- Informacja o podatnościach w środowiskach uruchomieniowych języka Java – głównie dla osób tworzących oprogramowanie albo udostępniających usługi z wykorzystaniem Javy 15, 17 lub 18 (w szczególności komponentu security-libs/java.security).
Wersje środowisk Javy, poczynając od Javy 15, narażone są na błąd (kod CVE-2022-21449, CVSS 7.5/10, zatem już w kategorii „wysoce krytyczny” – choć część ekspertów uważa ocenę za zaniżoną) w mechanizmach obsługi algorytmów ECDSA przy generowaniu podpisów cyfrowych. Błędna obsługa protokołu kryptograficznego sprawia, że możliwe jest podrobienie podpisu cyfrowego. Dla dowolnej podpisywanej wiadomości zadziała podpis złożony z samych zer. Podpisy cyfrowe wykorzystujące algorytmy ECDSA wykorzystywane są np. przez Java Web Tokens. Samych algorytmów ECDSA nie należy przy tym uważać za niebezpieczne (w pewnych aspektach jest wręcz przeciwnie) i np. wyłączać ich obsługi – błędna jest tylko implementacja. Podatność wprowadzono przy okazji przepisywania poprawnego kodu C/C++ na Javę w wersji 15.
Użytkownicy korzystający z Javy z linii 15-18 powinni niezwłocznie zainstalować właściwe uaktualnienie. Co ważne, problem dotyczy różnych środowisk uruchomieniowych, w tym Oracle Javy, OpenJDK i Amazon Corretto. Linki poniżej.
Podstawowy możliwy scenariusz to działania złośliwych użytkowników przeciwko tworzonej albo udostępnianej usłudze, stąd niezwłoczną aktualizację zalecamy przede wszystkim Administratorom i twórcom usług. Można sobie jednak wyobrazić sytuację, w której to użytkownik komunikuje się przy pomocy podatnej wersji Java z podstawionym, złośliwym serwerem, dlatego polecamy również uaktualnienie środowisk uruchomieniowych Javy na maszynach klienckich, jeżeli są zainstalowane. Zwracamy przy tym uwagę, że błędów bezpieczeństwa w tych środowiskach pojawia się relatywnie dużo i stosowne aktualizacje powinno się wdrażać na bieżąco.
Więcej informacji:
– Informacje dotyczące uaktualnień ze strony wybranych producentów:
– Amazon Corretto: https://patchmypc.com/patch-my-pc-catalog-update-04-19-22
– OpenJDK: https://openjdk.java.net/groups/vulnerability/advisories/2022-04-19
– Oracle Java: https://www.oracle.com/security-alerts/cpuapr2022.html (informacja producenta o comiesięcznych uaktualnieniach)
– https://neilmadden.blog/2022/04/19/psychic-signatures-in-java/ (bardziej techniczny opis w jęz. angielskim, przygotowany przez odkrywcę)
2. Informacja dla Administratorów współdzielonych maszyn, które pracują pod kontrolą systemu Microsoft Windows i posiadają konta standardowych użytkowników.
Odkryto możliwość lokalnego podniesienia uprawnień w systemie Windows z użyciem popularnego oprogramowania do obsługi archiwów ZIP 7-Zip, poprzez mechanizm pomocy tej aplikacji („przeciągnięcie i upuszczenie” do okna pomocy specyficznie sformatowanego archiwum w natywnym formacie .7z). Błąd ma identyfikator CVE-2022-29072, wstępnie klasyfikowany jako średnio krytyczny. Istnieją doniesienia, że jest już wykorzystywany w rzeczywistych atakach, stąd – mimo niższego poziomu zagrożenia – również o nim informujemy.
Oczywisty scenariusz wykorzystania to podniesienie sobie uprawnień przez użytkownika, który już ma konto lokalne w systemie (ale ze standardowymi uprawnieniami), do poziomu konta administracyjnego. Prosimy jednak zwrócić uwagę na fakt, że takie podniesienie uprawnień może odbyć się poza świadomością użytkownika – może on np. mieć uruchomione złośliwe oprogramowanie próbujące eskalować uprawnienia, i o tym nie wiedzieć.
Aktualnie brak łaty na wspomnianą podatność (twórcy programu przenoszą odpowiedzialność na autorów systemu operacyjnego Windows); obejściem jest:
1) skonfigurowanie uprawnień pliku wykonywalnego 7zFM.exe tylko na „odczyt i wykonywanie” dla wszystkich użytkowników, lub
2) usunięcie pliku pomocy 7-Zipa (7-zip.chm) z katalogu programu
Jeden z dwóch powyższych kroków polecamy wykonać Administratorom, mającym na swoich serwerach Windows, użytkowników o standardowych (obniżonych) uprawnieniach – i oczywiście zainstalowany 7-Zip
Nie chcemy zniechęcać do stosowania oprogramowania jako takiego; jest darmowe, wydajne i ma przydatne opcje bezpieczeństwa, a atak wymaga zajścia specyficznego scenariusza. A gdyby tak nagle, w przyszłości, pojawiła się łata producenta (por. https://www.7-zip.org/download.html), rekomendujemy jej instalację.
Więcej informacji:
– https://www.telepolis.pl/tech/aplikacje/windows-7zip-microsoft-blad-bezpieczenstwo
– informacje techniczne dla zainteresowanych od odkrywcy błędu (częściowo w języku tureckim, w tym filmik PoC): https://github.com/kagancapar/CVE-2022-29072