Microsoft Patch Tuesday: 36 RCE באגים, 3 Zero-days, 75 CVEs

הועלה מחדש על ידי אפלטון

עוקב: 0

פענוח הרשמי של מיקרוסופט מדריך לעדכון דפי אינטרנט אינם מיועדים לבעלי לב חלש.

רוב המידע שאתה צריך, אם לא כל מה שאתה באמת רוצה לדעת, קיים, אבל יש מספר עצום של דרכים להציג אותו, וכל כך הרבה דפים שנוצרו תוך כדי תנועה כדי להציג אותו, שזה יכול להיות מסובך לגלות מה באמת חדש ומה באמת חשוב.

האם עליך לחפש לפי פלטפורמות מערכת ההפעלה המושפעות?

לפי חומרת הפגיעות? לפי הסבירות לניצול?

האם כדאי למיין את ימי האפס לראש?

(אנחנו לא חושבים שאתה יכול - אנחנו חושבים שיש שלושה אפס-ימים ברשימה של החודש הזה, אבל היינו צריכים להתעמק בדפי CVE בודדים ולחפש את הטקסט "זוהה ניצול" כדי להיות בטוח שבאג מסוים כבר היה מוכר לפושעי רשת.)

.s-button+.s-button { margin-left: .3125rem; } .s-button { transition: all .15s ליניארי; גודל גופן: .875rem; גובה קו: 1.5; צבע: #f2f2f2; משפחת גופנים: SophosSansMedium, Helvetica Neue, Helvetica, Arial, sans-serif; משקל גופן: 400; סגנון גופן: רגיל; תצוגה: בלוק מוטבע; ריפוד: .3125rem 1.25rem; סמן: מצביע; יישור טקסט: מרכז; קישוט טקסט: אין; גבול: 1px מוצק #005bc8; border-radius: 3px; צבע רקע: #005bc8; text-shadow: אין; } .s-button:hover { text-decoration: none; צבע: #fff; צבע גבול: #002d62; צבע רקע: #002d62; } .s-button–white, .s-button–white:hover { color: #005bc8 !important; צבע גבול: #fff; צבע רקע: #fff; } .s-ad-sophos-mdr { font-size: 1rem; גובה קו: 1.5; צבע: #242629; font-family: SophosSansRegular, Helvetica Neue, Helvetica, Arial, sans-serif; משקל גופן: 400; סגנון גופן: רגיל; עמדה: קרוב משפחה; רוחב מקסימלי: 769 פיקסלים; שוליים: 15px אוטומטי; ריפוד: 30px 30px 25px; transition: box-shadow .25s cubic-bezier( .645, .045, .355, 1 ); יישור טקסט: מרכז; צבע רקע: #0d141d; רקע-חזרה: אין-חזרה; מיקום רקע: 50%; רקע-גודל: כריכה; קופסא-צל: 0 0 0 0 0 שקוף; צבע רקע: #005bc8; רקע-תמונה: אין; מיקום רקע: 0 0; } .s-ad-sophos-mdr__title { font-size: 2rem; גובה קו: 1.125; margin-bottom: 4px; צבע: #fff; } .s-ad-sophos-mdr__text { font-family: SophosSansLight, Helvetica Neue, Helvetica, Arial, sans-serif; משקל גופן: 400; סגנון גופן: רגיל; גודל גופן: 17px; צבע: #fff; } .s-ad-sophos-mdr__action { margin-top: 15px; } .s-ad-sophos-mdr__action .s-button { color: #fff; } .s-ad-sophos-mdr__link-wrapper { text-decoration: none; } .s-ad-sophos-mdr__link-wrapper:hover .s-ad-sophos-mdr { box-shadow: 0 5px 10px 0 rgba( 0, 0, 0, .15 ); } .s-ad-sophos-mdr__sophos-logo { מיקום: מוחלט; למעלה: 15px; מימין: 15px; } .s-ad-sophos-mdr__sophos-logo-svg { display: inline-block; רוחב: 64 פיקסלים; גובה: 11 פיקסלים; יישור אנכי: למעלה; רקע-חזרה: אין-חזרה; גודל רקע: 64px 11px; } .s-ad-sophos-mdr__title { font-family: SophosSansSemibold, Helvetica Neue, Helvetica, Arial, sans-serif; משקל גופן: 400; סגנון גופן: רגיל; גודל גופן: 28px; משקל גופן: 700; גובה קו: 1; margin-bottom: 10px; יישור טקסט: שמאלה; } .s-ad-sophos-mdr__title svg { max-width: 100%; } .s-ad-sophos-mdr__text { font-size: 16px; גובה קו: 1.25; יישור טקסט: שמאלה; } .s-ad-sophos-mdr__action { text-align: right; } .s-ad-sophos-mdr .s-button { border-radius: 20px; } @media (min-width:769px) { .s-ad-sophos-mdr__text { margin-right: 140px; } .s-ad-sophos-mdr__action { מיקום: מוחלט; מימין: 30 פיקסלים; תחתון: 30px; } } @media (max-width:768px) { .s-ad-sophos-mdr { padding-top: 50px; } .s-ad-sophos-mdr__title { font-size: 1.625rem; } .s-ad-sophos-mdr__text { font-size: 16px; } .s-ad-sophos-mdr { padding-top: 30px; } }

מה יותר גרוע, EoP או RCE?

האם קריטי באג של העלאת הרשאות (EoP) יותר מדאיג מאשר חָשׁוּב ביצוע קוד מרחוק (RCE)?

הסוג הקודם של הבאגים מחייב פושעי סייבר לפרוץ פנימה תחילה, אבל כנראה נותן להם דרך להשתלט לחלוטין, בדרך כלל משיג להם את המקבילה לסמכויות מערכת ההפעלה או לשליטה ברמת מערכת ההפעלה.

הסוג השני של הבאגים עשוי להכניס את הנוכלים רק עם הרשאות הגישה הנמוכות של אתה הקטן, אבל הוא בכל זאת מכניס אותם לרשת מלכתחילה.

כמובן, בעוד שכולם עלולים לנשום לרווחה אם תוקף לא היה מסוגל לקבל גישה לדברים שלו, זו נחמה קרה עבורך, אם אתה זה שכן הותקף.

ספרנו 75 באגים עם מספרי CVE מתאריך 2023-02-14, בהתחשב בכך שהעדכונים של פברואר השנה הגיעו ביום האהבה.

(למעשה, אנחנו אוהבים 76, אבל התעלמנו מבאג אחד שלא היה לו דירוג חומרה, תויג CVE-2019-15126, ונראה שזה מסתכם בדיווח על שבבי Broadcom Wi-Fi שאינם נתמכים במכשירי Microsoft Hololens - אם יש לך Hololens ויש לך עצה לקוראים אחרים, אנא הודע לנו בהערות למטה.)

חילצנו רשימה וכללנו אותה למטה, ממוינת כך שהבאגים מדובב קריטי נמצאים בראש (יש שבעה מהם, כולם באגים בדרגת RCE).

אתה יכול גם לקרוא את SophosLabs ניתוח של Patch Tuesday לפרטים נוספים.

מוסבר כיתות באגי אבטחה

אם אינך מכיר את קיצורי הבאגים המוצגים להלן, הנה מדריך מהיר לליקוי אבטחה:

RCE פירושו ביצוע קוד מרחוק. תוקפים שאינם מחוברים כעת למחשב שלך עלולים להערים עליו קטע של קוד תוכנית, או אפילו תוכנית מלאה, כאילו הייתה להם גישה מאומתת. בדרך כלל, במחשבים שולחניים או בשרתים, הפושעים משתמשים בסוג זה של באג כדי להשתיל קוד המאפשר להם לחזור כרצונם בעתיד, ובכך ליצור ראש חוף שממנו ניתן להתחיל מתקפה ברחבי הרשת. במכשירים ניידים כגון טלפונים, הנוכלים עשויים להשתמש באגי RCE כדי להשאיר מאחור תוכנות ריגול שיעקבו אחריך מכאן ואילך, כך שהם לא יצטרכו לפרוץ שוב ושוב כדי להשאיר את עיניהם המרושעות עליך.
EoP פירושו העלאת זכות. כפי שהוזכר לעיל, פירוש הדבר שנוכלים יכולים להגביר את זכויות הגישה שלהם, בדרך כלל רוכשים את אותו סוג של סמכויות שמהן נהנים בדרך כלל מנהל מערכת רשמי או התפעול עצמו. ברגע שיש להם סמכויות ברמת המערכת, הם יכולים לעתים קרובות לשוטט בחופשיות ברשת שלך, לגנוב קבצים מאובטחים אפילו משרתי גישה מוגבלים, ליצור חשבונות משתמש נסתרים כדי להיכנס מאוחר יותר, או למפות את כל אחוזת ה-IT שלך לקראת מתקפת תוכנת כופר.
דליפה פירושו שמידע הקשור לאבטחה או פרטי עלול להימלט מאחסון מאובטח. לפעמים, אפילו דליפות קלות לכאורה, כמו מיקום קוד ספציפי של מערכת הפעלה בזיכרון, שתוקף לא אמור להיות מסוגל לחזות, יכולות לתת לפושעים את המידע הדרוש להם כדי להפוך מתקפה כנראה לא מוצלחת למוצלחת כמעט בוודאות אחד.
עקיפה פירושו שהגנת אבטחה שבדרך כלל תצפה שתשמור על בטיחותך יכולה להיות עוקפת. נוכלים מנצלים בדרך כלל פגיעויות עוקפות כדי להערים עליך לתת אמון בתוכן מרוחק כמו קבצים מצורפים לדוא"ל, למשל על ידי מציאת דרך להימנע מ"אזהרות התוכן" או לעקוף את זיהוי תוכנות זדוניות שאמורות לשמור על בטיחותך.
זיוף פירושו שניתן לגרום לתוכן להיראות אמין יותר ממה שהוא באמת. לדוגמה, תוקפים שמפתים אותך לאתר מזויף שמופיע בדפדפן שלך עם שם שרת רשמי בשורת הכתובות (או מה שנראה כמו שורת הכתובות) צפויים להערים עליך למסור נתונים אישיים מאשר אם הם' נאלץ שוב לשים את התוכן המזויף שלהם באתר שברור שהוא לא האתר שהיית מצפה לו.
DoS פירושו מניעת שירות. באגים המאפשרים לדפוק את שירותי הרשת או השרת במצב לא מקוון באופן זמני נחשבים לרוב לפגמים בדרגה נמוכה, בהנחה שהבאג לא מאפשר אז לתוקפים לפרוץ פנימה, לגנוב נתונים או לגשת לכל מה שהם לא צריכים. אבל תוקפים שיכולים להוריד בצורה מהימנה חלקים מהרשת שלך עשויים להיות מסוגלים לעשות זאת שוב ושוב בצורה מתואמת, למשל על ידי תזמון בדיקות DoS שלהם לקרות בכל פעם שהשרתים הקורסים שלך מופעלים מחדש. זה יכול להפריע מאוד, במיוחד אם אתה מנהל עסק מקוון, ויכול לשמש גם כהסחת דעת כדי להרחיק את תשומת הלב מפעילויות לא חוקיות אחרות שהנוכלים עושים ברשת שלך באותו הזמן.

רשימת הבאגים הגדולה

רשימת ה-75 באגים חזקים נמצאת כאן, כאשר שלושת ימי האפס שאנו יודעים עליהם מסומנים בכוכבית (*):

NIST ID Level Type Component affected
--------------- ----------- ------ ----------------------------------------
CVE-2023-21689: (Critical) RCE Windows Protected EAP (PEAP) CVE-2023-21690: (Critical) RCE Windows Protected EAP (PEAP) CVE-2023-21692: (Critical) RCE Windows Protected EAP (PEAP) CVE-2023-21716: (Critical) RCE Microsoft Office Word CVE-2023-21803: (Critical) RCE Windows iSCSI CVE-2023-21815: (Critical) RCE Visual Studio CVE-2023-23381: (Critical) RCE Visual Studio CVE-2023-21528: (Important) RCE SQL Server CVE-2023-21529: (Important) RCE Microsoft Exchange Server CVE-2023-21568: (Important) RCE SQL Server CVE-2023-21684: (Important) RCE Microsoft PostScript Printer Driver CVE-2023-21685: (Important) RCE Microsoft WDAC OLE DB provider for SQL CVE-2023-21686: (Important) RCE Microsoft WDAC OLE DB provider for SQL CVE-2023-21694: (Important) RCE Windows Fax and Scan Service CVE-2023-21695: (Important) RCE Windows Protected EAP (PEAP) CVE-2023-21703: (Important) RCE Azure Data Box Gateway CVE-2023-21704: (Important) RCE SQL Server CVE-2023-21705: (Important) RCE SQL Server CVE-2023-21706: (Important) RCE Microsoft Exchange Server CVE-2023-21707: (Important) RCE Microsoft Exchange Server CVE-2023-21710: (Important) RCE Microsoft Exchange Server CVE-2023-21713: (Important) RCE SQL Server CVE-2023-21718: (Important) RCE SQL Server CVE-2023-21778: (Important) RCE Microsoft Dynamics CVE-2023-21797: (Important) RCE Windows ODBC Driver CVE-2023-21798: (Important) RCE Windows ODBC Driver CVE-2023-21799: (Important) RCE Microsoft WDAC OLE DB provider for SQL CVE-2023-21801: (Important) RCE Microsoft PostScript Printer Driver CVE-2023-21802: (Important) RCE Microsoft Windows Codecs Library CVE-2023-21805: (Important) RCE Windows MSHTML Platform CVE-2023-21808: (Important) RCE .NET and Visual Studio CVE-2023-21820: (Important) RCE Windows Distributed File System (DFS) CVE-2023-21823: (Important) *RCE Microsoft Graphics Component
CVE-2023-23377: (Important) RCE 3D Builder CVE-2023-23378: (Important) RCE 3D Builder CVE-2023-23390: (Important) RCE 3D Builder CVE-2023-21566: (Important) EoP Visual Studio CVE-2023-21688: (Important) EoP Windows ALPC CVE-2023-21717: (Important) EoP Microsoft Office SharePoint CVE-2023-21777: (Important) EoP Azure App Service CVE-2023-21800: (Important) EoP Windows Installer CVE-2023-21804: (Important) EoP Microsoft Graphics Component CVE-2023-21812: (Important) EoP Windows Common Log File System Driver CVE-2023-21817: (Important) EoP Windows Kerberos CVE-2023-21822: (Important) EoP Windows Win32K CVE-2023-23376: (Important) *EoP Windows Common Log File System Driver CVE-2023-23379: (Important) EoP Microsoft Defender for IoT CVE-2023-21687: (Important) Leak Windows HTTP.sys CVE-2023-21691: (Important) Leak Windows Protected EAP (PEAP) CVE-2023-21693: (Important) Leak Microsoft PostScript Printer Driver CVE-2023-21697: (Important) Leak Internet Storage Name Service CVE-2023-21699: (Important) Leak Internet Storage Name Service CVE-2023-21714: (Important) Leak Microsoft Office CVE-2023-23382: (Important) Leak Azure Machine Learning CVE-2023-21715: (Important) *Bypass Microsoft Office Publisher CVE-2023-21809: (Important) Bypass Microsoft Defender for Endpoint CVE-2023-21564: (Important) Spoof Azure DevOps CVE-2023-21570: (Important) Spoof Microsoft Dynamics CVE-2023-21571: (Important) Spoof Microsoft Dynamics CVE-2023-21572: (Important) Spoof Microsoft Dynamics CVE-2023-21573: (Important) Spoof Microsoft Dynamics CVE-2023-21721: (Important) Spoof Microsoft Office OneNote CVE-2023-21806: (Important) Spoof Power BI CVE-2023-21807: (Important) Spoof Microsoft Dynamics CVE-2023-21567: (Important) DoS Visual Studio CVE-2023-21700: (Important) DoS Windows iSCSI CVE-2023-21701: (Important) DoS Windows Protected EAP (PEAP) CVE-2023-21702: (Important) DoS Windows iSCSI CVE-2023-21722: (Important) DoS .NET Framework CVE-2023-21811: (Important) DoS Windows iSCSI CVE-2023-21813: (Important) DoS Windows Cryptographic Services CVE-2023-21816: (Important) DoS Windows Active Directory CVE-2023-21818: (Important) DoS Windows SChannel CVE-2023-21819: (Important) DoS Windows Cryptographic Services CVE-2023-21553: (Unknown ) RCE Azure DevOps

מה לעשות?

משתמשים עסקיים אוהבים לתעדף תיקונים, במקום לעשות את כולם בבת אחת ולקוות ששום דבר לא ישבר; לכן שמנו את קריטי באגים בחלק העליון, יחד עם חורי RCE, בהתחשב בכך ש-RCE משמשים בדרך כלל נוכלים כדי להשיג דריסת רגל ראשונית.

עם זאת, בסופו של דבר, יש לתקן את כל הבאגים, במיוחד כעת כשהעדכונים זמינים ותוקפים יכולים להתחיל "לעבוד לאחור" על ידי ניסיון להבין מהתיקונים איזה סוג של חורים היו קיימים לפני שהעדכונים יצאו.

תיקוני הנדסה לאחור של Windows יכולים להיות גוזלים זמן, לא מעט בגלל ש-Windows היא מערכת הפעלה בקוד סגור, אבל הרבה יותר קל להבין איך באגים עובדים וכיצד לנצל אותם אם יש לך מושג טוב מאיפה להתחיל מחפש, ומה לחפש.

ככל שתקדימו מוקדם יותר (או ככל שתדביקו מהר יותר, במקרה של חורים של אפס יום, שהם באגים שהנוכלים מצאו ראשונים), כך תקטן הסיכוי שתהיה זה שיותקף.

אז גם אם אתה לא מתקן הכל בבת אחת, אנחנו בכל זאת הולכים לומר: אל תתמהמה / התחל היום!

קרא את ניתוח ה-SOPHOSLABS של התיקון ביום שלישי לפרטים נוספים