Microsoft Patch Tuesday: En 0-dages; Win 7 og 8.1 får de sidste patches nogensinde

Så vidt vi kan se, er der en kæmpestor 2874 poster i denne måneds Patch Tuesday-opdateringsliste fra Microsoft, baseret på den CSV-download, vi lige har hentet fra Redmond's Sikkerhedsopdateringsvejledning hjemmeside.

(Selv webstedet siger 2283, men CSV-eksporten indeholdt 2875 linjer, hvor den første linje faktisk ikke er en datapost, men en liste over de forskellige feltnavne for resten af ​​linjerne i filen.)

Skønt indlysende øverst på listen er navnene i Produkt kolonne af de første ni poster, der omhandler en elevation-of-privilege (EoP) patch betegnet CVE-2013-21773 for Windows 7, Windows 8.1og Windows RT 8.1.

Windows 7, som mange mennesker vil huske, var ekstremt populært på sin tid (nogle betragter det faktisk stadig som det bedste Windows nogensinde), og lokker endelig selv ihærdige fans over for Windows XP, da XP-understøttelsen sluttede.

Windows 8.1, der huskes mere som en slags "bug-fix"-udgivelse til det uklagede og for længst faldne Windows 8 end som en rigtig Windows-version i sig selv, fangede aldrig rigtigt.

Og Windows RT 8.1 var alt, hvad folk ikke kunne lide i den almindelige version af Windows 8.1, men det kørte på proprietær ARM-baseret hardware, der var låst strengt, som en iPhone eller en iPad – ikke noget, som Windows-brugere var vant til, og heller ikke , at dømme efter markedsreaktionen, noget som mange mennesker var villige til at acceptere.

Det vil du faktisk nogle gange læse at Windows 8's komparative upopularitet er grunden til, at den næste store udgivelse efter 8.1 blev nummereret Windows 10, hvilket bevidst skaber en følelse af adskillelse mellem den gamle version og den nye.

Andre forklaringer inkluderer det Windows 10 skulle være produktets fulde navn, således at 10 udgjorde en del af det helt nye produktnavn, i stedet for blot at være et tal tilføjet til navnet for at angive en version. Den efterfølgende fremkomst af Windows 11 satte noget af et indhug i den teori - men der var aldrig en Windows 9.

Slutningen på to epoker

Fæl dine tårer nu, for i denne måned ser vi de allersidste sikkerhedsopdateringer til de gamle versioner af Windows 7 og Windows 8.1.

Windows 7 har nu nået slutningen af ​​sin tre-årige betal-ekstra-for-få-ESU-periode (ESE er en forkortelse for udvidede sikkerhedsopdateringer), og Windows 8.1 simpelthen får ikke udvidede opdateringer, tilsyneladende uanset hvor meget du er villig til at betale:

Som en påmindelse vil Windows 8.1 afslutte supporten den 10. januar 2023 [2023-01-10], hvorefter teknisk assistance og softwareopdateringer ikke længere vil blive leveret. […]

Microsoft vil ikke tilbyde et Extended Security Update-program (ESU) til Windows 8.1. Fortsat brug af Windows 8.1 efter den 10. januar 2023 kan øge en organisations eksponering for sikkerhedsrisici eller påvirke dens evne til at opfylde overholdelsesforpligtelser.

Så det er virkelig slutningen på Windows 7 og Windows 8.1-epoker, og eventuelle operativsystemfejl, der er tilbage på computere, der stadig kører disse versioner, vil være der for evigt.

Husk selvfølgelig, at på trods af deres alder har begge disse platforme netop i denne måned modtaget patches for snesevis af forskellige CVE-nummererede sårbarheder: 42 CVE'er i tilfælde af Windows 7 og 48 CVE'er i tilfælde af Windows 8.1.

Selv hvis nutidige trusselsforskere og cyberkriminelle ikke eksplicit leder efter fejl i gamle Windows-builds, kan fejl, der først blev fundet af angribere, der graver i den allernyeste version af Windows 11, vise sig at være arvet fra ældre kode.

Faktisk sammenligner CVE-tallene på 42 og 48 ovenfor med i alt 90 forskellige CVE'er, der er opført på Microsofts officielle Januar 2023 Release Notes side, hvilket løst antyder, at omkring halvdelen af ​​dagens fejl (på denne måneds liste har alle 90 CVE-2023-XXXX datobetegnelser) har ventet på at blive fundet i Windows i mindst et årti.

Med andre ord, på samme måde som fejl afdækket i gamle versioner kan vise sig stadig at påvirke de seneste og bedste udgivelser, vil du også ofte opleve, at "nye" fejl går langt tilbage og kan eftermonteres til exploits, der fungerer på gamle Windows-versioner også.

Ironisk nok kan "nye" fejl i sidste ende være nemmere at udnytte på ældre versioner på grund af de mindre restriktive software build-indstillinger og mere liberale runtime-konfigurationer, der blev anset for acceptable dengang.

Ældre bærbare computere med mindre hukommelse end i dag blev typisk sat op med 32-bit versioner af Windows, selvom de havde 64-bit processorer. Nogle trusselsbegrænsende teknikker, især dem, der involverer randomisering af de steder, hvor programmer ender i hukommelsen for at reducere forudsigeligheden og gøre udnyttelser sværere at udføre pålideligt, er typisk mindre effektive på 32-bit Windows, simpelthen fordi der er færre hukommelsesadresser at vælge imellem. Ligesom gemmeleg, jo flere mulige steder der er at gemme sig, jo længere tid tager det generelt at finde dig.

"Udnyttelse opdaget"

Ifølge Bleeping Computer er kun to af de sårbarheder, der blev afsløret i denne måned, opført som værende i naturen, med andre ord kendt udenfor Microsoft og det umiddelbare forskersamfund:

• CVE-2023-21674: Windows Advanced Local Procedure Call (ALPC) Udvidelse af privilegier sårbarhed. Til forveksling er denne opført som Offentligt offentliggjort: nej, men Udnyttelse opdaget. Ud fra dette antager vi, at cyberkriminelle allerede ved, hvordan de skal misbruge denne fejl, men de holder omhyggeligt detaljerne om udnyttelsen for sig selv, formentlig for at gøre det sværere for trusselsresponderere at vide, hvad de skal kigge efter på systemer, der ikke har været lappet endnu.
• CVE-2023-21549: Sårbarhed for Windows SMB Witness Service Elevation of Privilege. Denne er betegnet Offentligt offentliggjort, men dog skrevet op som Udnyttelse mindre sandsynligt. Ud fra dette udleder vi, at selvom nogen fortæller dig, hvor fejlen er placeret, og hvordan du kan udløse den, vil det være svært at finde ud af, hvordan man udnytter fejlen med succes og faktisk opnår en forhøjelse af privilegier.

Spændende nok er CVE-2023-21674-fejlen, som er aktivt i brug af angribere, ikke på Windows 7-patchlisten, men den gælder for Windows 8.1.

Den anden fejl, CVE-2023-21549, beskrevet som offentligt kendt, gælder for både Windows 7 og Windows 8.1.

Som vi sagde ovenfor, kommer nyopdagede fejl ofte langt.

CVE-2023-21674 gælder hele vejen fra Windows 8.1 til de allernyeste builds af Windows 11 2022H2 (H2, hvis du skulle undre dig, betyder "udgivelsen udgivet i anden halvdel af året").

Endnu mere dramatisk gælder CVE-2023-21549 lige fra Windows 7 til Windows 11 2022H2.

Hvad skal man gøre med de gamle computere?

Hvis du har Windows 7 eller Windows 8.1-computere, som du stadig anser for brugbare og nyttige, kan du overveje at skifte til et open source-operativsystem, såsom en Linux-distro, der stadig får både support og opdateringer.

Nogle fællesskabs Linux-bygninger specialiserer sig i at holde deres distros små og enkle

Selvom de måske ikke har den nyeste og bedste samling af fotofiltre, videoredigeringsværktøjer, skakmotorer og højopløselige wallpapers, er minimalistiske distros stadig velegnede til browsing og e-mail, selv på gammel 32-bit hardware med små harddiske og lav hukommelse.

---

LÆS SOPHOSLABS RAPPORTEN OM DENNE MÅNEDS PATCHES

---

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
• Kilde: https://nakedsecurity.sophos.com/2023/01/11/microsoft-patch-tuesday-one-0-day-win-7-and-8-1-get-last-ever-patches/