Microsoft Patch Tuesday: 36 RCE Bugs, 3 Zero-days, 75 CVEs

Αναδημοσίευση από τον Πλάτωνα

Ακολουθούν: 0

Αποκρυπτογράφηση της επίσημης Microsoft Οδηγός ενημέρωσης οι ιστοσελίδες δεν είναι για τους λιποθυμούς.

Οι περισσότερες από τις πληροφορίες που χρειάζεστε, αν όχι όλες οι πληροφορίες που πραγματικά θα θέλατε να γνωρίζετε, υπάρχουν, αλλά υπάρχει ένας τεράστιος αριθμός τρόπων για να τις δείτε και τόσες πολλές σελίδες που δημιουργούνται on-the-fly χρειάζονται για να τις εμφανίσετε. ότι μπορεί να είναι δύσκολο να μάθετε τι είναι πραγματικά νέο και τι είναι πραγματικά σημαντικό.

Πρέπει να κάνετε αναζήτηση με βάση τις πλατφόρμες του λειτουργικού συστήματος που επηρεάζονται;

Από τη σοβαρότητα των τρωτών σημείων; Με την πιθανότητα εκμετάλλευσης;

Πρέπει να ταξινομήσετε τις μηδενικές ημέρες στην κορυφή;

(Δεν πιστεύουμε ότι μπορείτε – πιστεύουμε ότι υπάρχουν τρεις μηδενικές ημέρες στη λίστα αυτού του μήνα, αλλά έπρεπε να ψάξουμε σε μεμονωμένες σελίδες CVE και να αναζητήσουμε το κείμενο «Εντοπίστηκε εκμετάλλευση» προκειμένου να βεβαιωθείτε ότι ένα συγκεκριμένο σφάλμα ήταν ήδη γνωστό στους εγκληματίες του κυβερνοχώρου.)

.s-button+.s-button { margin-left: .3125rem; } .s-button { transition: all .15s linear; μέγεθος γραμματοσειράς: .875rem; Ύψος γραμμής: 1.5; χρώμα: #f2f2f2; γραμματοσειρά-οικογένεια: SophosSansMedium, Helvetica Neue, Helvetica, Arial, sans-serif; βάρος γραμματοσειράς: 400; στυλ γραμματοσειράς: κανονικό; οθόνη: inline-block; padding: .3125rem 1.25rem; δρομέας: δείκτης; text-align: κέντρο; κείμενο-διακόσμηση: κανένα; περίγραμμα: 1px στερεό #005bc8; περίγραμμα-ακτίνα: 3px; χρώμα φόντου: #005bc8; text-shadow: κανένας; } .s-button:hover { text-decoration: none; χρώμα: #fff; χρώμα περιγράμματος: #002d62; χρώμα φόντου: #002d62; } .s-button–white, .s-button–white:hover { color: #005bc8 !important; χρώμα περιγράμματος: #fff; φόντο-χρώμα: #fff; } .s-ad-sophos-mdr { font-size: 1rem; Ύψος γραμμής: 1.5; χρώμα: #242629; γραμματοσειρά-οικογένεια: SophosSansRegular, Helvetica Neue, Helvetica, Arial, sans-serif; βάρος γραμματοσειράς: 400; στυλ γραμματοσειράς: κανονικό; θέση: σχετική; μέγιστο πλάτος: 769 px; περιθώριο: 15 px auto; padding: 30px 30px 25px; transition: box-shadow .25s cubic-bezier( .645, .045, .355, 1 ); text-align: κέντρο; χρώμα φόντου: #0d141d; background-repeat: no-repeat; φόντο-θέση: 50%; Μέγεθος φόντου: εξώφυλλο; κουτί-σκιά: 0 0 0 0 0 διαφανές; χρώμα φόντου: #005bc8; φόντο-εικόνα: κανένα; φόντο-θέση: 0 0; } .s-ad-sophos-mdr__title { font-size: 2rem; Ύψος γραμμής: 1.125; margin-bottom: 4px; χρώμα: #fff; } .s-ad-sophos-mdr__text { font-family: SophosSansLight, Helvetica Neue, Helvetica, Arial, sans-serif; βάρος γραμματοσειράς: 400; στυλ γραμματοσειράς: κανονικό; μέγεθος γραμματοσειράς: 17 px; χρώμα: #fff; } .s-ad-sophos-mdr__action { margin-top: 15px; } .s-ad-sophos-mdr__action .s-button { color: #fff; } .s-ad-sophos-mdr__link-wrapper { text-decoration: none; } .s-ad-sophos-mdr__link-wrapper:hover .s-ad-sophos-mdr { box-shadow: 0 5px 10px 0 rgba( 0, 0, 0, .15 ); } .s-ad-sophos-mdr__sophos-logo { θέση: απόλυτη; κορυφή: 15 px; δεξιά: 15 px; } .s-ad-sophos-mdr__sophos-logo-svg { display: inline-block; πλάτος: 64 px; ύψος: 11px; κατακόρυφη ευθυγράμμιση: επάνω; background-repeat: no-repeat; Μέγεθος φόντου: 64px 11px; } .s-ad-sophos-mdr__title { font-family: SophosSansSemibold, Helvetica Neue, Helvetica, Arial, sans-serif; βάρος γραμματοσειράς: 400; στυλ γραμματοσειράς: κανονικό; μέγεθος γραμματοσειράς: 28 px; βάρος γραμματοσειράς: 700; Ύψος γραμμής: 1; margin-bottom: 10px; text-align: αριστερά; } .s-ad-sophos-mdr__title svg { max-width: 100%; } .s-ad-sophos-mdr__text { font-size: 16px; Ύψος γραμμής: 1.25; text-align: αριστερά; } .s-ad-sophos-mdr__action { text-align: right; } .s-ad-sophos-mdr .s-button { border-radius: 20px; } @media (min-width:769px) { .s-ad-sophos-mdr__text { margin-right: 140px; } .s-ad-sophos-mdr__action { θέση: απόλυτη; δεξιά: 30 px; κάτω: 30 px; } } @media (max-width:768px) { .s-ad-sophos-mdr { padding-top: 50px; } .s-ad-sophos-mdr__title { font-size: 1.625rem; } .s-ad-sophos-mdr__text { font-size: 16px; } .s-ad-sophos-mdr { padding-top: 30px; } }

Τι είναι χειρότερο, ένα EoP ή ένα RCE;

Υπάρχει Κρίσιμος elevation of privilege (EoP) bug πιο ανησυχητικό από ένα σημαντικό απομακρυσμένη εκτέλεση κώδικα (RCE);

Ο προηγούμενος τύπος σφάλματος απαιτεί από τους εγκληματίες του κυβερνοχώρου να εισβάλουν πρώτα, αλλά πιθανώς τους δίνει έναν τρόπο να αναλάβουν πλήρως, συνήθως τους δίνει το ισοδύναμο των εξουσιών του sysadmin ή του ελέγχου σε επίπεδο λειτουργικού συστήματος.

Ο δεύτερος τύπος σφάλματος μπορεί να προσελκύσει τους απατεώνες μόνο με τα χαμηλά προνόμια πρόσβασης των μικρών σας, αλλά παρόλα αυτά τους μεταφέρει στο δίκτυο εξαρχής.

Φυσικά, ενώ όλοι οι άλλοι μπορεί να αναπνεύσουν με ανακούφιση εάν ένας εισβολέας δεν μπορούσε να έχει πρόσβαση στα πράγματά του, αυτή είναι μια ψυχρή άνεση για εσάς, εάν είστε αυτός που δεχόταν επίθεση.

Μετρήσαμε 75 σφάλματα με αριθμό CVE με ημερομηνία 2023-02-14, δεδομένου ότι οι ενημερώσεις του φετινού Φεβρουαρίου έφτασαν την Ημέρα του Αγίου Βαλεντίνου.

(Στην πραγματικότητα, μας αρέσει το 76, αλλά αγνοήσαμε ένα σφάλμα που δεν είχε βαθμολογία σοβαρότητας, επισημάνθηκε CVE-2019-15126, και φαίνεται να συνοψίζεται σε μια αναφορά σχετικά με μη υποστηριζόμενα τσιπ Wi-Fi Broadcom σε συσκευές Microsoft Hololens – εάν έχετε Hololens και έχετε συμβουλές για άλλους αναγνώστες, ενημερώστε μας στα παρακάτω σχόλια.)

Εξάγαμε μια λίστα και τη συμπεριλάβαμε παρακάτω, ταξινομημένη έτσι ώστε τα σφάλματα να μεταγλωττίζονται Κρίσιμος βρίσκονται στην κορυφή (υπάρχουν επτά από αυτά, όλα σφάλματα κατηγορίας RCE).

Μπορείτε επίσης να διαβάσετε το SophosLabs ανάλυση του Patch Tuesday για περισσότερες λεπτομέρειες.

Επεξηγούνται οι κατηγορίες σφαλμάτων ασφαλείας

Εάν δεν είστε εξοικειωμένοι με τις συντομογραφίες σφαλμάτων που εμφανίζονται παρακάτω, ακολουθεί ένας οδηγός υψηλής ταχύτητας για ελαττώματα ασφαλείας:

ΠΑΑ σημαίνει Απομακρυσμένη Εκτέλεση Κώδικα. Οι εισβολείς που δεν είναι επί του παρόντος συνδεδεμένοι στον υπολογιστή σας θα μπορούσαν να τον ξεγελάσουν ώστε να εκτελέσει ένα τμήμα κώδικα προγράμματος ή ακόμα και ένα πλήρες πρόγραμμα, σαν να είχαν πιστοποιημένη πρόσβαση. Συνήθως, σε επιτραπέζιους υπολογιστές ή διακομιστές, οι εγκληματίες χρησιμοποιούν αυτό το είδος σφάλματος για να εμφυτεύσουν κώδικα που τους επιτρέπει να εισέλθουν ξανά κατά βούληση στο μέλλον, δημιουργώντας έτσι μια παραλία από την οποία θα ξεκινήσουν μια επίθεση σε όλο το δίκτυο. Σε κινητές συσκευές όπως τα τηλέφωνα, οι απατεώνες μπορεί να χρησιμοποιήσουν σφάλματα RCE για να αφήσουν πίσω τους λογισμικό υποκλοπής spyware που θα σας παρακολουθεί από εκεί και πέρα, ώστε να μην χρειάζεται να εισβάλλουν ξανά και ξανά για να κρατήσουν το κακό τους βλέμμα πάνω σας.
EoP σημαίνει Ανύψωση Προνομίου. Όπως αναφέρθηκε παραπάνω, αυτό σημαίνει ότι οι απατεώνες μπορούν να ενισχύσουν τα δικαιώματα πρόσβασής τους, αποκτώντας συνήθως τις ίδιες εξουσίες που θα απολάμβανε συνήθως ένας επίσημος διαχειριστής συστήματος ή η ίδια η λειτουργία. Μόλις αποκτήσουν εξουσίες σε επίπεδο συστήματος, μπορούν συχνά να περιπλανηθούν ελεύθερα στο δίκτυό σας, να κλέψουν ασφαλή αρχεία ακόμα και από διακομιστές περιορισμένης πρόσβασης, να δημιουργήσουν κρυφούς λογαριασμούς χρηστών για να επιστρέψουν αργότερα ή να χαρτογραφήσουν ολόκληρη την περιουσία πληροφορικής για να προετοιμαστούν για επίθεση ransomware.
Διαρροή σημαίνει ότι τα δεδομένα που σχετίζονται με την ασφάλεια ή τα προσωπικά δεδομένα ενδέχεται να διαφύγουν από την ασφαλή αποθήκευση. Μερικές φορές, ακόμη και φαινομενικά μικρές διαρροές, όπως η θέση του συγκεκριμένου κώδικα λειτουργικού συστήματος στη μνήμη, την οποία ένας εισβολέας δεν υποτίθεται ότι μπορεί να προβλέψει, μπορεί να δώσει στους εγκληματίες τις πληροφορίες που χρειάζονται για να μετατρέψουν μια πιθανώς ανεπιτυχή επίθεση σε μια σχεδόν σίγουρα επιτυχημένη ένας.
Παράκαμψη σημαίνει ότι μια προστασία ασφαλείας που συνήθως θα περιμένατε να σας κρατήσει ασφαλή μπορεί να παρακαμφθεί. Οι απατεώνες εκμεταλλεύονται συνήθως τα τρωτά σημεία παράκαμψης για να σας ξεγελάσουν ώστε να εμπιστευτείτε απομακρυσμένο περιεχόμενο, όπως συνημμένα email, για παράδειγμα βρίσκοντας έναν τρόπο να αποφύγουν τις "προειδοποιήσεις περιεχομένου" ή να παρακάμψουν τον εντοπισμό κακόβουλου λογισμικού που υποτίθεται ότι σας κρατούν ασφαλείς.
Κοροϊδία σημαίνει ότι το περιεχόμενο μπορεί να γίνει πιο αξιόπιστο από ό,τι είναι στην πραγματικότητα. Για παράδειγμα, οι εισβολείς που σας παρασύρουν σε έναν ψεύτικο ιστότοπο που εμφανίζεται στο πρόγραμμα περιήγησής σας με ένα επίσημο όνομα διακομιστή στη γραμμή διευθύνσεων (ή κάτι που μοιάζει με τη γραμμή διευθύνσεων) είναι πολύ πιθανό να σας εξαπατήσουν ώστε να παραδώσετε προσωπικά δεδομένα παρά εάν αναγκάζονται να τοποθετήσουν το ψεύτικο περιεχόμενό τους σε έναν ιστότοπο που σαφώς δεν είναι αυτός που θα περίμενες.
DoS σημαίνει Άρνηση υπηρεσίας. Σφάλματα που επιτρέπουν σε υπηρεσίες δικτύου ή διακομιστή να διακοπούν προσωρινά εκτός σύνδεσης θεωρούνται συχνά ελαττώματα χαμηλού βαθμού, με την προϋπόθεση ότι το σφάλμα δεν επιτρέπει στους εισβολείς να εισβάλουν, να κλέψουν δεδομένα ή να αποκτήσουν πρόσβαση σε οτιδήποτε δεν θα έπρεπε. Ωστόσο, οι εισβολείς που μπορούν να καταργήσουν αξιόπιστα μέρη του δικτύου σας ενδέχεται να μπορούν να το κάνουν ξανά και ξανά με συντονισμένο τρόπο, για παράδειγμα, ρυθμίζοντας το χρόνο των ερευνών DoS τους να γίνονται κάθε φορά που οι διακομιστές σας που έχουν καταστραφεί επανεκκινούνται. Αυτό μπορεί να είναι εξαιρετικά ενοχλητικό, ειδικά εάν διευθύνετε μια διαδικτυακή επιχείρηση, και μπορεί επίσης να χρησιμοποιηθεί ως απόσπαση της προσοχής για να τραβήξετε την προσοχή από άλλες παράνομες δραστηριότητες που κάνουν οι απατεώνες στο δίκτυό σας ταυτόχρονα.

Η μεγάλη λίστα σφαλμάτων

Η λίστα σφαλμάτων 75 ισχυρών είναι εδώ, με τις τρεις μηδενικές ημέρες που γνωρίζουμε να επισημαίνονται με έναν αστερίσκο (*):

NIST ID Level Type Component affected
--------------- ----------- ------ ----------------------------------------
CVE-2023-21689: (Critical) RCE Windows Protected EAP (PEAP) CVE-2023-21690: (Critical) RCE Windows Protected EAP (PEAP) CVE-2023-21692: (Critical) RCE Windows Protected EAP (PEAP) CVE-2023-21716: (Critical) RCE Microsoft Office Word CVE-2023-21803: (Critical) RCE Windows iSCSI CVE-2023-21815: (Critical) RCE Visual Studio CVE-2023-23381: (Critical) RCE Visual Studio CVE-2023-21528: (Important) RCE SQL Server CVE-2023-21529: (Important) RCE Microsoft Exchange Server CVE-2023-21568: (Important) RCE SQL Server CVE-2023-21684: (Important) RCE Microsoft PostScript Printer Driver CVE-2023-21685: (Important) RCE Microsoft WDAC OLE DB provider for SQL CVE-2023-21686: (Important) RCE Microsoft WDAC OLE DB provider for SQL CVE-2023-21694: (Important) RCE Windows Fax and Scan Service CVE-2023-21695: (Important) RCE Windows Protected EAP (PEAP) CVE-2023-21703: (Important) RCE Azure Data Box Gateway CVE-2023-21704: (Important) RCE SQL Server CVE-2023-21705: (Important) RCE SQL Server CVE-2023-21706: (Important) RCE Microsoft Exchange Server CVE-2023-21707: (Important) RCE Microsoft Exchange Server CVE-2023-21710: (Important) RCE Microsoft Exchange Server CVE-2023-21713: (Important) RCE SQL Server CVE-2023-21718: (Important) RCE SQL Server CVE-2023-21778: (Important) RCE Microsoft Dynamics CVE-2023-21797: (Important) RCE Windows ODBC Driver CVE-2023-21798: (Important) RCE Windows ODBC Driver CVE-2023-21799: (Important) RCE Microsoft WDAC OLE DB provider for SQL CVE-2023-21801: (Important) RCE Microsoft PostScript Printer Driver CVE-2023-21802: (Important) RCE Microsoft Windows Codecs Library CVE-2023-21805: (Important) RCE Windows MSHTML Platform CVE-2023-21808: (Important) RCE .NET and Visual Studio CVE-2023-21820: (Important) RCE Windows Distributed File System (DFS) CVE-2023-21823: (Important) *RCE Microsoft Graphics Component
CVE-2023-23377: (Important) RCE 3D Builder CVE-2023-23378: (Important) RCE 3D Builder CVE-2023-23390: (Important) RCE 3D Builder CVE-2023-21566: (Important) EoP Visual Studio CVE-2023-21688: (Important) EoP Windows ALPC CVE-2023-21717: (Important) EoP Microsoft Office SharePoint CVE-2023-21777: (Important) EoP Azure App Service CVE-2023-21800: (Important) EoP Windows Installer CVE-2023-21804: (Important) EoP Microsoft Graphics Component CVE-2023-21812: (Important) EoP Windows Common Log File System Driver CVE-2023-21817: (Important) EoP Windows Kerberos CVE-2023-21822: (Important) EoP Windows Win32K CVE-2023-23376: (Important) *EoP Windows Common Log File System Driver CVE-2023-23379: (Important) EoP Microsoft Defender for IoT CVE-2023-21687: (Important) Leak Windows HTTP.sys CVE-2023-21691: (Important) Leak Windows Protected EAP (PEAP) CVE-2023-21693: (Important) Leak Microsoft PostScript Printer Driver CVE-2023-21697: (Important) Leak Internet Storage Name Service CVE-2023-21699: (Important) Leak Internet Storage Name Service CVE-2023-21714: (Important) Leak Microsoft Office CVE-2023-23382: (Important) Leak Azure Machine Learning CVE-2023-21715: (Important) *Bypass Microsoft Office Publisher CVE-2023-21809: (Important) Bypass Microsoft Defender for Endpoint CVE-2023-21564: (Important) Spoof Azure DevOps CVE-2023-21570: (Important) Spoof Microsoft Dynamics CVE-2023-21571: (Important) Spoof Microsoft Dynamics CVE-2023-21572: (Important) Spoof Microsoft Dynamics CVE-2023-21573: (Important) Spoof Microsoft Dynamics CVE-2023-21721: (Important) Spoof Microsoft Office OneNote CVE-2023-21806: (Important) Spoof Power BI CVE-2023-21807: (Important) Spoof Microsoft Dynamics CVE-2023-21567: (Important) DoS Visual Studio CVE-2023-21700: (Important) DoS Windows iSCSI CVE-2023-21701: (Important) DoS Windows Protected EAP (PEAP) CVE-2023-21702: (Important) DoS Windows iSCSI CVE-2023-21722: (Important) DoS .NET Framework CVE-2023-21811: (Important) DoS Windows iSCSI CVE-2023-21813: (Important) DoS Windows Cryptographic Services CVE-2023-21816: (Important) DoS Windows Active Directory CVE-2023-21818: (Important) DoS Windows SChannel CVE-2023-21819: (Important) DoS Windows Cryptographic Services CVE-2023-21553: (Unknown ) RCE Azure DevOps

Τι να κάνω;

Οι επαγγελματίες χρήστες προτιμούν να δίνουν προτεραιότητα στις ενημερώσεις κώδικα, αντί να τις κάνουν όλες ταυτόχρονα και να ελπίζουν ότι τίποτα δεν θα χαλάσει. βάζουμε λοιπόν το Κρίσιμος σφάλματα στην κορυφή, μαζί με τις τρύπες RCE, δεδομένου ότι τα RCE χρησιμοποιούνται συνήθως από απατεώνες για να αποκτήσουν την αρχική τους βάση.

Στο τέλος, ωστόσο, όλα τα σφάλματα πρέπει να διορθωθούν, ειδικά τώρα που οι ενημερώσεις είναι διαθέσιμες και οι επιτιθέμενοι μπορούν να αρχίσουν να «εργάζονται ανάποδα» προσπαθώντας να καταλάβουν από τις ενημερώσεις κώδικα τι είδους τρύπες υπήρχαν πριν από την κυκλοφορία των ενημερώσεων.

Η αντίστροφη μηχανική των ενημερώσεων κώδικα των Windows μπορεί να είναι χρονοβόρα, κυρίως επειδή τα Windows είναι ένα λειτουργικό σύστημα κλειστού κώδικα, αλλά είναι πολύ πιο εύκολο να καταλάβετε πώς λειτουργούν τα σφάλματα και πώς να τα εκμεταλλευτείτε, αν έχετε μια καλή ιδέα από πού να ξεκινήσετε ψάχνοντας και τι να ψάξετε.

Όσο πιο γρήγορα προλάβετε (ή όσο πιο γρήγορα προλάβετε, στην περίπτωση των τρυπών μηδενικής ημέρας, που είναι σφάλματα που βρήκαν πρώτοι οι απατεώνες), τόσο λιγότερες πιθανότητες να είστε εσείς αυτός που θα δεχθεί επίθεση.

Έτσι, ακόμα κι αν δεν διορθώσετε τα πάντα ταυτόχρονα, θα πούμε ωστόσο: Μην καθυστερείτε/Ξεκινήστε σήμερα!

ΔΙΑΒΑΣΤΕ ΤΗΝ SOPHOSLABS ANALYSIS OF PATCH TUESDAY ΓΙΑ ΠΕΡΙΣΣΟΤΕΡΕΣ ΛΕΠΤΟΜΕΡΕΙΕΣ