Компания Microsoft 10 марта выкатила очередной ежемесячный набор апдейтов, закрывающий 115 уязвимостей в ее продуктах — от Windows 10 до облачного сервиса Azure. А 11 марта пришлось выпустить внеочередной патч для критической проблемы в реализации протокола SMB в Windows 10 (новость, бюллетень Microsoft, описание патча, обсуждение на Хабре).

Исходное предупреждение об обнаружении уязвимости было распространено за день до выпуска патча, причем по довольно нестандартной причине. Статьи с описанием уязвимости были по ошибке опубликованы компаниями Cisco Talos и Fortinet, что, видимо, стало результатом взаимонепонимания между ними и Microsoft в процессе совместного исследования. Публикации были удалены, однако в качестве меры предосторожности компания Microsoft распространила рекомендации по защите SMB-серверов. Для клиентов до выпуска патча временного решения не существовало, что представляло определенную опасность, так как дыру в Windows 10 (и в двух модификациях Windows Server) можно эксплуатировать для выполнения произвольного кода.

Уязвимости подвержены системы, использующие версию протокола SMB 3.1.1, — это релизы Windows 10 1903 и 1909, а также аналогичные версии Windows Server, распространяемые через особый канал с регулярными апдейтами один раз в полгода. Обычные инсталляции Windows Server, равно как и более ранние пользовательские версии Windows, уязвимости не подвержены — очевидно, она была внесена в код SMB для обмена файлами недавно.

Базовое описание уязвимости опубликовано компанией Duo Security по мотивам тех самых удаленных материалов Fortinet и Cisco Talos. Речь идет об ошибке переполнения буфера, ведущего к выполнению произвольного кода на непропатченной системе. Атака на SMB-сервер может быть проведена с любого клиента, имеющего доступ; для атаки на клиентское ПО нужно реализовать сценарий подключения к модифицированному серверу. В этом кратком описании содержится намек на то, что уязвимость может быть «wormable». То есть использована атакующим для последовательного заражения всех подверженных систем, например внутри корпоративного периметра.

Отсюда и рекомендации Microsoft: ограничение доступа по протоколу SMB, закрытие портов для доступа извне. В отдельном документе даются настройки для блокировки связанных с общим доступом к файлам портов при подключении компьютера к недоверенной сети. Таким образом можно снизить риск атаки на компьютер сотрудника в распространенном сценарии удаленной работы из дома или при использовании публичного Wi-Fi. Еще одна, изначальная рекомендация для защиты файлового сервера — отключение сжатия данных — говорит о возможном источнике проблемы.

Что еще произошло

В новых версиях браузера Firefox 73 и ESR 68.6 закрыты пять критических уязвимостей и одна смешная. Уязвимость CVE-2020-6812 «может привести к раскрытию реального имени пользователя при использовании на устройствах Apple». Точнее, если пользователь iPhone имеет также наушники AirPods и разрешает в браузере Firefox определенным сайтам доступ к камере и микрофону. По умолчанию беспроводные наушники в iOS называются по реальному имени пользователя (например, Jane Doe's AirPods). Если дать какому-то сайту доступ к камере и микрофону, название наушников передается как имя устройства. Соответственно, владелец сайта может с высокой вероятностью получить реальное имя пользователя. Проблема решена при помощи принудительного переименования аудиоустройств вида ХХХХ AirPods просто в AirPods при обработке запросов к микрофону.


Компания Google выплатила больше 100 тысяч долларов исследователю, обнаружившему способ получения прав суперпользователя в консоли Google Cloud Shell для разработчиков.

Эксперты «Лаборатории Касперского» опубликовали детальный разбор трояна для устройств на базе Android, крадущего куки из браузера и приложения Facebook. Еще одно исследование мобильных угроз «Лаборатории Касперского» посвящено представителю программ типа stalkerware, используемых для слежки. Помимо контроля за ��ерепиской во всех популярных мессенджерах это ПО также может быть использовано для кражи кода разблокировки устройства.

В корпоративном чате Slack закрыта серьезная уязвимость, обеспечивающая возможность кражи аккаунтов.
Опубликован интересный рассказ о реверс-инжиниринге системы Driver Assistance, используемой в автомобилях Audi. Уязвимостей не обнаружено, но анализ протокола связи позволил исследователям покрутить рулем без ведома владельца.

Опубликовано новое исследование (PDF) атак по сторонним каналам от специалистов из Университета Граца в Австрии (нашедших в том числе уязвимости Spectre). В данном случае речь идет о потенциальных уязвимостях в процессорах AMD. В работе показан метод извлечения секретных данных способом, похожим на атаку Spectre, но с применением нового стороннего канала. Такой подход позволил производителю процессоров заявить, что данные исследования нельзя квалифицировать как новую уязвимость. Соответственно, закрывать ее также не планируется: безопасный код сделает такую атаку невозможной.