patch tuesday - Microsoft wydał łatki dla 98 luk oznaczonych numerami CVE

We wtorek Microsoft wydał łatki dla 98 luk oznaczonych numerami CVE, w tym jednej wykorzystywanej w środowisku naturalnym (CVE-2023-21674) i jednej (CVE-2023-21549), która została ujawniona publicznie. Obie pozwalają atakującym na podniesienie uprawnień na podatnej maszynie.

To pierwszy Patch Tuesday w 2023 roku. Warto dodać, że spośród 98 luk jedenaście zostało sklasyfikowanych jako krytyczne.

Liczba błędów w każdej kategorii została wymieniona poniżej:

  • 39 luk w zabezpieczeniach podniesienia uprawnień,
  • 4 luki w zabezpieczeniach dotyczące obejścia zabezpieczeń,
  • 33 luki w zabezpieczeniach umożliwiające zdalne wykonanie kodu,
  • 10 luk w zabezpieczeniach związanych z ujawnianiem informacji,
  • 10 luk w zabezpieczeniach związanych z odmową usługi,
  • 2 luki w zabezpieczeniach związane z fałszowaniem (spoofingiem).

Uwaga na te luki w bezpieczeństwie

CVE-2023-21674

CVE-2023-21674 to luka w zabezpieczeniach systemu Windows Advanced Local Procedure Call (ALPC), która może prowadzić do ucieczki z piaskownicy przeglądarki i umożliwić atakującym uzyskanie uprawnień SYSTEM w wielu różnych instalacjach systemów Windows i Windows Server. „Błędy tego typu są często łączone z jakąś formą wymuszania kodu w celu dostarczenia złośliwego oprogramowania lub oprogramowania ransomware. Biorąc pod uwagę, że zostało to zgłoszone Microsoft przez badaczy z firmy Avast, taki scenariusz wydaje się tutaj prawdopodobny” — zauważył Dustin Childs z firmy Trend Micro.

Należy pamiętać, że łatanie tego typu błędów powinno być priorytetem. Na ogół luki w zabezpieczeniach takie jak CVE-2023-21674 są dziełem grup APT w ramach ataków ukierunkowanych. Wykorzystują oni tego typu exploity do atakowania środowisk informatycznych.

CVE-2023-21549

Druga publicznie ujawniona luka w zabezpieczeniach, CVE-2023-21549, dotyczy Windows SMB Witness. Jej użycie jest mniej prawdopodobne w najnowszych wersjach systemów Windows i Windows Server, mimo że złożoność ataku i niezbędne uprawnienia są niskie, a interakcja użytkownika nie jest wymagana. „Aby wykorzystać lukę, osoba atakująca może wykonać specjalnie spreparowany złośliwy skrypt, który wykonuje wywołanie RPC do hosta RPC. Może to spowodować podniesienie uprawnień na serwerze. Osoba atakująca, której uda się wykorzystać tę lukę, może wykonać funkcje RPC, które są ograniczone tylko do kont uprzywilejowanych” — wyjaśnia Microsoft.

Inne luki

Administratorzy odpowiedzialni za łatanie lokalnych serwerów Microsoft Exchange powinni szybko przystąpić do załatania dwóch luk EoP (CVE-2023-21763/CVE-2023-21764), wynikających z nieudanej poprawki wydanej w listopadzie 2022 roku.

Pozostałe łaty mają na celu naprawienie luk w Windows Print Spooler (jedna z nich została zgłoszona przez NSA), jądrze Windowsa i innych rozwiązaniach. Istnieją również dwie interesujące luki (CVE-2023-21560, CVE-2023-21563) umożliwiające atakującym ominięcie funkcji BitLocker Device Encryption na systemowym urządzeniu pamięci masowej w celu uzyskania dostępu do zaszyfrowanych danych, ale tylko wtedy, gdy są one fizycznie obecne.

Windows 7 i Server 2008/2008 R2 bez wsparcia producenta

Przy okazji publikacji informacji o Patch Tuesday warto wspomnieć o ogłoszonym przez Microsoft 10 stycznia końcu wsparcia dla Windows 7 i Server 2008/2008R2. Od teraz korzystanie z tych systemów będzie niosło duże ryzyko, zwłaszcza w kwestii bezpieczeństwa.

„Minęły trzy lata, odkąd Microsoft rozpoczął program rozszerzonych aktualizacji zabezpieczeń (ESU) dla systemów Windows 7 i Server 2008/2008 R2, a ostateczne aktualizacje zabezpieczeń dla tych systemów operacyjnych ukażą się w przyszłym tygodniu. Chociaż będą one działać znacznie dłużej niż do wskazanego terminu, nadal będą wykrywane nowe luki w zabezpieczeniach, a systemy te będą narażone na wykorzystanie w coraz większym stopniu” — zauważył Todd Schell, starszy menedżer produktu ds. bezpieczeństwa w firmie Ivanti.

Podziel się z innymi tym artykułem!