Microsoft Patch Tuesday: En 0-dagers; Win 7 og 8.1 får siste patcher

Microsoft Patch Tuesday: En 0-dagers; Win 7 og 8.1 får siste patcher

Tidsstempel: 10. januar 2023 7:22
Kilde node: 1893812
by Paul Ducklin

Så vidt vi kan se, er det en hel del 2874 varer i denne månedens Patch Tuesday-oppdateringsliste fra Microsoft, basert på CSV-nedlastingen vi nettopp hentet fra Redmonds Veiledning for sikkerhetsoppdatering nettside.

(Selv nettstedet sier 2283, men CSV-eksporten inneholdt 2875 linjer, der den første linjen egentlig ikke er en datapost, men en liste over de forskjellige feltnavnene for resten av linjene i filen.)

Helt åpenbart øverst på listen er navnene i Produkt kolonne av de første ni oppføringene, som omhandler en elevation-of-privilege (EoP) patch betegnet CVE-2013-21773 for Windows 7, Windows 8.1og Windows RT 8.1.

Windows 7, som mange mennesker vil huske, var ekstremt populært på sin tid (noen anser det fortsatt som det beste Windows noensinne), og lokket til slutt til og med hardbarkede fans overfor Windows XP da XP-støtten tok slutt.

Windows 8.1, som huskes mer som en slags "bug-fix"-utgivelse for den uklagede og forlengede Windows 8 enn som en ekte Windows-versjon i seg selv, ble aldri virkelig fanget.

Og Windows RT 8.1 var alt folk ikke likte i den vanlige versjonen av Windows 8.1, men kjører på proprietær ARM-basert maskinvare som var strengt låst, som en iPhone eller en iPad – ikke noe som Windows-brukere var vant til, og heller ikke , for å dømme etter markedsreaksjonen, noe mange var villige til å akseptere.

Faktisk vil du noen ganger lese at den komparative upopulariteten til Windows 8 er grunnen til at den neste store utgivelsen etter 8.1 ble nummerert Windows 10, og dermed bevisst skape en følelse av atskillelse mellom den gamle versjonen og den nye.

Andre forklaringer inkluderer det Windows 10 skulle være det fulle navnet på produktet, slik at 10 utgjorde en del av det splitter nye produktnavnet, i stedet for bare å være et tall lagt til navnet for å betegne en versjon. Det påfølgende utseendet til Windows 11 satte noe av en bulk i den teorien – men det fantes aldri en Windows 9.

Slutten på to epoker

Felt tårene dine nå, fordi denne måneden ser de aller siste sikkerhetsoppdateringene for de gamle Windows 7- og Windows 8.1-versjonene.

Windows 7 har nå nådd slutten av sin treårige betal-ekstra-for-å-få-ESU-periode (ESU er en forkortelse for utvidede sikkerhetsoppdateringer), og Windows 8.1 ganske enkelt får ikke utvidede oppdateringer, tilsynelatende uansett hvor mye du er villig til å betale:

Som en påminnelse vil støtte for Windows 8.1 avsluttes 10. januar 2023 [2023-01-10], da vil teknisk assistanse og programvareoppdateringer ikke lenger tilbys. […]

Microsoft vil ikke tilby et program for utvidet sikkerhetsoppdatering (ESU) for Windows 8.1. Å fortsette å bruke Windows 8.1 etter 10. januar 2023 kan øke en organisasjons eksponering for sikkerhetsrisikoer eller påvirke dens evne til å oppfylle overholdelsesforpliktelser.

Så det er virkelig slutten på Windows 7- og Windows 8.1-epoken, og eventuelle operativsystemfeil som er igjen på datamaskiner som fortsatt kjører disse versjonene, vil være der for alltid.

Husk selvfølgelig at til tross for deres alder, har begge disse plattformene denne måneden mottatt oppdateringer for dusinvis av forskjellige CVE-nummererte sårbarheter: 42 CVE-er for Windows 7, og 48 CVE-er for Windows 8.1.

Selv om moderne trusselforskere og nettkriminelle ikke eksplisitt leter etter feil i gamle Windows-bygg, kan feil som først oppdages av angripere som graver i den aller siste versjonen av Windows 11 vise seg å ha blitt arvet fra eldre kode.

Faktisk sammenligner CVE-tellingene på 42 og 48 ovenfor med totalt 90 forskjellige CVE-er oppført på Microsofts offisielle Versjonsmerknader for januar 2023 side, noe som løst antyder at omtrent halvparten av dagens feil (på denne månedens liste har alle 90 CVE-2023-XXXX datobetegnelser) har ventet på å bli funnet i Windows i minst et tiår.

Med andre ord, på samme måte som feil som avdekkes i gamle versjoner fortsatt kan vise seg å påvirke de nyeste og beste utgivelsene, vil du også ofte oppdage at "nye" feil går langt tilbake, og kan ettermonteres til utnyttelser som fungerer på gamle Windows-versjoner også.

Ironisk nok kan "nye" feil til slutt være lettere å utnytte på eldre versjoner, på grunn av de mindre restriktive programvarebyggingsinnstillingene og mer liberale kjøretidskonfigurasjoner som ble ansett som akseptable den gang.

Eldre bærbare datamaskiner med mindre minne enn i dag ble vanligvis satt opp med 32-biters versjoner av Windows, selv om de hadde 64-bits prosessorer. Noen trusselreduserende teknikker, spesielt de som involverer randomisering av stedene der programmer havner i minnet for å redusere forutsigbarhet og gjøre utnyttelser vanskeligere å utføre pålitelig, er vanligvis mindre effektive på 32-bits Windows, ganske enkelt fordi det er færre minneadresser å velge fra. Som gjemsel, jo flere mulige steder det er å gjemme seg, jo lengre tid tar det vanligvis å finne deg.

«Utnyttelse oppdaget»

I følge Bleeping Computer er bare to av sårbarhetene som ble avslørt denne måneden oppført som i naturen, med andre ord kjent utenfor Microsoft og det umiddelbare forskningsmiljøet:

  • CVE-2023-21674: Windows Advanced Local Procedure Call (ALPC) sårbarhet for heving av privilegier. Forvirrende nok er denne oppført som Offentliggjort: nei, men Utnyttelse oppdaget. Ut fra dette antar vi at nettkriminelle allerede vet hvordan de skal misbruke denne feilen, men de holder detaljene om utnyttelsen nøye for seg selv, antagelig for å gjøre det vanskeligere for trusselresponderere å vite hva de skal se etter på systemer som ikke har vært lappet ennå.
  • CVE-2023-21549: Windows SMB Witness Service Utvidelse av privilegier sårbarhet. Denne er betegnet Offentliggjort, men likevel skrevet opp som Utnyttelse mindre sannsynlig. Fra dette konkluderer vi at selv om noen forteller deg hvor feilen befinner seg og hvordan du kan utløse den, vil det være vanskelig å finne ut hvordan du kan utnytte feilen vellykket og faktisk oppnå en heving av privilegier.

Interessant nok er CVE-2023-21674-feilen, som er aktivt i bruk av angripere, ikke på Windows 7-patchlisten, men den gjelder for Windows 8.1.

Den andre feilen, CVE-2023-21549, beskrevet som offentlig kjent, gjelder både Windows 7 og Windows 8.1.

Som vi sa ovenfor, kommer nyoppdagede feil ofte langt.

CVE-2023-21674 gjelder hele veien fra Windows 8.1 til de aller nyeste versjonene av Windows 11 2022H2 (H2, i tilfelle du lurte, betyr "utgivelsen utgitt i andre halvdel av året").

Enda mer dramatisk gjelder CVE-2023-21549 rett fra Windows 7 til Windows 11 2022H2.

Hva skal man gjøre med de gamle datamaskinene?

Hvis du har datamaskiner med Windows 7 eller Windows 8.1 som du fortsatt anser som brukbare og nyttige, bør du vurdere å bytte til et operativsystem med åpen kildekode, for eksempel en Linux-distro, som fortsatt får både støtte og oppdateringer.

Noen fellesskaps Linux-bygg spesialiserer seg på å holde distroene små og enkle

Selv om de kanskje ikke har den nyeste og beste samlingen av fotofiltre, videoredigeringsverktøy, sjakkmotorer og høyoppløselige bakgrunnsbilder, er minimalistiske distroer fortsatt egnet for surfing og e-post, selv på gammel 32-bits maskinvare med små harddisker og lite minne.

LES SOPHOSLABS-RAPPORTEN OM DENNE MÅNEDENS PATCHER

Tidstempel:

Mer fra Naken sikkerhet