1. Informacja o podatnościach w środowiskach uruchomieniowych języka Java – głównie dla osób tworzących oprogramowanie albo udostępniających usługi z wykorzystaniem Javy 15, 17 lub 18 (w szczególności komponentu security-libs/java.security).

Wersje środowisk Javy, poczynając od Javy 15, narażone są na błąd (kod CVE-2022-21449, CVSS 7.5/10, zatem już w kategorii „wysoce krytyczny” – choć część ekspertów uważa ocenę za zaniżoną) w mechanizmach obsługi algorytmów ECDSA przy generowaniu podpisów cyfrowych. Błędna obsługa protokołu kryptograficznego sprawia, że możliwe jest podrobienie podpisu cyfrowego. Dla dowolnej podpisywanej wiadomości zadziała podpis złożony z samych zer. Podpisy cyfrowe wykorzystujące algorytmy ECDSA wykorzystywane są np. przez Java Web Tokens. Samych algorytmów ECDSA nie należy przy tym uważać za niebezpieczne (w pewnych aspektach jest wręcz przeciwnie) i np. wyłączać ich obsługi – błędna jest tylko implementacja. Podatność wprowadzono przy okazji przepisywania poprawnego kodu C/C++ na Javę w wersji 15.

Użytkownicy korzystający z Javy z linii 15-18 powinni niezwłocznie zainstalować właściwe uaktualnienie. Co ważne, problem dotyczy różnych środowisk uruchomieniowych, w tym Oracle Javy, OpenJDK i Amazon Corretto. Linki poniżej.

Podstawowy możliwy scenariusz to działania złośliwych użytkowników przeciwko tworzonej albo udostępnianej usłudze, stąd niezwłoczną aktualizację zalecamy przede wszystkim Administratorom i twórcom usług. Można sobie jednak wyobrazić sytuację, w której to użytkownik komunikuje się przy pomocy podatnej wersji Java z podstawionym, złośliwym serwerem, dlatego polecamy również uaktualnienie środowisk uruchomieniowych Javy na maszynach klienckich, jeżeli są zainstalowane. Zwracamy przy tym uwagę, że błędów bezpieczeństwa w tych środowiskach pojawia się relatywnie dużo i stosowne aktualizacje powinno się wdrażać na bieżąco.

Więcej informacji:

https://sekurak.pl/tajemnicza-podatnosc-w-javie-ktora-moze-okazac-sie-katastrofalna-blad-kryptograficzny-zwiazany-z-podpisami-cyfrowymi-cve-2022-21449/

– Informacje dotyczące uaktualnień ze strony wybranych producentów:

   – Amazon Corretto: https://patchmypc.com/patch-my-pc-catalog-update-04-19-22

   – OpenJDK: https://openjdk.java.net/groups/vulnerability/advisories/2022-04-19

   – Oracle Java: https://www.oracle.com/security-alerts/cpuapr2022.html (informacja producenta o comiesięcznych uaktualnieniach)

https://neilmadden.blog/2022/04/19/psychic-signatures-in-java/ (bardziej techniczny opis w jęz. angielskim, przygotowany przez odkrywcę)

2. Informacja dla Administratorów współdzielonych maszyn, które pracują pod kontrolą systemu Microsoft Windows i posiadają konta standardowych użytkowników.

Odkryto możliwość lokalnego podniesienia uprawnień w systemie Windows z użyciem popularnego oprogramowania do obsługi archiwów ZIP 7-Zip, poprzez mechanizm pomocy tej aplikacji („przeciągnięcie i upuszczenie” do okna pomocy specyficznie sformatowanego archiwum w natywnym formacie .7z). Błąd ma identyfikator CVE-2022-29072, wstępnie klasyfikowany jako średnio krytyczny. Istnieją doniesienia, że jest już wykorzystywany w rzeczywistych atakach, stąd – mimo niższego poziomu zagrożenia – również o nim informujemy.

Oczywisty scenariusz wykorzystania to podniesienie sobie uprawnień przez użytkownika, który już ma konto lokalne w systemie (ale ze standardowymi uprawnieniami), do poziomu konta administracyjnego. Prosimy jednak zwrócić uwagę na fakt, że takie podniesienie uprawnień może odbyć się poza świadomością użytkownika – może on np. mieć uruchomione złośliwe oprogramowanie próbujące eskalować uprawnienia, i o tym nie wiedzieć.

Aktualnie brak łaty na wspomnianą podatność (twórcy programu przenoszą odpowiedzialność na autorów systemu operacyjnego Windows); obejściem jest:

1) skonfigurowanie uprawnień pliku wykonywalnego 7zFM.exe tylko na „odczyt i wykonywanie” dla wszystkich użytkowników, lub

2) usunięcie pliku pomocy 7-Zipa (7-zip.chm) z katalogu programu

Jeden z dwóch powyższych kroków polecamy wykonać Administratorom, mającym na swoich serwerach Windows, użytkowników o standardowych (obniżonych) uprawnieniach – i oczywiście zainstalowany 7-Zip

Nie chcemy zniechęcać do stosowania oprogramowania jako takiego; jest darmowe, wydajne i ma przydatne opcje bezpieczeństwa, a atak wymaga zajścia specyficznego scenariusza. A gdyby tak nagle, w przyszłości, pojawiła się łata producenta (por. https://www.7-zip.org/download.html), rekomendujemy jej instalację.

Więcej informacji:

https://www.telepolis.pl/tech/aplikacje/windows-7zip-microsoft-blad-bezpieczenstwo

– informacje techniczne dla zainteresowanych od odkrywcy błędu (częściowo w języku tureckim, w tym filmik PoC): https://github.com/kagancapar/CVE-2022-29072