tym tygodniu wypuszczono wtorkową łatkę Microsoft z września 2023 r., która usuwała łącznie 59 luk w zabezpieczeniach, z czego dwie to luki typu zero-day obecnie w czynnej eksploatacji. Jak wszystkie miesiące, Patch Tuesday ma na celu zabezpieczenie usług Microsoftu przed problemami bezpieczeństwa i błędami. Aktywnie wykorzystywane są dwie luki typu zero-day:
CVE-2023-36802 – Luka w zabezpieczeniach serwera proxy usługi Microsoft Streaming Service umożliwiająca podniesienie uprawnień. Ta luka umożliwia atakującym wykorzystanie luki w celu uzyskania uprawnień systemowych. CVE-2023-36761 – luka w zabezpieczeniach programu Microsoft Word umożliwiająca ujawnienie informacji. Luka ta może zostać wykorzystana przez osoby atakujące do ujawnienia skrótów NTLM.
