Microsoft Patch Tuesday: 36 RCE Bugs, 3 Zero-days, 75 CVEs

Taasavaldanud Platon

järgijaid: 0

Microsofti ametniku dešifreerimine Uuenda juhendit veebilehed pole nõrganärvilistele.

Enamik vajalikku teavet, kui mitte kõik, mida soovite teada, on olemas, kuid selle vaatamiseks on tohutult palju võimalusi ja selle kuvamiseks on vaja nii palju lennult loodud lehti, et võib olla keeruline välja selgitada, mis on tõeliselt uus ja mis on tõeliselt oluline.

Kas peaksite otsima mõjutatud operatsioonisüsteemi platvormide järgi?

Haavatavuse raskusastme järgi? Ärakasutamise tõenäosuse järgi?

Kas peaksite nullpäevad üles sorteerima?

(Me ei usu, et saate – me arvame, et selle kuu loendis on kolm nullpäeva, kuid me pidime uurima üksikuid CVE lehti ja otsima teksti "Kasutamine tuvastatud" veendumaks, et konkreetne viga oli küberkurjategijatele juba teada.)

.s-button+.s-button { margin-left: .3125rem; } .s-button { üleminek: kõik .15s lineaarne; fondi suurus: .875rem; joone kõrgus: 1.5; värv: #f2f2f2; fondiperekond: SophosSansMedium, Helvetica Neue, Helvetica, Arial, sans-serif; fondi kaal: 400; fondi stiil: tavaline; ekraan: inline-block; polster: .3125rem 1.25rem; kursor: kursor; teksti joondamine: keskel; tekst-kaunistus: puudub; ääris: 1px solid #005bc8; piiri raadius: 3px; taustavärv: #005bc8; tekst-vari: puudub; } .s-button:hover { text-decoration: none; värv: #fff; piirivärv: #002d62; taustavärv: #002d62; } .s-button–white, .s-button–white:hover { color: #005bc8 !important; piirivärv: #fff; taustavärv: #fff; } .s-ad-sophos-mdr { fondi suurus: 1rem; joone kõrgus: 1.5; värv: #242629; fondiperekond: SophosSansRegular, Helvetica Neue, Helvetica, Arial, sans-serif; fondi kaal: 400; fondi stiil: tavaline; asend: suhteline; maksimaalne laius: 769 pikslit; veeris: 15px auto; polsterdus: 30px 30px 25px; üleminek: kast-vari .25s cubic-bezier( .645, .045, .355, 1 ); teksti joondamine: keskel; taustavärv: #0d141d; background-repeat: no-repeat; taustapositsioon: 50%; tausta suurus: kaas; kast-vari: 0 0 0 0 0 läbipaistev; taustavärv: #005bc8; taustapilt: puudub; tausta-positsioon: 0 0; } .s-ad-sophos-mdr__title { fondi suurus: 2rem; joone kõrgus: 1.125; veeris-alumine: 4px; värv: #fff; } .s-ad-sophos-mdr__text { font-family: SophosSansLight, Helvetica Neue, Helvetica, Arial, sans-serif; fondi kaal: 400; fondi stiil: tavaline; fondi suurus: 17 pikslit; värv: #fff; } .s-ad-sophos-mdr__action { margin-top: 15px; } .s-ad-sophos-mdr__action .s-button { värv: #fff; } .s-ad-sophos-mdr__link-wrapper { text-decoration: none; } .s-ad-sophos-mdr__link-wrapper:hover .s-ad-sophos-mdr { box-shadow: 0 5px 10px 0 rgba( 0, 0, 0, .15 ); } .s-ad-sophos-mdr__sophos-logo { asukoht: absoluutne; ülemine: 15 pikslit; paremal: 15 pikslit; } .s-ad-sophos-mdr__sophos-logo-svg { kuva: inline-block; laius: 64 pikslit; kõrgus: 11 pikslit; vertikaalne joondamine: ülemine; background-repeat: no-repeat; tausta suurus: 64 pikslit 11 pikslit; } .s-ad-sophos-mdr__title { font-family: SophosSansSemibold, Helvetica Neue, Helvetica, Arial, sans-serif; fondi kaal: 400; fondi stiil: tavaline; fondi suurus: 28 pikslit; fondi kaal: 700; joone kõrgus: 1; veeris-alumine: 10px; teksti joondamine: vasakule; } .s-ad-sophos-mdr__title svg { max-width: 100%; } .s-ad-sophos-mdr__text { fondi suurus: 16 pikslit; joone kõrgus: 1.25; teksti joondamine: vasakule; } .s-ad-sophos-mdr__action { text-align: right; } .s-ad-sophos-mdr .s-button { piiriraadius: 20 pikslit; } @media (min-width: 769px) { .s-ad-sophos-mdr__text { margin-right: 140px; } .s-ad-sophos-mdr__action { position: absoluutne; paremal: 30 pikslit; alumine: 30 pikslit; } } @meedia (max-width: 768px) { .s-ad-sophos-mdr { padding-top: 50px; } .s-ad-sophos-mdr__title { fondi suurus: 1.625rem; } .s-ad-sophos-mdr__text { fondi suurus: 16 pikslit; } .s-ad-sophos-mdr { padding-top: 30px; } }

Mis on hullem, kas EoP või RCE?

Kas Kriitiline privileegide tõstmise (EoP) viga on murettekitavam kui an oluline koodi kaugkäivitamine (RCE)?

Esialgset tüüpi vead nõuavad küberkurjategijatelt esmalt sissemurdmist, kuid tõenäoliselt annab neile võimaluse täielikult üle võtta, saades neile tavaliselt süsteemiadministraatori volituste või operatsioonisüsteemi taseme kontrolli.

Teist tüüpi vead võivad petturid sisse tuua ainult väikese vana inimese madalate juurdepääsuõigustega, kuid see viib nad siiski võrku.

Muidugi, kuigi kõik teised võivad kergendatult hingata, kui ründajal ei õnnestunud oma asjadele ligi pääseda, on see teie jaoks külm lohutus, kui just teie olete see, keda rünnati.

Arvestades, et selle aasta veebruari värskendused saabusid sõbrapäeval, loendasime 75 CVE-numbriga viga alates 2023-02-14.

(Tegelikult meeldis meile 76, kuid me eirasime üht viga, millel puudus raskusaste, märgiti CVE-2019-15126, ja näib taanduvat aruandele toetamata Broadcomi Wi-Fi kiipide kohta Microsoft Hololensi seadmetes – kui teil on Hololens ja teil on teistele lugejatele nõu anda, andke meile allolevates kommentaarides teada.)

Ekstraktisime loendi ja lisasime selle alla, sorteerides nii, et vead dubleeriti Kriitiline on tipus (neid on seitse, kõik RCE-klassi vead).

Samuti saate lugeda SophosLabs plaastri teisipäeva analüüs lisateabe saamiseks.

Selgitatud turvaveaklassid

Kui te pole kursis allpool näidatud vigade lühenditega, on siin kiire juhend turvavigade kohta.

PKT tähendab koodi kaugtäitmist. Ründajad, kes pole praegu teie arvutisse sisse logitud, võivad seda petta, et käivitada programmikoodi fragment või isegi täielik programm, justkui oleks neil juurdepääs autentitud. Tavaliselt kasutavad kurjategijad lauaarvutites või serverites seda tüüpi viga, et sisestada kood, mis võimaldab neil tulevikus oma äranägemise järgi tagasi pääseda, luues seega rannapea, kust alustada kogu võrku hõlmavat rünnakut. Mobiilseadmetes, nagu telefonid, võivad kelmid kasutada RCE-vigu, et jätta endast maha nuhkvara, mis hakkab teid sellest ajast jälgima, nii et neil pole vaja ikka ja jälle sisse murda, et teie peal kurja pilku hoida.
EoP tähendab privileegide tõusu. Nagu ülalpool mainitud, tähendab see, et kelmid saavad oma juurdepääsuõigusi suurendada, omandades tavaliselt samasugused volitused, mida tavaliselt saavad kasutada ametlik süsteemiadministraator või operaator ise. Kui neil on süsteemitasemel volitused, saavad nad sageli teie võrgus vabalt ringi liikuda, varastada turvalisi faile isegi piiratud juurdepääsuga serveritest, luua peidetud kasutajakontosid, et hiljem tagasi pääseda, või kaardistada kogu teie IT-vara, valmistudes lunavara rünnak.
Lekkima tähendab, et turvalisusega seotud või privaatsed andmed võivad turvalisest salvestusruumist välja pääseda. Mõnikord võivad isegi näiliselt väikesed lekked, näiteks konkreetse operatsioonisüsteemi koodi asukoht mälus, mida ründaja ei peaks suutma ennustada, anda kurjategijatele teavet, mida nad vajavad, et muuta tõenäoliselt ebaõnnestunud rünnak peaaegu kindlasti edukaks. üks.
Bypass tähendab, et turvakaitse, mida tavaliselt eeldate, et teie turvalisus oleks tagatud, võib olla seelik. Kelmid kasutavad tavaliselt turvaauke, et meelitada teid usaldama kaugsisu, näiteks meilimanuseid, leides näiteks viisi sisuhoiatuste vältimiseks või pahavara tuvastamisest kõrvalehoidmiseks, mis peaks teid kaitsma.
Pettus tähendab, et sisu saab muuta usaldusväärsemaks, kui see tegelikult on. Näiteks ründajad, kes meelitavad teid võltsveebisaidile, mis kuvatakse teie brauseris ametliku serveri nimega aadressiribal (või mis näeb välja nagu aadressiriba), meelitavad teid tõenäoliselt isikuandmeid üle andma, kui sunnitud panema oma võltssisu saidile, mis ilmselgelt pole see, mida ootate.
DoS tähendab teenuse keelamist. Vead, mis võimaldavad võrgu- või serveriteenuseid ajutiselt võrguühenduseta välja lülitada, peetakse sageli madala kvaliteediga vigadeks, eeldades, et viga ei võimalda seejärel ründajatel sisse murda, andmeid varastada ega pääseda juurde kõigele, mida nad ei peaks. Kuid ründajad, kes suudavad teie võrgu osi usaldusväärselt maha võtta, võivad seda teha ikka ja jälle kooskõlastatult, näiteks ajastades oma DoS-sondide toimumise iga kord, kui teie kokkujooksnud serverid taaskäivituvad. See võib olla äärmiselt häiriv, eriti kui tegelete veebiettevõttega, ja seda saab kasutada ka tähelepanu hajutamiseks, et juhtida tähelepanu eemale muudest ebaseaduslikest tegevustest, mida kelmid teie võrgus samal ajal teevad.

Suur vigade nimekiri

Siin on 75-pealine vigade loend, kus on kolm meile teadaolevat nullpäeva, mis on märgitud tärniga (*):

NIST ID Level Type Component affected
--------------- ----------- ------ ----------------------------------------
CVE-2023-21689: (Critical) RCE Windows Protected EAP (PEAP) CVE-2023-21690: (Critical) RCE Windows Protected EAP (PEAP) CVE-2023-21692: (Critical) RCE Windows Protected EAP (PEAP) CVE-2023-21716: (Critical) RCE Microsoft Office Word CVE-2023-21803: (Critical) RCE Windows iSCSI CVE-2023-21815: (Critical) RCE Visual Studio CVE-2023-23381: (Critical) RCE Visual Studio CVE-2023-21528: (Important) RCE SQL Server CVE-2023-21529: (Important) RCE Microsoft Exchange Server CVE-2023-21568: (Important) RCE SQL Server CVE-2023-21684: (Important) RCE Microsoft PostScript Printer Driver CVE-2023-21685: (Important) RCE Microsoft WDAC OLE DB provider for SQL CVE-2023-21686: (Important) RCE Microsoft WDAC OLE DB provider for SQL CVE-2023-21694: (Important) RCE Windows Fax and Scan Service CVE-2023-21695: (Important) RCE Windows Protected EAP (PEAP) CVE-2023-21703: (Important) RCE Azure Data Box Gateway CVE-2023-21704: (Important) RCE SQL Server CVE-2023-21705: (Important) RCE SQL Server CVE-2023-21706: (Important) RCE Microsoft Exchange Server CVE-2023-21707: (Important) RCE Microsoft Exchange Server CVE-2023-21710: (Important) RCE Microsoft Exchange Server CVE-2023-21713: (Important) RCE SQL Server CVE-2023-21718: (Important) RCE SQL Server CVE-2023-21778: (Important) RCE Microsoft Dynamics CVE-2023-21797: (Important) RCE Windows ODBC Driver CVE-2023-21798: (Important) RCE Windows ODBC Driver CVE-2023-21799: (Important) RCE Microsoft WDAC OLE DB provider for SQL CVE-2023-21801: (Important) RCE Microsoft PostScript Printer Driver CVE-2023-21802: (Important) RCE Microsoft Windows Codecs Library CVE-2023-21805: (Important) RCE Windows MSHTML Platform CVE-2023-21808: (Important) RCE .NET and Visual Studio CVE-2023-21820: (Important) RCE Windows Distributed File System (DFS) CVE-2023-21823: (Important) *RCE Microsoft Graphics Component
CVE-2023-23377: (Important) RCE 3D Builder CVE-2023-23378: (Important) RCE 3D Builder CVE-2023-23390: (Important) RCE 3D Builder CVE-2023-21566: (Important) EoP Visual Studio CVE-2023-21688: (Important) EoP Windows ALPC CVE-2023-21717: (Important) EoP Microsoft Office SharePoint CVE-2023-21777: (Important) EoP Azure App Service CVE-2023-21800: (Important) EoP Windows Installer CVE-2023-21804: (Important) EoP Microsoft Graphics Component CVE-2023-21812: (Important) EoP Windows Common Log File System Driver CVE-2023-21817: (Important) EoP Windows Kerberos CVE-2023-21822: (Important) EoP Windows Win32K CVE-2023-23376: (Important) *EoP Windows Common Log File System Driver CVE-2023-23379: (Important) EoP Microsoft Defender for IoT CVE-2023-21687: (Important) Leak Windows HTTP.sys CVE-2023-21691: (Important) Leak Windows Protected EAP (PEAP) CVE-2023-21693: (Important) Leak Microsoft PostScript Printer Driver CVE-2023-21697: (Important) Leak Internet Storage Name Service CVE-2023-21699: (Important) Leak Internet Storage Name Service CVE-2023-21714: (Important) Leak Microsoft Office CVE-2023-23382: (Important) Leak Azure Machine Learning CVE-2023-21715: (Important) *Bypass Microsoft Office Publisher CVE-2023-21809: (Important) Bypass Microsoft Defender for Endpoint CVE-2023-21564: (Important) Spoof Azure DevOps CVE-2023-21570: (Important) Spoof Microsoft Dynamics CVE-2023-21571: (Important) Spoof Microsoft Dynamics CVE-2023-21572: (Important) Spoof Microsoft Dynamics CVE-2023-21573: (Important) Spoof Microsoft Dynamics CVE-2023-21721: (Important) Spoof Microsoft Office OneNote CVE-2023-21806: (Important) Spoof Power BI CVE-2023-21807: (Important) Spoof Microsoft Dynamics CVE-2023-21567: (Important) DoS Visual Studio CVE-2023-21700: (Important) DoS Windows iSCSI CVE-2023-21701: (Important) DoS Windows Protected EAP (PEAP) CVE-2023-21702: (Important) DoS Windows iSCSI CVE-2023-21722: (Important) DoS .NET Framework CVE-2023-21811: (Important) DoS Windows iSCSI CVE-2023-21813: (Important) DoS Windows Cryptographic Services CVE-2023-21816: (Important) DoS Windows Active Directory CVE-2023-21818: (Important) DoS Windows SChannel CVE-2023-21819: (Important) DoS Windows Cryptographic Services CVE-2023-21553: (Unknown ) RCE Azure DevOps

Mida teha?

Ärikasutajatele meeldib plaastreid tähtsuse järjekorda seada, selle asemel, et neid korraga teha ja loota, et midagi ei purune; seetõttu panime Kriitiline vead ülaosas koos RCE aukudega, arvestades, et RCE-sid kasutavad tavaliselt kelmid oma esialgse tugipunkti saamiseks.

Lõpuks tuleb aga kõik vead parandada, eriti nüüd, kui värskendused on saadaval ja ründajad saavad hakata "tagurpidi töötama", püüdes paikade põhjal välja selgitada, millised augud olid olemas enne uuenduste ilmumist.

Windowsi paikade pöördprojekteerimine võib olla aeganõudev, muu hulgas seetõttu, et Windows on suletud lähtekoodiga operatsioonisüsteem, kuid kui teil on hea idee, kust alustada, on palju lihtsam aru saada, kuidas vead töötavad ja kuidas neid ära kasutada. otsides ja mida otsida.

Mida varem edasi jõuate (või mida kiiremini jõuate järele, kui tegemist on nullpäevadega, mis on vead, mille kelmid esimesena leidsid), seda väiksem on tõenäosus, et teid rünnatakse.

Nii et isegi kui te ei paranda kõike korraga, ütleme sellegipoolest: Ärge viivitage / alustage juba täna!

LISATEAVE LUGEGE PLAASTRITE TEISIPÄEVA SOPHOSLABSI ANALÜÜSI