Microsoft Patch Tuesday: 36 RCE Bugs, 3 Zero-days, 75 CVEs

Publisert av Platon

Følgere: 0

Dechiffrerer Microsofts offisielle Oppdateringsveiledning nettsider er ikke for sarte sjeler.

Mesteparten av informasjonen du trenger, om ikke alt du virkelig ønsker å vite, er der, men det er et svimlende antall måter å se den på, og så mange genererte-on-the-fly-sider er nødvendig for å vise den, at det kan være vanskelig å finne ut hva som virkelig er nytt, og hva som virkelig er viktig.

Bør du søke etter operativsystemplattformene som er berørt?

Av alvorlighetsgraden av sårbarhetene? Av sannsynligheten for utnyttelse?

Skal du sortere nulldagene til toppen?

(Vi tror ikke du kan – vi tror det er tre null-dager i denne månedens liste, men vi måtte bore i individuelle CVE-sider og søke etter teksten «Utnyttelse oppdaget» for å være sikker på at en spesifikk feil allerede var kjent for nettkriminelle.)

.s-knapp+.s-knapp { margin-venstre: .3125rem; } .s-knapp { overgang: alle .15s lineær; skriftstørrelse: .875rem; linjehøyde: 1.5; farge: #f2f2f2; font-familie: SophosSansMedium, Helvetica Neue, Helvetica, Arial, sans-serif; font-vekt: 400; font-stil: normal; display: inline-blokk; polstring: .3125rem 1.25rem; markør: peker; tekst-align: center; tekst-dekorasjon: ingen; kantlinje: 1px solid #005bc8; border-radius: 3px; bakgrunnsfarge: #005bc8; tekst-skygge: ingen; } .s-button:hover { tekst-dekorasjon: ingen; farge: #fff; kantfarge: #002d62; bakgrunnsfarge: #002d62; } .s-button–white, .s-button–white:hover { farge: #005bc8 !viktig; kantfarge: #fff; bakgrunnsfarge: #fff; } .s-ad-sophos-mdr { font-size: 1rem; linjehøyde: 1.5; farge: #242629; font-familie: SophosSansRegular, Helvetica Neue, Helvetica, Arial, sans-serif; font-vekt: 400; font-stil: normal; stilling: pårørende; maks-bredde: 769px; margin: 15px auto; polstring: 30px 30px 25px; overgang: box-shadow .25s cubic-bezier( .645, .045, .355, 1 ); tekst-align: center; bakgrunnsfarge: #0d141d; bakgrunns-gjenta: ikke-gjenta; bakgrunnsposisjon: 50%; bakgrunnsstørrelse: cover; boks-skygge: 0 0 0 0 0 gjennomsiktig; bakgrunnsfarge: #005bc8; bakgrunnsbilde: ingen; bakgrunnsposisjon: 0 0; } .s-ad-sophos-mdr__title { font-size: 2rem; linjehøyde: 1.125; marg-bunn: 4px; farge: #fff; } .s-ad-sophos-mdr__text { font-family: SophosSansLight, Helvetica Neue, Helvetica, Arial, sans-serif; font-vekt: 400; font-stil: normal; skriftstørrelse: 17px; farge: #fff; } .s-ad-sophos-mdr__action { margin-top: 15px; } .s-ad-sophos-mdr__action .s-button { farge: #fff; } .s-ad-sophos-mdr__link-wrapper { tekstdekorasjon: ingen; } .s-ad-sophos-mdr__link-wrapper:hover .s-ad-sophos-mdr { box-shadow: 0 5px 10px 0 rgba( 0, 0, 0, .15 ); } .s-ad-sophos-mdr__sophos-logo { posisjon: absolutt; topp: 15px; høyre: 15px; } .s-ad-sophos-mdr__sophos-logo-svg { display: inline-block; bredde: 64px; høyde: 11px; vertikal-juster: topp; bakgrunns-gjenta: ikke-gjenta; bakgrunnsstørrelse: 64px 11px; } .s-ad-sophos-mdr__title { font-family: SophosSansSemibold, Helvetica Neue, Helvetica, Arial, sans-serif; font-vekt: 400; font-stil: normal; skriftstørrelse: 28px; font-vekt: 700; linje-høyde: 1; marg-bunn: 10px; tekstjustering: venstre; } .s-ad-sophos-mdr__title svg { max-width: 100 %; } .s-ad-sophos-mdr__text { font-size: 16px; linjehøyde: 1.25; tekstjustering: venstre; } .s-ad-sophos-mdr__action { text-align: right; } .s-ad-sophos-mdr .s-knapp { border-radius: 20px; } @media (min-bredde:769px) { .s-ad-sophos-mdr__text { margin-right: 140px; } .s-ad-sophos-mdr__action {posisjon: absolutt; høyre: 30px; bunn: 30px; } } @media (max-width:768px) { .s-ad-sophos-mdr { padding-top: 50px; } .s-ad-sophos-mdr__title { font-size: 1.625rem; } .s-ad-sophos-mdr__text { font-size: 16px; } .s-ad-sophos-mdr { padding-top: 30px; } }

Hva er verre, en EoP eller en RCE?

Er en Kritisk elevation of privilege (EoP) feil mer alarmerende enn en Viktig ekstern kjøring av kode (RCE)?

Den førstnevnte typen feil krever at nettkriminelle bryter seg inn først, men gir dem sannsynligvis en måte å ta over fullstendig, og vanligvis får dem det tilsvarende systemadmin-krefter eller kontroll på operativsystemnivå.

Den andre typen feil kan kanskje bare få skurkene inn med de lave tilgangsrettighetene til lille gamle deg, men den får dem likevel inn på nettverket i utgangspunktet.

Selvsagt, mens alle andre kan puste lettet ut hvis en angriper ikke var i stand til å få tilgang til tingene sine, er det kald trøst for deg, hvis du er den som ble angrepet.

Vi telte 75 CVE-nummererte feil datert 2023-02-14, gitt at årets februaroppdateringer kom på Valentinsdagen.

(Faktisk liker vi 76, men vi ignorerte en feil som ikke hadde en alvorlighetsgrad, ble merket CVE-2019-15126, og ser ut til å koke ned til en rapport om ikke-støttede Broadcom Wi-Fi-brikker i Microsoft Hololens-enheter – hvis du har en Hololens og har noen råd til andre lesere, vennligst gi oss beskjed i kommentarene nedenfor.)

Vi hentet ut en liste og inkluderte den nedenfor, sortert slik at feilene ble dubbet Kritisk er på toppen (det er syv av dem, alle feil i RCE-klassen).

Du kan også lese SophosLabs analyse av Patch Tuesday for flere detaljer.

Sikkerhetsfeilklasser forklart

Hvis du ikke er kjent med feilforkortelsene vist nedenfor, her er en høyhastighetsguide til sikkerhetsfeil:

RCE betyr ekstern kjøring av kode. Angripere som for øyeblikket ikke er logget på datamaskinen din, kan lure den til å kjøre et fragment av programkoden, eller til og med et fullverdig program, som om de hadde autentisert tilgang. Vanligvis, på stasjonære datamaskiner eller servere, bruker de kriminelle denne typen feil for å implantere kode som lar dem komme inn igjen når de vil i fremtiden, og dermed etablere et strandhode for å starte et nettverksomfattende angrep. På mobile enheter som telefoner kan skurkene bruke RCE-feil for å legge igjen spionprogrammer som vil spore deg fra da av, slik at de ikke trenger å bryte seg inn igjen og igjen for å holde sine onde øyne på deg.
EoP betyr forhøyelse av privilegier. Som nevnt ovenfor, betyr dette at skurker kan øke tilgangsrettighetene sine, og vanligvis får samme type krefter som en offisiell systemadministrator eller selve driften vanligvis ville ha glede av. Når de først har krefter på systemnivå, er de ofte i stand til å streife fritt rundt på nettverket ditt, stjele sikre filer selv fra servere med begrenset tilgang, opprette skjulte brukerkontoer for å komme inn igjen senere, eller kartlegge hele IT-eiendommen din som forberedelse til en ransomware angrep.
Lekkasje betyr at sikkerhetsrelaterte eller private data kan unnslippe fra sikker lagring. Noen ganger kan selv tilsynelatende mindre lekkasjer, for eksempel plasseringen av spesifikk operativsystemkode i minnet, som en angriper ikke skal kunne forutsi, gi kriminelle informasjonen de trenger for å gjøre et sannsynligvis mislykket angrep til et nesten sikkert vellykket angrep. en.
bypass betyr at en sikkerhetsbeskyttelse du vanligvis forventer å holde deg trygg, kan skjørt. Crooks utnytter vanligvis omgåsårbarheter for å lure deg til å stole på eksternt innhold som e-postvedlegg, for eksempel ved å finne en måte å unngå "innholdsadvarslene" eller å omgå skadevareoppdagelsen som skal holde deg trygg.
forfalskning betyr at innhold kan se mer pålitelig ut enn det egentlig er. For eksempel vil angripere som lokker deg til et falskt nettsted som dukker opp i nettleseren din med et offisielt servernavn i adressefeltet (eller det som ser ut som adressefeltet) sannsynligvis lure deg til å utlevere personlige data enn om de blir tvunget til å legge deres falske innhold på et nettsted som tydeligvis ikke er det du forventer.
DoS betyr tjenestenekt. Bugs som gjør at nettverks- eller servertjenester kan slås frakoblet midlertidig, anses ofte som lavgradige feil, forutsatt at feilen da ikke tillater angripere å bryte seg inn, stjele data eller få tilgang til noe de ikke burde. Men angripere som pålitelig kan ta ned deler av nettverket ditt kan være i stand til å gjøre det om og om igjen på en koordinert måte, for eksempel ved å tidsbestemme DoS-sonderingene til å skje hver gang de krasjete serverne starter på nytt. Dette kan være ekstremt forstyrrende, spesielt hvis du driver en nettvirksomhet, og kan også brukes som en distraksjon for å trekke oppmerksomheten bort fra andre ulovlige aktiviteter som skurkene gjør på nettverket ditt samtidig.

Den store feillisten

Den 75-sterke feillisten er her, med de tre null-dagene vi vet om merket med en stjerne (*):

NIST ID Level Type Component affected
--------------- ----------- ------ ----------------------------------------
CVE-2023-21689: (Critical) RCE Windows Protected EAP (PEAP) CVE-2023-21690: (Critical) RCE Windows Protected EAP (PEAP) CVE-2023-21692: (Critical) RCE Windows Protected EAP (PEAP) CVE-2023-21716: (Critical) RCE Microsoft Office Word CVE-2023-21803: (Critical) RCE Windows iSCSI CVE-2023-21815: (Critical) RCE Visual Studio CVE-2023-23381: (Critical) RCE Visual Studio CVE-2023-21528: (Important) RCE SQL Server CVE-2023-21529: (Important) RCE Microsoft Exchange Server CVE-2023-21568: (Important) RCE SQL Server CVE-2023-21684: (Important) RCE Microsoft PostScript Printer Driver CVE-2023-21685: (Important) RCE Microsoft WDAC OLE DB provider for SQL CVE-2023-21686: (Important) RCE Microsoft WDAC OLE DB provider for SQL CVE-2023-21694: (Important) RCE Windows Fax and Scan Service CVE-2023-21695: (Important) RCE Windows Protected EAP (PEAP) CVE-2023-21703: (Important) RCE Azure Data Box Gateway CVE-2023-21704: (Important) RCE SQL Server CVE-2023-21705: (Important) RCE SQL Server CVE-2023-21706: (Important) RCE Microsoft Exchange Server CVE-2023-21707: (Important) RCE Microsoft Exchange Server CVE-2023-21710: (Important) RCE Microsoft Exchange Server CVE-2023-21713: (Important) RCE SQL Server CVE-2023-21718: (Important) RCE SQL Server CVE-2023-21778: (Important) RCE Microsoft Dynamics CVE-2023-21797: (Important) RCE Windows ODBC Driver CVE-2023-21798: (Important) RCE Windows ODBC Driver CVE-2023-21799: (Important) RCE Microsoft WDAC OLE DB provider for SQL CVE-2023-21801: (Important) RCE Microsoft PostScript Printer Driver CVE-2023-21802: (Important) RCE Microsoft Windows Codecs Library CVE-2023-21805: (Important) RCE Windows MSHTML Platform CVE-2023-21808: (Important) RCE .NET and Visual Studio CVE-2023-21820: (Important) RCE Windows Distributed File System (DFS) CVE-2023-21823: (Important) *RCE Microsoft Graphics Component
CVE-2023-23377: (Important) RCE 3D Builder CVE-2023-23378: (Important) RCE 3D Builder CVE-2023-23390: (Important) RCE 3D Builder CVE-2023-21566: (Important) EoP Visual Studio CVE-2023-21688: (Important) EoP Windows ALPC CVE-2023-21717: (Important) EoP Microsoft Office SharePoint CVE-2023-21777: (Important) EoP Azure App Service CVE-2023-21800: (Important) EoP Windows Installer CVE-2023-21804: (Important) EoP Microsoft Graphics Component CVE-2023-21812: (Important) EoP Windows Common Log File System Driver CVE-2023-21817: (Important) EoP Windows Kerberos CVE-2023-21822: (Important) EoP Windows Win32K CVE-2023-23376: (Important) *EoP Windows Common Log File System Driver CVE-2023-23379: (Important) EoP Microsoft Defender for IoT CVE-2023-21687: (Important) Leak Windows HTTP.sys CVE-2023-21691: (Important) Leak Windows Protected EAP (PEAP) CVE-2023-21693: (Important) Leak Microsoft PostScript Printer Driver CVE-2023-21697: (Important) Leak Internet Storage Name Service CVE-2023-21699: (Important) Leak Internet Storage Name Service CVE-2023-21714: (Important) Leak Microsoft Office CVE-2023-23382: (Important) Leak Azure Machine Learning CVE-2023-21715: (Important) *Bypass Microsoft Office Publisher CVE-2023-21809: (Important) Bypass Microsoft Defender for Endpoint CVE-2023-21564: (Important) Spoof Azure DevOps CVE-2023-21570: (Important) Spoof Microsoft Dynamics CVE-2023-21571: (Important) Spoof Microsoft Dynamics CVE-2023-21572: (Important) Spoof Microsoft Dynamics CVE-2023-21573: (Important) Spoof Microsoft Dynamics CVE-2023-21721: (Important) Spoof Microsoft Office OneNote CVE-2023-21806: (Important) Spoof Power BI CVE-2023-21807: (Important) Spoof Microsoft Dynamics CVE-2023-21567: (Important) DoS Visual Studio CVE-2023-21700: (Important) DoS Windows iSCSI CVE-2023-21701: (Important) DoS Windows Protected EAP (PEAP) CVE-2023-21702: (Important) DoS Windows iSCSI CVE-2023-21722: (Important) DoS .NET Framework CVE-2023-21811: (Important) DoS Windows iSCSI CVE-2023-21813: (Important) DoS Windows Cryptographic Services CVE-2023-21816: (Important) DoS Windows Active Directory CVE-2023-21818: (Important) DoS Windows SChannel CVE-2023-21819: (Important) DoS Windows Cryptographic Services CVE-2023-21553: (Unknown ) RCE Azure DevOps

Hva gjør jeg?

Bedriftsbrukere liker å prioritere oppdateringer, i stedet for å gjøre dem alle på en gang og håper ingenting går i stykker; vi setter derfor Kritisk feil på toppen, sammen med RCE-hullene, gitt at RCE-er vanligvis brukes av kjeltringer for å få sitt første fotfeste.

Til slutt må imidlertid alle feil lappes, spesielt nå som oppdateringene er tilgjengelige og angripere kan begynne å "arbeide bakover" ved å prøve å finne ut fra oppdateringene hva slags hull som fantes før oppdateringene kom ut.

Omvendt utvikling Windows-oppdateringer kan være tidkrevende, ikke minst fordi Windows er et lukket kilde-operativsystem, men det er veldig mye enklere å finne ut hvordan feil fungerer og hvordan du kan utnytte dem hvis du har en god idé om hvor du skal begynne ser, og hva du skal se etter.

Jo raskere du kommer foran (eller jo raskere du tar igjen, i tilfelle av nulldagers hull, som er feil som kjeltringene fant først), jo mindre sannsynlig er det at du blir den som blir angrepet.

Så selv om du ikke lapper alt på en gang, kommer vi likevel til å si: Ikke utsett/kom i gang i dag!

LES SOPHOSLABS-ANALYSEN AV PATCH TIRSDAG FOR FLERE DETALJER