«Вторник патчей» — декабрь 2011

Microsoft завершает серию патчей этого года обширным выпуском «заплат» на разные случаи. Техническим специалистам был обещан выпуск 14 бюллетелей, и 13 из них вышли именно в декабре. Один из них связан со скандальными событиями и закрывает соответствующий код, и хотя немногие отмечены как «критические», являются ли они менее важными?

Было множество догадок относительно того, что за группировка стоит за Stuxnet и Duqu, и наши исследовали опубликовали на Securelist как минимум полдюжины описаний, посвященных одной только аналитике Duqu. MS11-087 закрывает путь проникновения самого Duqu. Эта уязвимость режима ядра была публично идентифицирована и подтверждена в начале ноября, однако с успехом могла использоваться втихую при проведении атак во всем мире уже более года

Таргетированный функционал дает возможность парсинга шрифтов формата TrueType для ОС. и группировка использовала эти компоненты в своих целях: разослала эксплойты в виде документов Word во вложениях в электронных письмах, представляющих интерес для отдельных жертв (такая техника известна как целевой фишинг). Известно, что «дефектный» код оказывал влияние только на избранные системы во всем мире.

Другое событие, вызвавшее шумиху, получило известность как уязвимость SSL BEAST. Мы рассказывали об истерике вокруг конференции Ekoparty в Аргентине несколько месяцев назад, когда аналитик продемонстрировал взлом SSL на системе Windows. Ожидался и выпуск и соответствующего кода, Однако сообщений об атаках с использованием этой уязвимости не было, и Microsoft откладывает выпуск патча, пытаясь удостовериться, что ее браузер невозможно взломать этим способом, не создавая проблем с совместимостью, — так же, как это делали Google Chrome и Firefox.

В это раз были выпущены и другие многочисленные патчи с компонентами Internet Explorer, Powerpoint и другими, включая компонент для создания китайского шрифта Pinyin IME, все соответствующие уязвимости были закрыты. Интересно, что даже Microsoft считает, что высока вероятность выпуска кода эксплойта по крайней мере для дюжины из них, однако не считает многие из них критическими для того, чтобы администраторы ставили «заплаты». На мой взгляд, явным кандидатом на звание «критического» является проблема с Active Directory. Организации, которые являются постоянным объектом направленных атак, могут считать ее насущной, учитывая, что контроллер доменов и Active Directory представляли большой интерес для злоумышленников в атаках в прошлом.