Microsoft Patch Tuesday: Um dia 0; Win 7 e 8.1 recebem os últimos patches de sempre

Microsoft Patch Tuesday: Um dia 0; Win 7 e 8.1 recebem os últimos patches de sempre

Carimbo de hora: 10 de janeiro de 2023, 7h22
Nó Fonte: 1893812
by Paul Ducklin

Tanto quanto podemos dizer, há uma enorme itens 2874 na lista de atualizações do Patch Tuesday deste mês da Microsoft, com base no download do CSV que acabamos de pegar do Redmond's Guia de atualização de segurança página web.

(O próprio site diz 2283, mas a exportação CSV continha 2875 linhas, onde a primeira linha não é realmente um registro de dados, mas uma lista dos vários nomes de campo para o restante das linhas do arquivo.)

Claramente óbvio no topo da lista estão os nomes no Produto coluna das primeiras nove entradas, lidando com um patch de elevação de privilégio (EoP) denotado CVE-2013-21773 para Windows 7, Windows 8.1 e Windows RT 8.1.

O Windows 7, como muitas pessoas devem se lembrar, era extremamente popular em sua época (na verdade, alguns ainda o consideram o melhor Windows de todos os tempos), finalmente atraindo até mesmo fãs obstinados do Windows XP quando o suporte ao XP acabou.

O Windows 8.1, que é lembrado mais como uma espécie de lançamento de “correção de bug” para o Windows 8 não lamentado e abandonado há muito tempo do que como uma versão real do Windows por si só, nunca realmente pegou.

E o Windows RT 8.1 era tudo o que as pessoas não gostavam na versão regular do Windows 8.1, mas rodando em hardware proprietário baseado em ARM que era estritamente bloqueado, como um iPhone ou um iPad – algo que os usuários do Windows não estavam acostumados, nem , a julgar pela reação do mercado, algo que muita gente estava disposta a aceitar.

Na verdade, às vezes você vai ler que a impopularidade comparativa do Windows 8 é o motivo pelo qual o próximo grande lançamento após o 8.1 foi numerado como Windows 10, criando assim deliberadamente uma sensação de separação entre a versão antiga e a nova.

Outras explicações incluem que Windows 10 deveria ser o nome completo do produto, para que o 10 fazia parte do novo nome do produto, em vez de ser apenas um número adicionado ao nome para denotar uma versão. A aparição subsequente do Windows 11 colocou uma espécie de abalo nessa teoria – mas nunca houve um Windows 9.

O fim de duas eras

Derrame suas lágrimas agora, porque este mês verá as últimas atualizações de segurança para as versões antigas do Windows 7 e do Windows 8.1.

O Windows 7 agora chegou ao fim de seu período de três anos de pagamento extra para obter ESU (ESU é curto para atualizações de segurança estendidas) e Windows 8.1 simplesmente não está recebendo atualizações estendidas, aparentemente não importa quanto você esteja disposto a pagar:

Como lembrete, o Windows 8.1 chegará ao fim do suporte em 10 de janeiro de 2023 [2023-01-10], momento em que a assistência técnica e as atualizações de software não serão mais fornecidas. […]

A Microsoft não oferecerá um programa Extended Security Update (ESU) para o Windows 8.1. Continuar a usar o Windows 8.1 após 10 de janeiro de 2023 pode aumentar a exposição de uma organização a riscos de segurança ou afetar sua capacidade de cumprir as obrigações de conformidade.

Portanto, é realmente o fim das eras do Windows 7 e do Windows 8.1, e qualquer bug do sistema operacional deixado em qualquer computador que ainda execute essas versões estará lá para sempre.

Lembre-se, é claro, que apesar de suas idades, ambas as plataformas receberam este mês correções para dezenas de diferentes vulnerabilidades numeradas por CVE: 42 CVEs no caso do Windows 7 e 48 CVEs no caso do Windows 8.1.

Mesmo que pesquisadores de ameaças e cibercriminosos contemporâneos não estejam explicitamente procurando por bugs em compilações antigas do Windows, as falhas encontradas pela primeira vez por invasores que vasculham a versão mais recente do Windows 11 podem ter sido herdadas do código legado.

Na verdade, as contagens de CVE de 42 e 48 acima se comparam com um total de 90 CVEs diferentes listados no site oficial da Microsoft. Notas da versão de janeiro de 2023 página, sugerindo vagamente que cerca de metade dos bugs de hoje (na lista deste mês, todos os 90 têm designadores de data CVE-2023-XXXX) estão esperando para serem encontrados no Windows há pelo menos uma década.

Em outras palavras, da mesma forma que os bugs descobertos em versões antigas podem acabar afetando os lançamentos mais recentes e melhores, você também descobrirá que os "novos" bugs existem há muito tempo e podem ser adaptados para exploits que funcionam em versões antigas. Versões do Windows também.

Ironicamente, os “novos” bugs podem ser mais fáceis de explorar em versões mais antigas, devido às configurações de compilação de software menos restritivas e configurações de tempo de execução mais liberais que eram consideradas aceitáveis ​​naquela época.

Laptops mais antigos com menos memória do que hoje eram normalmente configurados com versões de 32 bits do Windows, mesmo que tivessem processadores de 64 bits. Algumas técnicas de mitigação de ameaças, principalmente aquelas que envolvem randomizar os locais onde os programas terminam na memória para reduzir a previsibilidade e tornar as explorações mais difíceis de realizar de forma confiável, são normalmente menos eficazes no Windows de 32 bits, simplesmente porque há menos endereços de memória escolher a partir de. Como esconde-esconde, quanto mais lugares possíveis houver para se esconder, mais tempo geralmente leva para encontrá-lo.

“Exploração detectada”

De acordo com a Bleeping Computer, apenas duas das vulnerabilidades divulgadas este mês estão listadas como in-the-wild, ou seja, conhecido fora Microsoft e a comunidade de pesquisa imediata:

  • CVE-2023-21674: Vulnerabilidade de elevação de privilégio de chamada de procedimento local avançado (ALPC) do Windows. Confusamente, este é listado como Divulgado publicamente: não, mas Exploração detectada. A partir disso, presumimos que os cibercriminosos já sabem como abusar desse bug, mas estão mantendo cuidadosamente os detalhes da exploração para si mesmos, presumivelmente para tornar mais difícil para os respondentes de ameaças saberem o que procurar em sistemas que não foram corrigido ainda.
  • CVE-2023-21549: Vulnerabilidade de elevação de privilégio do Windows SMB Witness Service. Este é denotado Divulgado publicamente, mas, no entanto, escrito como Exploração menos provável. A partir disso, inferimos que, mesmo que alguém diga onde o bug está localizado e como você pode ativá-lo, será difícil descobrir como explorar o bug com sucesso e realmente alcançar uma elevação de privilégio.

Curiosamente, o bug CVE-2023-21674, que está sendo usado ativamente por invasores, não está na lista de patches do Windows 7, mas se aplica ao Windows 8.1.

O segundo bug, CVE-2023-21549, descrito como conhecido publicamente, aplica-se ao Windows 7 e ao Windows 8.1.

Como dissemos acima, as falhas recém-descobertas geralmente percorrem um longo caminho.

O CVE-2023-21674 se aplica desde o Windows 8.1 até as versões mais recentes do Windows 11 2022H2 (H2, caso você esteja se perguntando, significa “o lançamento lançado na segunda metade do ano”).

Ainda mais dramaticamente, o CVE-2023-21549 se aplica diretamente do Windows 7 ao Windows 11 2022H2.

O que fazer com aqueles computadores antigos?

Se você tem computadores Windows 7 ou Windows 8.1 que ainda considera utilizáveis ​​e úteis, considere mudar para um sistema operacional de código aberto, como uma distribuição Linux, que ainda está recebendo suporte e atualizações.

Algumas compilações Linux da comunidade são especializadas em manter suas distros pequenas e simples

Mesmo que não tenham a coleção mais recente e melhor de filtros de fotos, ferramentas de edição de vídeo, mecanismos de xadrez e papéis de parede de alta resolução, as distros minimalistas ainda são adequadas para navegação e e-mail, mesmo em hardware antigo de 32 bits com pequenos discos rígidos e Memória baixa.

LEIA O RELATÓRIO SOPHOSLABS SOBRE OS PATCHES DESTE MÊS

Carimbo de hora:

Mais de Segurança nua