Microsoft Patch Tuesday: 36 RCE-fejl, 3 Zero-days, 75 CVE'er

Genudgivet af Platon

Abonnenter: 0

Dechifrerer Microsofts officielle Opdateringsvejledning websider er ikke for sarte sjæle.

De fleste af de oplysninger, du har brug for, hvis ikke alt, hvad du virkelig gerne vil vide, er der, men der er et svimlende antal måder at se det på, og så mange genererede-on-the-fly-sider er nødvendige for at vise det, at det kan være svært at finde ud af, hvad der virkelig er nyt, og hvad der virkelig er vigtigt.

Skal du søge efter de berørte operativsystemplatforme?

Af sværhedsgraden af sårbarhederne? Ved sandsynligheden for udnyttelse?

Skal du sortere nul-dagene til toppen?

(Vi tror ikke, du kan – vi tror, der er tre nul-dage på denne måneds liste, men vi var nødt til at bore i individuelle CVE-sider og søge efter teksten "Udnyttelse opdaget" for at være sikker på, at en specifik fejl allerede var kendt af cyberkriminelle.)

.s-knap+.s-knap { margin-venstre: .3125rem; } .s-knap { overgang: alle .15s lineære; skriftstørrelse: .875rem; line-højde: 1.5; farve: #f2f2f2; skrifttype-familie: SophosSansMedium, Helvetica Neue, Helvetica, Arial, sans-serif; skrifttype-vægt: 400; skrifttype: normal; display: inline-blok; polstring: .3125rem 1.25rem; markør: pointer; tekst-align: center; tekst-dekoration: ingen; kant: 1px fast #005bc8; kant-radius: 3px; baggrundsfarve: #005bc8; tekst-skygge: ingen; } .s-button:hover { tekst-dekoration: ingen; farve: #fff; kant-farve: #002d62; baggrundsfarve: #002d62; } .s-button–white, .s-button–white:hover { color: #005bc8 !important; kantfarve: #fff; baggrundsfarve: #fff; } .s-ad-sophos-mdr { font-size: 1rem; line-højde: 1.5; farve: #242629; font-familie: SophosSansRegular, Helvetica Neue, Helvetica, Arial, sans-serif; skrifttype-vægt: 400; skrifttype: normal; stilling: relativ; max-bredde: 769px; margin: 15px auto; polstring: 30px 30px 25px; overgang: box-shadow .25s cubic-bezier( .645, .045, .355, 1 ); tekst-align: center; baggrundsfarve: #0d141d; baggrund-gentag: ingen-gentagelse; baggrundsposition: 50%; baggrundsstørrelse: omslag; kasse-skygge: 0 0 0 0 0 gennemsigtig; baggrundsfarve: #005bc8; baggrundsbillede: ingen; baggrundsposition: 0 0; } .s-ad-sophos-mdr__title { font-size: 2rem; linjehøjde: 1.125; margin-bund: 4px; farve: #fff; } .s-ad-sophos-mdr__text { font-family: SophosSansLight, Helvetica Neue, Helvetica, Arial, sans-serif; skrifttype-vægt: 400; skrifttype: normal; skriftstørrelse: 17px; farve: #fff; } .s-ad-sophos-mdr__action { margin-top: 15px; } .s-ad-sophos-mdr__action .s-button { color: #fff; } .s-ad-sophos-mdr__link-wrapper { tekst-dekoration: ingen; } .s-ad-sophos-mdr__link-wrapper:hover .s-ad-sophos-mdr { box-shadow: 0 5px 10px 0 rgba( 0, 0, 0, .15 ); } .s-ad-sophos-mdr__sophos-logo { position: absolut; top: 15px; højre: 15px; } .s-ad-sophos-mdr__sophos-logo-svg { display: inline-blok; bredde: 64px; højde: 11px; vertikal-align: top; baggrund-gentag: ingen-gentagelse; baggrundsstørrelse: 64px 11px; } .s-ad-sophos-mdr__title { font-family: SophosSansSemibold, Helvetica Neue, Helvetica, Arial, sans-serif; skrifttype-vægt: 400; skrifttype: normal; skriftstørrelse: 28px; skrifttype-vægt: 700; linje-højde: 1; margin-bund: 10px; tekst-align: venstre; } .s-ad-sophos-mdr__title svg { max-width: 100%; } .s-ad-sophos-mdr__text { font-size: 16px; line-højde: 1.25; tekst-align: venstre; } .s-ad-sophos-mdr__action { text-align: højre; } .s-ad-sophos-mdr .s-button { border-radius: 20px; } @media (min-width:769px) { .s-ad-sophos-mdr__text { margin-right: 140px; } .s-ad-sophos-mdr__action { position: absolut; højre: 30px; bund: 30px; } } @media (max-width:768px) { .s-ad-sophos-mdr { padding-top: 50px; } .s-ad-sophos-mdr__title { font-size: 1.625rem; } .s-ad-sophos-mdr__text { font-size: 16px; } .s-ad-sophos-mdr { padding-top: 30px; } }

Hvad er værre, en EoP eller en RCE?

Er en Kritisk elevation of privilege (EoP) fejl mere alarmerende end en Vigtig fjernudførelse af kode (RCE)?

Den førstnævnte type fejl kræver, at cyberkriminelle bryder ind først, men giver dem sandsynligvis en måde at overtage fuldstændigt på, hvilket typisk får dem svarende til sysadmin-beføjelser eller kontrol på operativsystemniveau.

Den anden type fejl får måske kun skurkene ind med de ringe adgangsrettigheder, som lille gamle dig, men den får dem ikke desto mindre ind på netværket i første omgang.

Selvom alle andre kan ånde lettet op, hvis en angriber ikke var i stand til at få adgang til deres ting, er det selvfølgelig en kold trøst for dig, hvis du er den, der blev angrebet.

Vi talte 75 CVE-nummererede fejl dateret 2023-02-14, da dette års februar-opdateringer ankom på Valentinsdag.

(Faktisk er vi glade for 76, men vi ignorerede en fejl, der ikke havde en sværhedsgrad, blev tagget CVE-2019-15126, og ser ud til at koge ned til en rapport om ikke-understøttede Broadcom Wi-Fi-chips i Microsoft Hololens-enheder – hvis du har en Hololens og har råd til andre læsere, så lad os det vide i kommentarerne nedenfor.)

Vi udtrak en liste og inkluderede den nedenfor, sorteret, så fejlene blev eftersynkroniseret Kritisk er øverst (der er syv af dem, alle RCE-klasse fejl).

Du kan også læse SophosLabs analyse af Patch Tuesday for flere detaljer.

Sikkerhedsfejlklasser forklaret

Hvis du ikke er bekendt med fejlforkortelserne vist nedenfor, er her en højhastighedsguide til sikkerhedsfejl:

RCE betyder Fjernudførelse af kode. Angribere, der i øjeblikket ikke er logget på din computer, kan narre den til at køre et fragment af programkode, eller endda et komplet program, som om de havde godkendt adgang. Typisk, på desktops eller servere, bruger de kriminelle denne slags fejl til at implantere kode, der giver dem mulighed for at komme ind igen efter eget ønske i fremtiden, og dermed etablere et strandhoved, hvorfra de kan starte et netværksdækkende angreb. På mobile enheder såsom telefoner kan skurkene bruge RCE-fejl til at efterlade spyware, der vil spore dig fra da af, så de ikke behøver at bryde ind igen og igen for at holde deres onde øjne på dig.
EoP betyder Forhøjelse af Privilegium. Som nævnt ovenfor betyder det, at skurke kan øge deres adgangsrettigheder, typisk opnå den samme slags beføjelser, som en officiel sysadmin eller selve driften normalt ville nyde. Når de først har beføjelser på systemniveau, er de ofte i stand til at roame frit på dit netværk, stjæle sikre filer selv fra servere med begrænset adgang, oprette skjulte brugerkonti til at komme ind igen senere eller kortlægge hele dit it-ejendom som forberedelse til en ransomware angreb.
Leak betyder, at sikkerhedsrelaterede eller private data kan undslippe fra sikker opbevaring. Nogle gange kan selv tilsyneladende mindre lækager, såsom placeringen af specifik operativsystemkode i hukommelsen, som en angriber ikke formodes at være i stand til at forudsige, give kriminelle den information, de har brug for for at vende et sandsynligvis mislykket angreb til et næsten sikkert vellykket angreb en.
bypass betyder, at en sikkerhedsbeskyttelse, som du normalt ville forvente for at holde dig sikker, kan overskrides. Svindlere udnytter typisk omgåsårbarheder til at narre dig til at stole på fjernindhold såsom vedhæftede filer i e-mails, for eksempel ved at finde en måde at undgå "indholdsadvarslerne" eller til at omgå den malware-detektion, der skal holde dig sikker.
spoof betyder, at indhold kan fås til at se mere troværdigt ud, end det i virkeligheden er. For eksempel vil angribere, der lokker dig til et falsk websted, der dukker op i din browser med et officielt servernavn i adresselinjen (eller hvad der ligner adresselinjen), sandsynligvis narre dig til at udlevere personlige data, end hvis de er tvunget til at placere deres falske indhold på et websted, der tydeligvis ikke er det, du ville forvente.
DoS betyder Denial of Service. Bugs, der tillader netværks- eller servertjenester at blive slået offline midlertidigt, betragtes ofte som lavkvalitetsfejl, forudsat at fejlen derefter ikke tillader angribere at bryde ind, stjæle data eller få adgang til noget, de ikke burde. Men angribere, der pålideligt kan fjerne dele af dit netværk, kan muligvis gøre det igen og igen på en koordineret måde, for eksempel ved at time deres DoS-sonder til at ske, hver gang dine nedbrudte servere genstarter. Dette kan være ekstremt forstyrrende, især hvis du driver en online forretning, og det kan også bruges som en distraktion til at trække opmærksomheden væk fra andre ulovlige aktiviteter, som skurkene laver på dit netværk på samme tid.

Den store fejlliste

Den 75-stærke fejlliste er her, med de tre nul-dage, vi kender til, markeret med en stjerne (*):

NIST ID Level Type Component affected
--------------- ----------- ------ ----------------------------------------
CVE-2023-21689: (Critical) RCE Windows Protected EAP (PEAP) CVE-2023-21690: (Critical) RCE Windows Protected EAP (PEAP) CVE-2023-21692: (Critical) RCE Windows Protected EAP (PEAP) CVE-2023-21716: (Critical) RCE Microsoft Office Word CVE-2023-21803: (Critical) RCE Windows iSCSI CVE-2023-21815: (Critical) RCE Visual Studio CVE-2023-23381: (Critical) RCE Visual Studio CVE-2023-21528: (Important) RCE SQL Server CVE-2023-21529: (Important) RCE Microsoft Exchange Server CVE-2023-21568: (Important) RCE SQL Server CVE-2023-21684: (Important) RCE Microsoft PostScript Printer Driver CVE-2023-21685: (Important) RCE Microsoft WDAC OLE DB provider for SQL CVE-2023-21686: (Important) RCE Microsoft WDAC OLE DB provider for SQL CVE-2023-21694: (Important) RCE Windows Fax and Scan Service CVE-2023-21695: (Important) RCE Windows Protected EAP (PEAP) CVE-2023-21703: (Important) RCE Azure Data Box Gateway CVE-2023-21704: (Important) RCE SQL Server CVE-2023-21705: (Important) RCE SQL Server CVE-2023-21706: (Important) RCE Microsoft Exchange Server CVE-2023-21707: (Important) RCE Microsoft Exchange Server CVE-2023-21710: (Important) RCE Microsoft Exchange Server CVE-2023-21713: (Important) RCE SQL Server CVE-2023-21718: (Important) RCE SQL Server CVE-2023-21778: (Important) RCE Microsoft Dynamics CVE-2023-21797: (Important) RCE Windows ODBC Driver CVE-2023-21798: (Important) RCE Windows ODBC Driver CVE-2023-21799: (Important) RCE Microsoft WDAC OLE DB provider for SQL CVE-2023-21801: (Important) RCE Microsoft PostScript Printer Driver CVE-2023-21802: (Important) RCE Microsoft Windows Codecs Library CVE-2023-21805: (Important) RCE Windows MSHTML Platform CVE-2023-21808: (Important) RCE .NET and Visual Studio CVE-2023-21820: (Important) RCE Windows Distributed File System (DFS) CVE-2023-21823: (Important) *RCE Microsoft Graphics Component
CVE-2023-23377: (Important) RCE 3D Builder CVE-2023-23378: (Important) RCE 3D Builder CVE-2023-23390: (Important) RCE 3D Builder CVE-2023-21566: (Important) EoP Visual Studio CVE-2023-21688: (Important) EoP Windows ALPC CVE-2023-21717: (Important) EoP Microsoft Office SharePoint CVE-2023-21777: (Important) EoP Azure App Service CVE-2023-21800: (Important) EoP Windows Installer CVE-2023-21804: (Important) EoP Microsoft Graphics Component CVE-2023-21812: (Important) EoP Windows Common Log File System Driver CVE-2023-21817: (Important) EoP Windows Kerberos CVE-2023-21822: (Important) EoP Windows Win32K CVE-2023-23376: (Important) *EoP Windows Common Log File System Driver CVE-2023-23379: (Important) EoP Microsoft Defender for IoT CVE-2023-21687: (Important) Leak Windows HTTP.sys CVE-2023-21691: (Important) Leak Windows Protected EAP (PEAP) CVE-2023-21693: (Important) Leak Microsoft PostScript Printer Driver CVE-2023-21697: (Important) Leak Internet Storage Name Service CVE-2023-21699: (Important) Leak Internet Storage Name Service CVE-2023-21714: (Important) Leak Microsoft Office CVE-2023-23382: (Important) Leak Azure Machine Learning CVE-2023-21715: (Important) *Bypass Microsoft Office Publisher CVE-2023-21809: (Important) Bypass Microsoft Defender for Endpoint CVE-2023-21564: (Important) Spoof Azure DevOps CVE-2023-21570: (Important) Spoof Microsoft Dynamics CVE-2023-21571: (Important) Spoof Microsoft Dynamics CVE-2023-21572: (Important) Spoof Microsoft Dynamics CVE-2023-21573: (Important) Spoof Microsoft Dynamics CVE-2023-21721: (Important) Spoof Microsoft Office OneNote CVE-2023-21806: (Important) Spoof Power BI CVE-2023-21807: (Important) Spoof Microsoft Dynamics CVE-2023-21567: (Important) DoS Visual Studio CVE-2023-21700: (Important) DoS Windows iSCSI CVE-2023-21701: (Important) DoS Windows Protected EAP (PEAP) CVE-2023-21702: (Important) DoS Windows iSCSI CVE-2023-21722: (Important) DoS .NET Framework CVE-2023-21811: (Important) DoS Windows iSCSI CVE-2023-21813: (Important) DoS Windows Cryptographic Services CVE-2023-21816: (Important) DoS Windows Active Directory CVE-2023-21818: (Important) DoS Windows SChannel CVE-2023-21819: (Important) DoS Windows Cryptographic Services CVE-2023-21553: (Unknown ) RCE Azure DevOps

Hvad skal jeg gøre?

Forretningsbrugere kan lide at prioritere patches i stedet for at gøre dem alle på én gang og håbe, at intet går i stykker; vi sætter derfor Kritisk bugs i toppen, sammen med RCE-hullerne, da RCE'er typisk bruges af skurke for at få deres første fodfæste.

I sidste ende skal alle fejl dog rettes, især nu hvor opdateringerne er tilgængelige, og angribere kan begynde at "arbejde baglæns" ved at prøve at finde ud af patches, hvilken slags huller der fandtes, før opdateringerne kom ud.

Reverse engineering Windows-patches kan være tidskrævende, ikke mindst fordi Windows er et lukket kilde-operativsystem, men det er meget nemmere at finde ud af, hvordan fejl fungerer, og hvordan man udnytter dem, hvis du har en god idé om, hvor du skal starte leder efter, og hvad man skal kigge efter.

Jo hurtigere du kommer foran (eller jo hurtigere du indhenter det, i tilfælde af nul-dages huller, som er fejl, som skurkene fandt først), jo mindre sandsynligt er det, at du bliver den, der bliver angrebet.

Så selvom du ikke lapper alt på én gang, vil vi alligevel sige: Forsink ikke/kom i gang i dag!

LÆS SOPHOSLABS-ANALYSEN AF PATCH TIRSDAG FOR FLERE DETALJER