Microsoft Patch Tuesday: 36 bugs RCE, 3 dias zero, 75 CVEs

Microsoft Patch Tuesday: 36 bugs RCE, 3 dias zero, 75 CVEs

Carimbo de data / hora: 14 de fevereiro de 2023 5:12
Nó Fonte: 1958890
by Paul Ducklin

Decifrando o oficial da Microsoft Guia de atualização páginas da web não é para os fracos de coração.

A maioria das informações de que você precisa, se não tudo o que você realmente gostaria de saber, está lá, mas há um número estonteante de maneiras de visualizá-las e muitas páginas geradas instantaneamente são necessárias para exibi-las, que pode ser complicado descobrir o que é realmente novo e o que é realmente importante.

Você deve pesquisar pelas plataformas de sistema operacional afetadas?

Pela gravidade das vulnerabilidades? Pela probabilidade de exploração?

Você deve classificar os dias zero para o topo?

(Achamos que você não pode - achamos que há três dias zero na lista deste mês, mas tivemos que detalhar as páginas CVE individuais e procurar o texto “Exploração detectada” para ter certeza de que um bug específico já era conhecido pelos cibercriminosos.)

O que é pior, um EoP ou um RCE?

É um Crítico bug de elevação de privilégio (EoP) mais alarmante do que um importante execução remota de código (RCE)?

O primeiro tipo de bug exige que os cibercriminosos invadam primeiro, mas provavelmente dá a eles uma maneira de assumir o controle completamente, geralmente obtendo o equivalente a poderes de administrador de sistema ou controle no nível do sistema operacional.

O segundo tipo de bug pode apenas colocar os bandidos com os privilégios de acesso humildes de seu pequeno e velho, mas, no entanto, os coloca na rede em primeiro lugar.

É claro que, embora todos possam dar um suspiro de alívio se um invasor não conseguir acessar suas coisas, isso é um consolo para você, se foi você quem foi atacado.

Contamos 75 bugs numerados CVE datados de 2023/02/14, visto que as atualizações de fevereiro deste ano chegaram no Dia dos Namorados.

(Na verdade, gostamos de 76, mas ignoramos um bug que não tinha uma classificação de gravidade, foi marcado CVE-2019-15126, e parece se resumir a um relatório sobre chips Broadcom Wi-Fi não suportados em dispositivos Microsoft Hololens – se você tiver um Hololens e tiver algum conselho para outros leitores, informe-nos nos comentários abaixo.)

Extraímos uma lista e a incluímos abaixo, ordenada de forma que os bugs apelidados Crítico estão no topo (há sete deles, todos bugs da classe RCE).

Você também pode ler o SophosLabs análise do Patch Tuesday para mais detalhes.

Classes de bugs de segurança explicadas

Se você não estiver familiarizado com as abreviações de bugs mostradas abaixo, aqui está um guia rápido para falhas de segurança:

  • RCE significa Execução Remota de Código. Os invasores que não estão conectados ao seu computador podem induzi-lo a executar um fragmento de código de programa ou até mesmo um programa completo, como se tivessem acesso autenticado. Normalmente, em desktops ou servidores, os criminosos usam esse tipo de bug para implantar código que lhes permite voltar à vontade no futuro, estabelecendo assim uma cabeça de ponte a partir da qual iniciar um ataque em toda a rede. Em dispositivos móveis, como telefones, os bandidos podem usar bugs RCE para deixar para trás o spyware que irá rastreá-lo a partir de então, para que eles não precisem invadir repetidamente para manter seus olhos malignos em você.
  • EoP significa Elevação de Privilégio. Como mencionado acima, isso significa que os criminosos podem aumentar seus direitos de acesso, normalmente adquirindo o mesmo tipo de poder que um administrador de sistema oficial ou o próprio operador normalmente desfrutariam. Uma vez que tenham poderes no nível do sistema, eles podem se movimentar livremente em sua rede, roubar arquivos seguros até mesmo de servidores de acesso restrito, criar contas de usuário ocultas para voltar mais tarde ou mapear todo o seu patrimônio de TI em preparação para um ataque ransomware.
  • Vazar significa que dados privados ou relacionados à segurança podem escapar do armazenamento seguro. Às vezes, mesmo vazamentos aparentemente menores, como a localização de um código de sistema operacional específico na memória, que um invasor não deveria ser capaz de prever, pode fornecer aos criminosos as informações de que precisam para transformar um ataque provavelmente malsucedido em um ataque quase certamente bem-sucedido. um.
  • Ignorar significa que uma proteção de segurança que você normalmente esperaria para mantê-lo seguro pode ser contornada. Os criminosos geralmente exploram vulnerabilidades de bypass para induzi-lo a confiar em conteúdo remoto, como anexos de e-mail, por exemplo, encontrando uma maneira de evitar os “avisos de conteúdo” ou contornar a detecção de malware que deveria mantê-lo seguro.
  • Paródia significa que o conteúdo pode ser feito para parecer mais confiável do que realmente é. Por exemplo, os invasores que o atraem para um site falso que aparece em seu navegador com um nome de servidor oficial na barra de endereço (ou o que parece ser a barra de endereço) têm maior probabilidade de induzi-lo a fornecer dados pessoais do que se estivessem são forçados a colocar seu conteúdo falso em um site que claramente não é o que você esperaria.
  • DoS significa negação de serviço. Bugs que permitem que os serviços de rede ou servidor fiquem off-line temporariamente geralmente são considerados falhas de baixo nível, supondo que o bug não permita que invasores invadam, roubem dados ou acessem qualquer coisa que não devam. Mas os invasores que podem derrubar partes de sua rede de forma confiável podem ser capazes de fazê-lo repetidamente de maneira coordenada, por exemplo, sincronizando suas investigações de DoS para acontecer toda vez que seus servidores com falha forem reiniciados. Isso pode ser extremamente perturbador, especialmente se você estiver administrando um negócio online, e também pode ser usado como uma distração para desviar a atenção de outras atividades ilegais que os criminosos estão fazendo em sua rede ao mesmo tempo.

A grande lista de bugs

A lista de 75 bugs fortes está aqui, com os três dias zero que conhecemos marcados com um asterisco (*):

NIST ID Level Type Component affected
--------------- ----------- ------ ----------------------------------------
CVE-2023-21689: (Critical) RCE Windows Protected EAP (PEAP) CVE-2023-21690: (Critical) RCE Windows Protected EAP (PEAP) CVE-2023-21692: (Critical) RCE Windows Protected EAP (PEAP) CVE-2023-21716: (Critical) RCE Microsoft Office Word CVE-2023-21803: (Critical) RCE Windows iSCSI CVE-2023-21815: (Critical) RCE Visual Studio CVE-2023-23381: (Critical) RCE Visual Studio CVE-2023-21528: (Important) RCE SQL Server CVE-2023-21529: (Important) RCE Microsoft Exchange Server CVE-2023-21568: (Important) RCE SQL Server CVE-2023-21684: (Important) RCE Microsoft PostScript Printer Driver CVE-2023-21685: (Important) RCE Microsoft WDAC OLE DB provider for SQL CVE-2023-21686: (Important) RCE Microsoft WDAC OLE DB provider for SQL CVE-2023-21694: (Important) RCE Windows Fax and Scan Service CVE-2023-21695: (Important) RCE Windows Protected EAP (PEAP) CVE-2023-21703: (Important) RCE Azure Data Box Gateway CVE-2023-21704: (Important) RCE SQL Server CVE-2023-21705: (Important) RCE SQL Server CVE-2023-21706: (Important) RCE Microsoft Exchange Server CVE-2023-21707: (Important) RCE Microsoft Exchange Server CVE-2023-21710: (Important) RCE Microsoft Exchange Server CVE-2023-21713: (Important) RCE SQL Server CVE-2023-21718: (Important) RCE SQL Server CVE-2023-21778: (Important) RCE Microsoft Dynamics CVE-2023-21797: (Important) RCE Windows ODBC Driver CVE-2023-21798: (Important) RCE Windows ODBC Driver CVE-2023-21799: (Important) RCE Microsoft WDAC OLE DB provider for SQL CVE-2023-21801: (Important) RCE Microsoft PostScript Printer Driver CVE-2023-21802: (Important) RCE Microsoft Windows Codecs Library CVE-2023-21805: (Important) RCE Windows MSHTML Platform CVE-2023-21808: (Important) RCE .NET and Visual Studio CVE-2023-21820: (Important) RCE Windows Distributed File System (DFS) CVE-2023-21823: (Important) *RCE Microsoft Graphics Component
CVE-2023-23377: (Important) RCE 3D Builder CVE-2023-23378: (Important) RCE 3D Builder CVE-2023-23390: (Important) RCE 3D Builder CVE-2023-21566: (Important) EoP Visual Studio CVE-2023-21688: (Important) EoP Windows ALPC CVE-2023-21717: (Important) EoP Microsoft Office SharePoint CVE-2023-21777: (Important) EoP Azure App Service CVE-2023-21800: (Important) EoP Windows Installer CVE-2023-21804: (Important) EoP Microsoft Graphics Component CVE-2023-21812: (Important) EoP Windows Common Log File System Driver CVE-2023-21817: (Important) EoP Windows Kerberos CVE-2023-21822: (Important) EoP Windows Win32K CVE-2023-23376: (Important) *EoP Windows Common Log File System Driver CVE-2023-23379: (Important) EoP Microsoft Defender for IoT CVE-2023-21687: (Important) Leak Windows HTTP.sys CVE-2023-21691: (Important) Leak Windows Protected EAP (PEAP) CVE-2023-21693: (Important) Leak Microsoft PostScript Printer Driver CVE-2023-21697: (Important) Leak Internet Storage Name Service CVE-2023-21699: (Important) Leak Internet Storage Name Service CVE-2023-21714: (Important) Leak Microsoft Office CVE-2023-23382: (Important) Leak Azure Machine Learning CVE-2023-21715: (Important) *Bypass Microsoft Office Publisher CVE-2023-21809: (Important) Bypass Microsoft Defender for Endpoint CVE-2023-21564: (Important) Spoof Azure DevOps CVE-2023-21570: (Important) Spoof Microsoft Dynamics CVE-2023-21571: (Important) Spoof Microsoft Dynamics CVE-2023-21572: (Important) Spoof Microsoft Dynamics CVE-2023-21573: (Important) Spoof Microsoft Dynamics CVE-2023-21721: (Important) Spoof Microsoft Office OneNote CVE-2023-21806: (Important) Spoof Power BI CVE-2023-21807: (Important) Spoof Microsoft Dynamics CVE-2023-21567: (Important) DoS Visual Studio CVE-2023-21700: (Important) DoS Windows iSCSI CVE-2023-21701: (Important) DoS Windows Protected EAP (PEAP) CVE-2023-21702: (Important) DoS Windows iSCSI CVE-2023-21722: (Important) DoS .NET Framework CVE-2023-21811: (Important) DoS Windows iSCSI CVE-2023-21813: (Important) DoS Windows Cryptographic Services CVE-2023-21816: (Important) DoS Windows Active Directory CVE-2023-21818: (Important) DoS Windows SChannel CVE-2023-21819: (Important) DoS Windows Cryptographic Services CVE-2023-21553: (Unknown ) RCE Azure DevOps

O que fazer?

Os usuários corporativos gostam de priorizar os patches, em vez de executá-los todos de uma vez e esperar que nada quebre; portanto, colocamos o Crítico bugs no topo, junto com os buracos do RCE, visto que os RCEs são normalmente usados ​​por bandidos para obter seu ponto de apoio inicial.

No final, no entanto, todos os bugs precisam ser corrigidos, especialmente agora que as atualizações estão disponíveis e os invasores podem começar a “trabalhar para trás” tentando descobrir nos patches que tipo de buracos existiam antes do lançamento das atualizações.

Os patches do Windows de engenharia reversa podem ser demorados, principalmente porque o Windows é um sistema operacional de código fechado, mas é muito mais fácil descobrir como os bugs funcionam e como explorá-los se você tiver uma boa ideia de por onde começar procurando e o que procurar.

Quanto mais cedo você avançar (ou quanto mais rápido você alcançar, no caso de buracos de dia zero, que são bugs que os bandidos encontraram primeiro), menor a probabilidade de você ser atacado.

Portanto, mesmo que você não corrija tudo de uma vez, diremos: Não demore/Comece hoje!

LEIA A ANÁLISE SOPHOSLABS DO PATCH TUESDAY PARA MAIS DETALHES

Carimbo de hora:

Mais de Segurança nua