Microsoft Patch Kedd: 36 RCE hiba, 3 nulla nap, 75 CVE

Microsoft Patch Kedd: 36 RCE hiba, 3 nulla nap, 75 CVE

Időbélyeg: 14. február 2023. 5:12
Forrás csomópont: 1958890
by Paul Ducklin

A Microsoft hivatalos megfejtése Frissítési útmutató weboldalak nem a gyenge szívűeknek való.

A legtöbb információ, amire szüksége van, ha nem minden, amit igazán szeretne tudni, ott van, de szédületesen sokféleképpen nézheti meg, és annyi, menet közben generált oldalra van szükség a megjelenítéséhez, hogy nehéz lehet kideríteni, mi az igazán új és mi az igazán fontos.

Az érintett operációs rendszer-platformok alapján kell keresnie?

A sérülékenységek súlyossága szerint? A kizsákmányolás valószínűsége szerint?

A nulladik napokat a tetejére kell rendezni?

(Szerintünk nem lehet – szerintünk három nulla nap van ebben a hónapban, de bele kellett fúrnunk az egyes CVE-oldalakat, és meg kellett keresnünk a szöveget „Kizsákmányolás észlelve” annak érdekében, hogy megbizonyosodjunk arról, hogy egy adott hibát már ismertek a kiberbűnözők.)

Mi a rosszabb, egy EoP vagy egy RCE?

Van egy Kritikai a privilégium-emelés (EoP) hiba riasztóbb, mint egy fontos távoli kódvégrehajtás (RCE)?

Az előbbi típusú hiba megköveteli a kiberbűnözőktől, hogy először betörjenek, de valószínűleg módot ad számukra a teljes irányítás átvételére, jellemzően rendszergazdai jogosultságokkal vagy operációs rendszer szintű vezérléssel egyenértékűvé teszi őket.

A második típusú hiba lehet, hogy a csalókat csak a kis öregek alacsony hozzáférési jogosultságaival kapja meg, de ennek ellenére elsősorban a hálózatra juttatja őket.

Természetesen, bár mindenki más fellélegezhet, ha egy támadó nem tudott hozzáférni a dolgaihoz, ez hideg vigasz az Ön számára, ha Ön az, akit megtámadtak.

75-2023-02-én 14 CVE-számú hibát számoltunk, tekintettel arra, hogy az idei februári frissítések Valentin napon érkeztek.

(Tulajdonképpen a 76-ot szerettük, de figyelmen kívül hagytunk egy hibát, amelynek nem volt súlyossági besorolása, megcímkézve CVE-2019 15126-, és úgy tűnik, hogy a Microsoft Hololens eszközökben található nem támogatott Broadcom Wi-Fi chipekről szóló jelentésre torkollik – ha Hololens-szel rendelkezik, és van bármilyen tanácsa a többi olvasónak, kérjük, ossza meg velünk az alábbi megjegyzésekben.)

Kivonattunk egy listát, és alább mellékeltük, úgy rendezve, hogy a hibák szinkronizálva legyenek Kritikai a csúcson vannak (hét van belőlük, mindegyik RCE-osztályú hiba).

Elolvashatja azt is SophosLabs a Patch Tuesday elemzése további részletekért.

A biztonsági hibaosztályok magyarázata

Ha nem ismeri az alább látható hibarövidítéseket, itt található egy nagysebességű útmutató a biztonsági hibákról:

  • RCE távoli kódvégrehajtást jelent. Azok a támadók, akik jelenleg nincsenek bejelentkezve a számítógépére, becsaphatják a programkódrészletet, vagy akár egy teljes programot, mintha hitelesített hozzáféréssel rendelkeznének. Általában az asztali számítógépeken vagy szervereken a bűnözők ezt a fajta hibát olyan kód beültetésére használják, amely lehetővé teszi számukra, hogy a jövőben tetszés szerint visszatérhessenek, így olyan partvonalat hoznak létre, amelyről az egész hálózatra kiterjedő támadást indíthatnak. Mobileszközökön, például telefonokon a szélhámosok RCE-hibákat használva kémprogramokat hagyhatnak maguk után, amelyek onnantól kezdve nyomon követik Önt, így nem kell újra és újra betörniük, hogy rajtad tartsák a gonosz szemüket.
  • EoP Kiváltság-emelést jelent. Ahogy fentebb említettük, ez azt jelenti, hogy a szélhámosok megnövelhetik hozzáférési jogaikat, jellemzően ugyanolyan jogosítványokra tesznek szert, mint amelyeket egy hivatalos rendszergazda vagy maga a kezelő általában élvez. Miután rendszerszintű jogosítványokkal rendelkeznek, gyakran képesek szabadon barangolni a hálózaton, biztonságos fájlokat lopni még a korlátozott hozzáférésű szerverekről is, rejtett felhasználói fiókokat létrehozni, hogy később visszatérhessenek hozzájuk, vagy feltérképezhetik a teljes IT-területet, hogy felkészüljenek egy ransomware támadás.
  • Szivárog azt jelenti, hogy a biztonsággal kapcsolatos vagy személyes adatok kikerülhetnek a biztonságos tárolásból. Néha még a látszólag kisebb kiszivárogtatások is, mint például egy adott operációs rendszer kódjának helye a memóriában, amelyet a támadónak nem kellene előre megjósolnia, megadhatják a bűnözőknek azokat az információkat, amelyekre szükségük van ahhoz, hogy egy valószínűleg sikertelen támadást szinte biztosan sikeressé alakítsanak. egy.
  • Bypass azt jelenti, hogy egy olyan biztonsági védelem, amelytől általában elvárja, hogy biztonságban legyen, megkerülhető. A szélhámosok általában kihasználják a megkerülő sebezhetőségeket, hogy rávegyenek arra, hogy megbízzon távoli tartalmakban, például e-mail mellékletekben, például úgy, hogy megtalálja a módját a „tartalomra vonatkozó figyelmeztetések” elkerülésének, vagy a rosszindulatú programok észlelésének megkerülésére, amelyek a biztonságot hivatottak megőrizni.
  • Svindli azt jelenti, hogy a tartalom megbízhatóbbá tehető, mint amilyen valójában. Például azok a támadók, akik egy hamis webhelyre csalogatják Önt, amely a címsávban (vagy ami a címsávnak néz ki) egy hivatalos szervernévvel jelenik meg a böngészőjében, nagy valószínűséggel személyes adatok átadására csalnak, mintha arra kényszerülnek, hogy hamis tartalmaikat olyan webhelyen helyezzék el, amely nyilvánvalóan nem az, amelyet elvárna.
  • DoS szolgáltatásmegtagadást jelent. Azokat a hibákat, amelyek lehetővé teszik a hálózati vagy kiszolgálói szolgáltatások ideiglenes offline állapotát, gyakran alacsony fokú hibának tekintik, feltételezve, hogy a hiba nem teszi lehetővé a támadók számára, hogy betörjenek, adatokat lopjanak vagy bármihez hozzáférjenek, amit nem kellene. Azok a támadók azonban, akik megbízhatóan képesek leszerelni a hálózat egyes részeit, újra és újra megtehetik ezt koordinált módon, például úgy, hogy a DoS-vizsgálatokat úgy időzítik, hogy minden alkalommal megtörténjenek, amikor az összeomlott szerver újraindul. Ez rendkívül bomlasztó lehet, különösen akkor, ha online vállalkozást vezet, és arra is használható, hogy elvonja a figyelmet más illegális tevékenységekről, amelyeket a csalók egyidejűleg a hálózatán végeznek.

A nagy hibalista

Itt a 75 fős hibalista, csillaggal (*) jelölve az általunk ismert három nulla napot:

NIST ID Level Type Component affected
--------------- ----------- ------ ----------------------------------------
CVE-2023-21689: (Critical) RCE Windows Protected EAP (PEAP) CVE-2023-21690: (Critical) RCE Windows Protected EAP (PEAP) CVE-2023-21692: (Critical) RCE Windows Protected EAP (PEAP) CVE-2023-21716: (Critical) RCE Microsoft Office Word CVE-2023-21803: (Critical) RCE Windows iSCSI CVE-2023-21815: (Critical) RCE Visual Studio CVE-2023-23381: (Critical) RCE Visual Studio CVE-2023-21528: (Important) RCE SQL Server CVE-2023-21529: (Important) RCE Microsoft Exchange Server CVE-2023-21568: (Important) RCE SQL Server CVE-2023-21684: (Important) RCE Microsoft PostScript Printer Driver CVE-2023-21685: (Important) RCE Microsoft WDAC OLE DB provider for SQL CVE-2023-21686: (Important) RCE Microsoft WDAC OLE DB provider for SQL CVE-2023-21694: (Important) RCE Windows Fax and Scan Service CVE-2023-21695: (Important) RCE Windows Protected EAP (PEAP) CVE-2023-21703: (Important) RCE Azure Data Box Gateway CVE-2023-21704: (Important) RCE SQL Server CVE-2023-21705: (Important) RCE SQL Server CVE-2023-21706: (Important) RCE Microsoft Exchange Server CVE-2023-21707: (Important) RCE Microsoft Exchange Server CVE-2023-21710: (Important) RCE Microsoft Exchange Server CVE-2023-21713: (Important) RCE SQL Server CVE-2023-21718: (Important) RCE SQL Server CVE-2023-21778: (Important) RCE Microsoft Dynamics CVE-2023-21797: (Important) RCE Windows ODBC Driver CVE-2023-21798: (Important) RCE Windows ODBC Driver CVE-2023-21799: (Important) RCE Microsoft WDAC OLE DB provider for SQL CVE-2023-21801: (Important) RCE Microsoft PostScript Printer Driver CVE-2023-21802: (Important) RCE Microsoft Windows Codecs Library CVE-2023-21805: (Important) RCE Windows MSHTML Platform CVE-2023-21808: (Important) RCE .NET and Visual Studio CVE-2023-21820: (Important) RCE Windows Distributed File System (DFS) CVE-2023-21823: (Important) *RCE Microsoft Graphics Component
CVE-2023-23377: (Important) RCE 3D Builder CVE-2023-23378: (Important) RCE 3D Builder CVE-2023-23390: (Important) RCE 3D Builder CVE-2023-21566: (Important) EoP Visual Studio CVE-2023-21688: (Important) EoP Windows ALPC CVE-2023-21717: (Important) EoP Microsoft Office SharePoint CVE-2023-21777: (Important) EoP Azure App Service CVE-2023-21800: (Important) EoP Windows Installer CVE-2023-21804: (Important) EoP Microsoft Graphics Component CVE-2023-21812: (Important) EoP Windows Common Log File System Driver CVE-2023-21817: (Important) EoP Windows Kerberos CVE-2023-21822: (Important) EoP Windows Win32K CVE-2023-23376: (Important) *EoP Windows Common Log File System Driver CVE-2023-23379: (Important) EoP Microsoft Defender for IoT CVE-2023-21687: (Important) Leak Windows HTTP.sys CVE-2023-21691: (Important) Leak Windows Protected EAP (PEAP) CVE-2023-21693: (Important) Leak Microsoft PostScript Printer Driver CVE-2023-21697: (Important) Leak Internet Storage Name Service CVE-2023-21699: (Important) Leak Internet Storage Name Service CVE-2023-21714: (Important) Leak Microsoft Office CVE-2023-23382: (Important) Leak Azure Machine Learning CVE-2023-21715: (Important) *Bypass Microsoft Office Publisher CVE-2023-21809: (Important) Bypass Microsoft Defender for Endpoint CVE-2023-21564: (Important) Spoof Azure DevOps CVE-2023-21570: (Important) Spoof Microsoft Dynamics CVE-2023-21571: (Important) Spoof Microsoft Dynamics CVE-2023-21572: (Important) Spoof Microsoft Dynamics CVE-2023-21573: (Important) Spoof Microsoft Dynamics CVE-2023-21721: (Important) Spoof Microsoft Office OneNote CVE-2023-21806: (Important) Spoof Power BI CVE-2023-21807: (Important) Spoof Microsoft Dynamics CVE-2023-21567: (Important) DoS Visual Studio CVE-2023-21700: (Important) DoS Windows iSCSI CVE-2023-21701: (Important) DoS Windows Protected EAP (PEAP) CVE-2023-21702: (Important) DoS Windows iSCSI CVE-2023-21722: (Important) DoS .NET Framework CVE-2023-21811: (Important) DoS Windows iSCSI CVE-2023-21813: (Important) DoS Windows Cryptographic Services CVE-2023-21816: (Important) DoS Windows Active Directory CVE-2023-21818: (Important) DoS Windows SChannel CVE-2023-21819: (Important) DoS Windows Cryptographic Services CVE-2023-21553: (Unknown ) RCE Azure DevOps

Mit kell tenni?

Az üzleti felhasználók szeretik a javítások fontossági sorrendjét megadni, ahelyett, hogy egyszerre csinálnák meg őket, és abban reménykednének, hogy semmi sem fog eltörni; ezért feltesszük a Kritikai hibák a tetején, valamint az RCE lyukak, tekintettel arra, hogy az RCE-ket általában a szélhámosok használják a kezdeti lábuk megszerzésére.

A végén azonban minden hibát ki kell javítani, különösen most, hogy a frissítések elérhetőek, és a támadók elkezdhetnek „visszafelé dolgozni” azzal, hogy megpróbálják kitalálni a javításokból, hogy milyen lyukak léteztek a frissítések megjelenése előtt.

A Windows javítások visszafejtése időigényes lehet, nem utolsósorban azért, mert a Windows egy zárt forráskódú operációs rendszer, de sokkal könnyebb kitalálni, hogyan működnek a hibák és hogyan lehet kihasználni őket, ha van egy jó ötlete, hogy hol kezdje. keres, és mit kell keresni.

Minél hamarabb jutsz előrébb (vagy minél gyorsabban utoléred, a nulladik napi lyukak esetében, amelyek olyan hibák, amelyeket a szélhámosok találtak meg először), annál kisebb a valószínűsége annak, hogy Ön lesz az, akit megtámadnak.

Tehát még ha nem is foltoz mindent egyszerre, akkor is azt fogjuk mondani: Ne késlekedjen/Kezdje el még ma!

TOVÁBBI RÉSZLETEKÉRT OLVASSA EL A PATCH KEDD SOPHOSLABS ELEMZÉSÉT

Időbélyeg:

Még több Meztelen biztonság