Microsoft Patch Tuesday: 36 błędów RCE, 3 dni zerowe, 75 CVE

Microsoft Patch Tuesday: 36 błędów RCE, 3 dni zerowe, 75 CVE

Znacznik czasu: 14 lutego 2023 5:12
Węzeł źródłowy: 1958890
by Paweł Kaczor

Odszyfrowanie urzędnika Microsoftu Zaktualizuj przewodnik strony internetowe nie są dla ludzi o słabych nerwach.

Większość informacji, których potrzebujesz, jeśli nie wszystko, co naprawdę chciałbyś wiedzieć, jest tam, ale jest tak oszałamiająca liczba sposobów, aby je wyświetlić, i tak wiele stron generowanych w locie jest potrzebnych do ich wyświetlenia, że ustalenie, co jest naprawdę nowe, a co naprawdę ważne, może być trudne.

Czy należy wyszukiwać według platform systemów operacyjnych, których to dotyczy?

Na podstawie wagi luk w zabezpieczeniach? Przez prawdopodobieństwo wyzysku?

Czy należy sortować dni zerowe do góry?

(Sądzimy, że nie możesz – uważamy, że na liście w tym miesiącu są trzy dni zerowe, ale musieliśmy przejść do poszczególnych stron CVE i wyszukać tekst „Wykryto eksploatację” aby mieć pewność, że określony błąd był już znany cyberprzestępcom).

Co jest gorsze, EoP czy RCE?

Jest Krytyczny błąd podniesienia uprawnień (EoP) bardziej niepokojący niż błąd Ważny zdalne wykonanie kodu (RCE)?

Pierwszy typ błędu wymaga od cyberprzestępców włamania się jako pierwszy, ale prawdopodobnie daje im sposób na całkowite przejęcie kontroli, zwykle dając im odpowiednik uprawnień sysadmin lub kontroli na poziomie systemu operacyjnego.

Drugi typ błędu może dostać oszustów tylko z niskimi uprawnieniami dostępu małego starego ciebie, ale mimo to w pierwszej kolejności wprowadza ich do sieci.

Oczywiście, podczas gdy wszyscy inni mogliby odetchnąć z ulgą, gdyby atakujący nie był w stanie uzyskać dostępu do ich rzeczy, to dla ciebie jest to zimne pocieszenie, jeśli to ty zostałeś zaatakowany.

Naliczyliśmy 75 błędów o numerach CVE z dnia 2023 r., biorąc pod uwagę, że tegoroczne aktualizacje z lutego nadeszły w Walentynki.

(Właściwie polubiliśmy 76, ale zignorowaliśmy jeden błąd, który nie miał oceny istotności, został oznaczony CVE-2019-15126i wydaje się sprowadzać do raportu o nieobsługiwanych chipach Broadcom Wi-Fi w urządzeniach Microsoft Hololens – jeśli masz Hololens i masz jakieś rady dla innych czytelników, daj nam znać w komentarzach poniżej).

Wyodrębniliśmy listę i umieściliśmy ją poniżej, posortowaną tak, aby dubbingować błędy Krytyczny są na górze (jest ich siedem, wszystkie błędy klasy RCE).

Możesz również przeczytać SophosLabs więcej szczegółów znajdziesz w analizie Patch Tuesday.

Wyjaśnienie klas błędów bezpieczeństwa

Jeśli nie znasz skrótów błędów pokazanych poniżej, oto szybki przewodnik po lukach w zabezpieczeniach:

  • RCE oznacza zdalne wykonanie kodu. Osoby atakujące, które nie są aktualnie zalogowane na komputerze, mogą oszukać go, aby uruchomił fragment kodu programu lub nawet pełny program, tak jakby miał uwierzytelniony dostęp. Zwykle na komputerach stacjonarnych lub serwerach przestępcy wykorzystują ten rodzaj błędu do wszczepiania kodu, który pozwala im na powrót do dowolnego miejsca w przyszłości, tworząc w ten sposób przyczółek, z którego można rozpocząć atak obejmujący całą sieć. Na urządzeniach mobilnych, takich jak telefony, oszuści mogą wykorzystywać błędy RCE, aby pozostawić oprogramowanie szpiegujące, które będzie Cię śledzić od tej pory, więc nie muszą się włamywać w kółko, aby mieć na Ciebie złe oko.
  • EoP oznacza podniesienie przywileju. Jak wspomniano powyżej, oznacza to, że oszuści mogą zwiększyć swoje prawa dostępu, zwykle uzyskując ten sam rodzaj uprawnień, z których zwykle korzysta oficjalny administrator systemu lub sam operator. Gdy uzyskają uprawnienia na poziomie systemu, często mogą swobodnie poruszać się po Twojej sieci, kraść bezpieczne pliki nawet z serwerów o ograniczonym dostępie, tworzyć ukryte konta użytkowników, aby móc do nich wrócić później, lub planować całe Twoje zasoby IT w ramach przygotowań do atak ransomware.
  • Przeciec oznacza, że ​​dane związane z bezpieczeństwem lub dane prywatne mogą wydostać się z bezpiecznego magazynu. Czasami nawet pozornie drobne wycieki, takie jak lokalizacja określonego kodu systemu operacyjnego w pamięci, której atakujący nie powinien być w stanie przewidzieć, mogą dostarczyć przestępcom informacji potrzebnych do przekształcenia prawdopodobnie nieudanego ataku w niemal na pewno udany atak. jeden.
  • Obejście oznacza, że ​​można obejść zabezpieczenia, które zwykle zapewniają bezpieczeństwo. Oszuści zazwyczaj wykorzystują luki w zabezpieczeniach, aby oszukać cię, abyś zaufał zdalnym treściom, takim jak załączniki do wiadomości e-mail, na przykład znajdując sposób na uniknięcie „ostrzeżeń dotyczących treści” lub obejście wykrywania złośliwego oprogramowania, które ma zapewnić ci bezpieczeństwo.
  • Naciąganie oznacza, że ​​treść może wyglądać na bardziej wiarygodną, ​​niż jest w rzeczywistości. Na przykład osoby atakujące, które zwabią Cię do fałszywej strony internetowej, która pojawia się w Twojej przeglądarce z oficjalną nazwą serwera w pasku adresu (lub czymś, co wygląda jak pasek adresu), z dużym prawdopodobieństwem skłonią Cię do przekazania danych osobowych, niż gdyby „ zmuszeni do umieszczenia fałszywych treści na stronie, która najwyraźniej nie jest tą, której można się spodziewać.
  • DoS oznacza odmowę usługi. Błędy, które umożliwiają tymczasowe wyłączenie usług sieciowych lub serwerowych, są często uważane za wady niskiego stopnia, przy założeniu, że błąd nie pozwala następnie atakującym na włamanie, kradzież danych lub dostęp do czegokolwiek, do czego nie powinni. Ale atakujący, którzy mogą niezawodnie usuwać części Twojej sieci, mogą to robić wielokrotnie w skoordynowany sposób, na przykład ustawiając taktowanie swoich sond DoS, aby odbywały się za każdym razem, gdy Twoje serwery uległy awarii. Może to być bardzo uciążliwe, szczególnie jeśli prowadzisz biznes online, a także może być wykorzystane jako odwrócenie uwagi od innych nielegalnych działań, które oszuści wykonują w Twojej sieci w tym samym czasie.

Duża lista błędów

Lista 75 błędów znajduje się tutaj, z trzema znanymi nam dniami zerowymi oznaczonymi gwiazdką (*):

NIST ID Level Type Component affected
--------------- ----------- ------ ----------------------------------------
CVE-2023-21689: (Critical) RCE Windows Protected EAP (PEAP) CVE-2023-21690: (Critical) RCE Windows Protected EAP (PEAP) CVE-2023-21692: (Critical) RCE Windows Protected EAP (PEAP) CVE-2023-21716: (Critical) RCE Microsoft Office Word CVE-2023-21803: (Critical) RCE Windows iSCSI CVE-2023-21815: (Critical) RCE Visual Studio CVE-2023-23381: (Critical) RCE Visual Studio CVE-2023-21528: (Important) RCE SQL Server CVE-2023-21529: (Important) RCE Microsoft Exchange Server CVE-2023-21568: (Important) RCE SQL Server CVE-2023-21684: (Important) RCE Microsoft PostScript Printer Driver CVE-2023-21685: (Important) RCE Microsoft WDAC OLE DB provider for SQL CVE-2023-21686: (Important) RCE Microsoft WDAC OLE DB provider for SQL CVE-2023-21694: (Important) RCE Windows Fax and Scan Service CVE-2023-21695: (Important) RCE Windows Protected EAP (PEAP) CVE-2023-21703: (Important) RCE Azure Data Box Gateway CVE-2023-21704: (Important) RCE SQL Server CVE-2023-21705: (Important) RCE SQL Server CVE-2023-21706: (Important) RCE Microsoft Exchange Server CVE-2023-21707: (Important) RCE Microsoft Exchange Server CVE-2023-21710: (Important) RCE Microsoft Exchange Server CVE-2023-21713: (Important) RCE SQL Server CVE-2023-21718: (Important) RCE SQL Server CVE-2023-21778: (Important) RCE Microsoft Dynamics CVE-2023-21797: (Important) RCE Windows ODBC Driver CVE-2023-21798: (Important) RCE Windows ODBC Driver CVE-2023-21799: (Important) RCE Microsoft WDAC OLE DB provider for SQL CVE-2023-21801: (Important) RCE Microsoft PostScript Printer Driver CVE-2023-21802: (Important) RCE Microsoft Windows Codecs Library CVE-2023-21805: (Important) RCE Windows MSHTML Platform CVE-2023-21808: (Important) RCE .NET and Visual Studio CVE-2023-21820: (Important) RCE Windows Distributed File System (DFS) CVE-2023-21823: (Important) *RCE Microsoft Graphics Component
CVE-2023-23377: (Important) RCE 3D Builder CVE-2023-23378: (Important) RCE 3D Builder CVE-2023-23390: (Important) RCE 3D Builder CVE-2023-21566: (Important) EoP Visual Studio CVE-2023-21688: (Important) EoP Windows ALPC CVE-2023-21717: (Important) EoP Microsoft Office SharePoint CVE-2023-21777: (Important) EoP Azure App Service CVE-2023-21800: (Important) EoP Windows Installer CVE-2023-21804: (Important) EoP Microsoft Graphics Component CVE-2023-21812: (Important) EoP Windows Common Log File System Driver CVE-2023-21817: (Important) EoP Windows Kerberos CVE-2023-21822: (Important) EoP Windows Win32K CVE-2023-23376: (Important) *EoP Windows Common Log File System Driver CVE-2023-23379: (Important) EoP Microsoft Defender for IoT CVE-2023-21687: (Important) Leak Windows HTTP.sys CVE-2023-21691: (Important) Leak Windows Protected EAP (PEAP) CVE-2023-21693: (Important) Leak Microsoft PostScript Printer Driver CVE-2023-21697: (Important) Leak Internet Storage Name Service CVE-2023-21699: (Important) Leak Internet Storage Name Service CVE-2023-21714: (Important) Leak Microsoft Office CVE-2023-23382: (Important) Leak Azure Machine Learning CVE-2023-21715: (Important) *Bypass Microsoft Office Publisher CVE-2023-21809: (Important) Bypass Microsoft Defender for Endpoint CVE-2023-21564: (Important) Spoof Azure DevOps CVE-2023-21570: (Important) Spoof Microsoft Dynamics CVE-2023-21571: (Important) Spoof Microsoft Dynamics CVE-2023-21572: (Important) Spoof Microsoft Dynamics CVE-2023-21573: (Important) Spoof Microsoft Dynamics CVE-2023-21721: (Important) Spoof Microsoft Office OneNote CVE-2023-21806: (Important) Spoof Power BI CVE-2023-21807: (Important) Spoof Microsoft Dynamics CVE-2023-21567: (Important) DoS Visual Studio CVE-2023-21700: (Important) DoS Windows iSCSI CVE-2023-21701: (Important) DoS Windows Protected EAP (PEAP) CVE-2023-21702: (Important) DoS Windows iSCSI CVE-2023-21722: (Important) DoS .NET Framework CVE-2023-21811: (Important) DoS Windows iSCSI CVE-2023-21813: (Important) DoS Windows Cryptographic Services CVE-2023-21816: (Important) DoS Windows Active Directory CVE-2023-21818: (Important) DoS Windows SChannel CVE-2023-21819: (Important) DoS Windows Cryptographic Services CVE-2023-21553: (Unknown ) RCE Azure DevOps

Co robić?

Użytkownicy biznesowi lubią ustalać priorytety dla poprawek, zamiast robić je wszystkie na raz i mieć nadzieję, że nic się nie zepsuje; dlatego stawiamy Krytyczny błędy na górze, wraz z dziurami RCE, biorąc pod uwagę, że RCE są zwykle używane przez oszustów, aby uzyskać początkowy przyczółek.

Ostatecznie jednak wszystkie błędy muszą zostać załatane, zwłaszcza teraz, gdy aktualizacje są dostępne, a atakujący mogą zacząć „pracować wstecz”, próbując dowiedzieć się na podstawie łatek, jakie luki istniały przed pojawieniem się aktualizacji.

Inżynieria wsteczna łat Windows może być czasochłonna, nie tylko dlatego, że Windows jest systemem operacyjnym o zamkniętym kodzie źródłowym, ale o wiele łatwiej jest dowiedzieć się, jak działają błędy i jak je wykorzystać, jeśli masz dobry pomysł, od czego zacząć szukać i czego szukać.

Im szybciej się wyprzedzisz (lub im szybciej nadrobisz zaległości, w przypadku dziur zero-day, które są błędami, które oszuści znaleźli jako pierwsi), tym mniejsze prawdopodobieństwo, że zostaniesz zaatakowany.

Więc nawet jeśli nie załatacie wszystkiego od razu, i tak powiemy: Nie zwlekaj/Zacznij już dziś!

PRZECZYTAJ ANALIZĘ SOPHOSLABS DOTYCZĄCĄ WTORKU PŁATKI, ABY UZYSKAĆ ​​WIĘCEJ SZCZEGÓŁÓW

Znak czasu:

Więcej z Nagie bezpieczeństwo