Microsoft Patch Tuesday: 0 יום אחד; Win 7 ו-8.1 מקבלים תיקונים אחרונים

עד כמה שאנחנו יכולים לדעת, יש עצום פריטי 2874 ברשימת עדכוני ה-Patch Tuesday של החודש מ-Microsoft, בהתבסס על הורדת ה-CSV שהרגע תפסנו מ-Redmond's מדריך לעדכון אבטחה עמוד אינטרנט.

(באתר עצמו כתוב 2283, אך ייצוא ה-CSV הכיל 2875 שורות, כאשר השורה הראשונה אינה למעשה רשומת נתונים אלא רשימה של שמות השדות השונים עבור שאר השורות בקובץ.)

ברור מאוד בראש הרשימה נמצאים השמות ב- המוצר עמודה של תשעת הערכים הראשונים, העוסקת בתיקון העלאת הרשאות (EoP) המסומן CVE-2013-21773 עבור Windows 7, Windows 8.1, ו Windows RT 8.1.

Windows 7, כפי שאנשים רבים זוכרים, הייתה פופולרית ביותר בימיו (אכן, חלקם עדיין רואים בה את ה-Windows הטוב ביותר אי פעם), סוף סוף פיתתה אפילו מעריצים מושבעים מול Windows XP כשהתמיכה ב-XP הסתיימה.

ווינדוס 8.1, שזכור יותר כמעין "תיקון באגים" לחלונות 8 ללא קינה וחסרת קינה מאשר כגרסת ווינדוס אמיתית בפני עצמה, מעולם לא ממש תפס.

ו-Windows RT 8.1 היה כל מה שאנשים לא אהבו בגרסה הרגילה של Windows 8.1, אלא פועל על חומרה קניינית מבוססת ARM שננעלה בקפדנות, כמו אייפון או אייפד - לא משהו שמשתמשי Windows היו רגילים אליו, וגם לא , אם לשפוט לפי תגובת השוק, משהו שאנשים רבים היו מוכנים לקבל.

אכן, לפעמים לקרוא שחוסר הפופולריות היחסית של Windows 8 הוא הסיבה שהמהדורה הגדולה הבאה אחרי 8.1 הייתה ממוספרת של Windows 10, ובכך יצרה בכוונה תחושה של הפרדה בין הגרסה הישנה לחדשה.

הסברים אחרים כוללים את זה Windows 10 היה אמור להיות השם המלא של המוצר, כך שה 10 היוו חלק משם המוצר החדש, במקום להיות רק מספר שנוסף לשם כדי לציין גרסה. ההופעה לאחר מכן של Windows 11 שמה שקע בתיאוריה הזו - אבל מעולם לא היה Windows 9.

סוף שתי תקופות

תזיל את הדמעות שלך עכשיו, כי החודש רואים את עדכוני האבטחה האחרונים עבור גירסאות הישן של Windows 7 ו-Windows 8.1.

Windows 7 הגיעה כעת לסוף תקופת שלוש שנות התשלום שלה כדי לקבל ESU (ESU הוא קיצור של עדכוני אבטחה מורחבים), ו-Windows 8.1 פשוט לא מקבל עדכונים מורחבים, כנראה שלא משנה כמה אתה מוכן לשלם:

כזכור, Windows 8.1 יגיע לסיום התמיכה ב-10 בינואר 2023 [2023-01-10], ובשלב זה לא יינתנו עוד סיוע טכני ועדכוני תוכנה. […]

מיקרוסופט לא תציע תוכנית עדכון אבטחה מורחב (ESU) עבור Windows 8.1. המשך השימוש ב-Windows 8.1 לאחר 10 בינואר 2023 עשוי להגביר את חשיפת הארגון לסיכוני אבטחה או להשפיע על יכולתו לעמוד בהתחייבויות הציות.

אז זה באמת הסוף של עידן Windows 7 ו-Windows 8.1, וכל באגים של מערכת ההפעלה שנותרו במחשבים שעדיין פועלים עם הגירסאות האלה יהיו שם לנצח.

זכור, כמובן, שלמרות גילן, שתי הפלטפורמות הללו קיבלו בדיוק החודש תיקונים עבור עשרות פרצות שונות במספר CVE: 42 CVEs במקרה של Windows 7, ו-48 CVEs במקרה של Windows 8.1.

גם אם חוקרי איומים עכשוויים ופושעי רשת אינם מחפשים במפורש באגים בבנייה ישנה של Windows, פגמים שנמצאו לראשונה על ידי תוקפים שחפרו בגירסה העדכנית ביותר של Windows 11 עשויים להתברר שעברו בירושה מקוד מדור קודם.

למעשה, ספירות ה-CVE של 42 ו-48 לעיל משתווים לסך של 90 CVEs שונים הרשומים ברשימה של מיקרוסופט ינואר 2023 הערות שחרור עמוד, המצביע באופן רופף על כך שכמחצית מהבאגים של היום (ברשימת החודש, לכל 90 יש סימני תאריך CVE-2023-XXXX) חיכו להימצא ב-Windows במשך עשור לפחות.

במילים אחרות, באותו האופן שבו באגים שנחשפו בגרסאות ישנות עלולים להתברר שעדיין משפיעים על המהדורות העדכניות והטובות ביותר, תגלו לעתים קרובות שגם באגים "חדשים" הולכים אחורה, וניתן להתאים אותם לניצולים שעובדים על ישנים גם גרסאות ווינדוס.

למרבה האירוניה, באגים "חדשים" עשויים בסופו של דבר להיות קל יותר לניצול בגרסאות ישנות יותר, בשל הגדרות בניית התוכנה המגבילות פחות ותצורות ריצה ליברליות יותר שנחשבו מקובלות אז.

מחשבים ניידים ישנים יותר עם פחות זיכרון מהיום הוגדרו בדרך כלל עם גרסאות 32 סיביות של Windows, גם אם היו להם מעבדי 64 סיביות. כמה טכניקות להפחתת איומים, בעיקר אלו הכוללות הפצה אקראית של המיקומים שבהם תוכניות מגיעות לזיכרון כדי להפחית את יכולת הניבוי ולהפוך את הניצול לקשה יותר לביצוע מהימן, בדרך כלל פחות יעילות ב-Windows 32-bit, פשוט בגלל שיש פחות כתובות זיכרון לבחור מ. כמו מחבואים, ככל שיש יותר מקומות אפשריים להסתתר, בדרך כלל לוקח יותר זמן למצוא אותך.

"זוהה ניצול"

לפי Bleeping Computer, רק שתיים מהחולשות שנחשפו החודש רשומות כנמצאות בטבע, במילים אחרות ידוע בחוץ מיקרוסופט וקהילת המחקר המיידית:

• CVE-2023-21674: פגיעות העלאת הרשאות של Windows Advanced Local Procedure Call (ALPC). באופן מבלבל, זה רשום בתור חשיפה לציבור: לא, אבל זוהה ניצול. מכאן, אנו מניחים שפושעי סייבר כבר יודעים כיצד לעשות שימוש לרעה בבאג הזה, אך הם שומרים בקפידה את פרטי הניצול לעצמם, ככל הנראה כדי להקשות על מגיבים לאיומים לדעת מה לחפש במערכות שלא היו. תוקן עדיין.
• CVE-2023-21549: פגיעות של העלאת הרשאות של שירות עדי Windows SMB של Windows. זה מסומן נחשף בפומבי, אבל בכל זאת נכתב בשם ניצול פחות סביר. מכאן, אנו מסיקים שגם אם מישהו יגיד לך היכן נמצא הבאג וכיצד אתה עלול להפעיל אותו, יהיה קשה להבין כיצד לנצל את הבאג בהצלחה ולמעשה להשיג העלאת הרשאות.

באופן מסקרן, הבאג CVE-2023-21674, שנמצא בשימוש פעיל על ידי תוקפים, אינו ברשימת התיקונים של Windows 7, אבל הוא חל על Windows 8.1.

הבאג השני, CVE-2023-21549, המתואר כידוע בציבור, חל גם על Windows 7 וגם על Windows 8.1.

כפי שאמרנו לעיל, פגמים שהתגלו לאחרונה מגיעים רחוק.

CVE-2023-21674 תקף לאורך כל הדרך מ-Windows 8.1 ועד לגירסה העדכנית ביותר של Windows 11 2022H2 (H2, למקרה שתהיתם, פירושו "הגרסה שהונפקה במחצית השנייה של השנה").

באופן דרמטי אפילו יותר, CVE-2023-21549 חל ישירות מ-Windows 7 ל-Windows 11 2022H2.

מה לעשות עם המחשבים הישנים האלה?

אם יש לכם מחשבי Windows 7 או Windows 8.1 שאתם עדיין מחשיבים כשמישים ושימושיים, שקול לעבור למערכת הפעלה בקוד פתוח, כגון הפצת לינוקס, שעדיין מקבלת גם תמיכה וגם עדכונים.

כמה מבני Linux בקהילה מתמחים בשמירה על ההפצות שלהם קטנות ופשוטות

למרות שאולי אין להם את האוסף העדכני והטוב ביותר של מסנני תמונות, כלי עריכת וידאו, מנועי שחמט וטפטים ברזולוציה גבוהה, הפצות מינימליסטיות עדיין מתאימות לגלישה ולדואר אלקטרוני, אפילו בחומרה ישנה של 32 סיביות עם דיסקים קשיחים קטנים. זיכרון נמוך.

---

READ THE SOPHOSLABS REPORT ON THIS MONTH’S PATCHES

---

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
• מקור: https://nakedsecurity.sophos.com/2023/01/11/microsoft-patch-tuesday-one-0-day-win-7-and-8-1-get-last-ever-patches/