Microsoft Patch Tuesday: 36 RCE Bugs, 3 Zero-days, 75 CVEs

Ponovno objavil Platon

Spremljevalci: 0

Dešifriranje uradnega Microsofta Vodnik za posodobitve spletne strani niso za slabovidne.

Večina informacij, ki jih potrebujete, če ne vse, kar bi res radi vedeli, je tam, vendar obstaja tako vrtoglavo število načinov, da si jih ogledate, in toliko strani, ustvarjenih na letenju, je potrebnih za njihov prikaz, da je lahko težko ugotoviti, kaj je resnično novega in kaj je resnično pomembno.

Ali bi morali iskati po prizadetih platformah operacijskega sistema?

Glede na resnost ranljivosti? Po verjetnosti izkoriščanja?

Ali bi morali nič-dneve razvrstiti na vrh?

(Mislimo, da ne morete – mislimo, da so na seznamu tega meseca trije dnevi nič, vendar smo morali poglobiti v posamezne strani CVE in poiskati besedilo "Zaznano izkoriščanje" da bi bili prepričani, da je določen hrošč že znan kiberkriminalcem.)

.s-button+.s-button { margin-left: .3125rem; } .s-button { prehod: vse .15s linearno; velikost pisave: .875rem; višina vrstice: 1.5; barva: #f2f2f2; družina pisav: SophosSansMedium, Helvetica Neue, Helvetica, Arial, sans-serif; teža pisave: 400; slog pisave: normalen; zaslon: inline-block; oblazinjenje: .3125rem 1.25rem; kazalec: kazalec; poravnava besedila: sredina; tekst-dekoracija: brez; obroba: 1px polna #005bc8; polmer obrobe: 3px; barva ozadja: #005bc8; text-shadow: brez; } .s-button:hover { text-decoration: none; barva: #fff; barva obrobe: #002d62; barva ozadja: #002d62; } .s-button–white, .s-button–white:hover { barva: #005bc8 !pomembno; barva obrobe: #fff; barva ozadja: #fff; } .s-ad-sophos-mdr { velikost-pisave: 1rem; višina vrstice: 1.5; barva: #242629; družina pisav: SophosSansRegular, Helvetica Neue, Helvetica, Arial, sans-serif; teža pisave: 400; slog pisave: normalen; položaj: relativni; največja širina: 769 slikovnih pik; rob: 15 slikovnih pik samodejno; oblazinjenje: 30px 30px 25px; prehod: box-shadow .25s cubic-bezier( .645, .045, .355, 1); poravnava besedila: sredina; barva ozadja: #0d141d; ponavljanje v ozadju: brez ponavljanja; položaj ozadja: 50 %; velikost ozadja: naslovnica; box-shadow: 0 0 0 0 0 prozoren; barva ozadja: #005bc8; slika ozadja: brez; položaj ozadja: 0 0; } .s-ad-sophos-mdr__title { velikost-pisave: 2rem; višina vrstice: 1.125; rob-spodaj: 4px; barva: #fff; } .s-ad-sophos-mdr__text { družina-pisav: SophosSansLight, Helvetica Neue, Helvetica, Arial, sans-serif; teža pisave: 400; slog pisave: normalen; velikost pisave: 17px; barva: #fff; } .s-ad-sophos-mdr__action { margin-top: 15px; } .s-ad-sophos-mdr__action .s-button { barva: #fff; } .s-ad-sophos-mdr__link-wrapper { text-decoration: none; } .s-ad-sophos-mdr__link-wrapper:hover .s-ad-sophos-mdr {box-shadow: 0 5px 10px 0 rgba(0, 0, 0, .15); } .s-ad-sophos-mdr__sophos-logo { položaj: absolutno; zgoraj: 15px; desno: 15px; } .s-ad-sophos-mdr__sophos-logo-svg { display: inline-block; širina: 64px; višina: 11px; navpična poravnava: zgoraj; ponavljanje v ozadju: brez ponavljanja; velikost ozadja: 64px 11px; } .s-ad-sophos-mdr__title { družina-pisav: SophosSansSemibold, Helvetica Neue, Helvetica, Arial, sans-serif; teža pisave: 400; slog pisave: normalen; velikost pisave: 28px; teža pisave: 700; višina vrstice: 1; rob-spodaj: 10px; poravnava besedila: levo; } .s-ad-sophos-mdr__title svg { max-width: 100 %; } .s-ad-sophos-mdr__text { velikost pisave: 16px; višina črte: 1.25; poravnava besedila: levo; } .s-ad-sophos-mdr__action { poravnava besedila: desno; } .s-ad-sophos-mdr .s-button { border-radius: 20px; } @media (min-width:769px) { .s-ad-sophos-mdr__text { margin-right: 140px; } .s-ad-sophos-mdr__action { položaj: absolutno; desno: 30px; spodaj: 30px; } } @media (max-width:768px) { .s-ad-sophos-mdr { padding-top: 50px; } .s-ad-sophos-mdr__title { velikost-pisave: 1.625rem; } .s-ad-sophos-mdr__text { velikost pisave: 16px; } .s-ad-sophos-mdr { padding-top: 30px; }}

Kaj je hujše, EoP ali RCE?

Je Kritično elevation of privilege (EoP) napaka bolj zaskrbljujoča kot napaka Pomembno oddaljeno izvajanje kode (RCE)?

Prva vrsta hrošča zahteva, da kibernetski kriminalci najprej vdrejo, vendar jim verjetno omogočijo, da popolnoma prevzamejo oblast, pri čemer običajno dobijo enakovredna pooblastila sistemskega skrbnika ali nadzor na ravni operacijskega sistema.

Druga vrsta hrošča lahko prevarante privabi le z nizkimi pravicami dostopa, ki jih ima vaš mali stari, vendar jih kljub temu najprej spravi v omrežje.

Seveda, medtem ko bi si lahko vsi ostali oddahnili, če napadalec ne bi mogel dobiti dostopa do njihovih stvari, je to za vas hladno tolažba, če ste vi tisti, ki je bil napaden.

Prešteli smo 75 hroščev s številko CVE z dne 2023. februarja 02, glede na to, da so letošnje februarske posodobitve prispele na valentinovo.

(Pravzaprav nam je všeč 76, vendar smo prezrli eno napako, ki ni imela ocene resnosti, je bila označena CVE-2019-15126, in zdi se, da se skrči na poročilo o nepodprtih čipih Wi-Fi Broadcom v napravah Microsoft Hololens – če imate Hololens in imate kakšen nasvet za druge bralce, nam to sporočite v spodnjih komentarjih.)

Izluščili smo seznam in ga vključili spodaj, razvrščenega tako, da so hrošči sinhronizirani Kritično so na vrhu (teh je sedem, vsi hrošči razreda RCE).

Lahko tudi preberete SophosLabs analiza Patch Tuesday za več podrobnosti.

Razloženi razredi varnostnih hroščev

Če niste seznanjeni s spodaj prikazanimi okrajšavami hroščev, je tukaj hiter vodnik po varnostnih pomanjkljivostih:

RCE pomeni oddaljeno izvajanje kode. Napadalci, ki trenutno niso prijavljeni v vaš računalnik, bi ga lahko preslepili, da zažene delček programske kode ali celo popoln program, kot da bi imeli overjen dostop. Običajno kriminalci na namiznih računalnikih ali strežnikih uporabijo to vrsto hrošča za vsaditev kode, ki jim omogoča, da se v prihodnosti po želji vrnejo in tako vzpostavijo ozemlje, s katerega lahko začnejo napad po celotnem omrežju. Na mobilnih napravah, kot so telefoni, lahko prevaranti uporabijo hrošče RCE, da za seboj pustijo vohunsko programsko opremo, ki vas bo od takrat naprej spremljala, tako da jim ni treba znova in znova vdirati, da bi obdržali svoje zlobne oči na vas.
EoP pomeni dvig privilegijev. Kot je bilo omenjeno zgoraj, to pomeni, da lahko prevaranti povečajo svoje pravice dostopa in običajno pridobijo enaka pooblastila, kot bi jih običajno užival uradni sistemski skrbnik ali sam operacijski sistem. Ko imajo pooblastila na sistemski ravni, se lahko pogosto prosto sprehajajo po vašem omrežju, ukradejo varne datoteke tudi iz strežnikov z omejenim dostopom, ustvarijo skrite uporabniške račune, da se lahko pozneje vrnejo, ali načrtujejo celotno IT posestvo v pripravi na napad z izsiljevalsko programsko opremo.
Uhajanje pomeni, da lahko varnostni ali zasebni podatki uidejo iz varnega shranjevanja. Včasih lahko celo navidezno manjša puščanja, kot je lokacija določene kode operacijskega sistema v pomnilniku, ki je napadalec ne bi smel predvideti, dajo kriminalcem informacije, ki jih potrebujejo, da verjetno neuspešen napad spremenijo v skoraj zagotovo uspešnega. eno.
Obvoznica pomeni, da je mogoče zaobiti varnostno zaščito, za katero običajno pričakujete, da vas bo varovala. Prevaranti običajno izkoristijo obvodne ranljivosti, da vas zavedejo, da zaupate oddaljeni vsebini, kot so e-poštne priloge, na primer tako, da najdejo način, kako se izogniti »opozorilom o vsebini« ali zaobiti zaznavanje zlonamerne programske opreme, ki naj bi vas varovala.
Prevara pomeni, da je vsebina lahko videti bolj verodostojna, kot je v resnici. Napadalci, ki vas na primer zvabijo na lažno spletno stran, ki se prikaže v vašem brskalniku z uradnim imenom strežnika v naslovni vrstici (ali nečem, kar je videti kot naslovna vrstica), vas bodo verjetno zavedli, da bi predali osebne podatke, kot če bi prisiljeni svojo lažno vsebino objaviti na spletnem mestu, ki očitno ni tisto, kar bi pričakovali.
DoS pomeni zavrnitev storitve. Napake, ki omogočajo, da so omrežne ali strežniške storitve začasno onemogočene, se pogosto obravnavajo kot napake nizke stopnje, ob predpostavki, da napaka nato napadalcem ne omogoča vdora, kraje podatkov ali dostopa do česar koli, česar ne bi smeli. Toda napadalci, ki lahko zanesljivo uničijo dele vašega omrežja, lahko to storijo znova in znova na usklajen način, na primer tako, da določijo čas svojih preizkusov DoS tako, da se zgodijo ob vsakem ponovnem zagonu vaših zrušenih strežnikov. To je lahko zelo moteče, zlasti če vodite spletno podjetje, in se lahko uporabi tudi kot odvračanje pozornosti od drugih nezakonitih dejavnosti, ki jih prevaranti hkrati izvajajo v vašem omrežju.

Velik seznam hroščev

Seznam 75 hroščev je tukaj, s tremi dnevi nič, za katere vemo, označenimi z zvezdico (*):

NIST ID Level Type Component affected
--------------- ----------- ------ ----------------------------------------
CVE-2023-21689: (Critical) RCE Windows Protected EAP (PEAP) CVE-2023-21690: (Critical) RCE Windows Protected EAP (PEAP) CVE-2023-21692: (Critical) RCE Windows Protected EAP (PEAP) CVE-2023-21716: (Critical) RCE Microsoft Office Word CVE-2023-21803: (Critical) RCE Windows iSCSI CVE-2023-21815: (Critical) RCE Visual Studio CVE-2023-23381: (Critical) RCE Visual Studio CVE-2023-21528: (Important) RCE SQL Server CVE-2023-21529: (Important) RCE Microsoft Exchange Server CVE-2023-21568: (Important) RCE SQL Server CVE-2023-21684: (Important) RCE Microsoft PostScript Printer Driver CVE-2023-21685: (Important) RCE Microsoft WDAC OLE DB provider for SQL CVE-2023-21686: (Important) RCE Microsoft WDAC OLE DB provider for SQL CVE-2023-21694: (Important) RCE Windows Fax and Scan Service CVE-2023-21695: (Important) RCE Windows Protected EAP (PEAP) CVE-2023-21703: (Important) RCE Azure Data Box Gateway CVE-2023-21704: (Important) RCE SQL Server CVE-2023-21705: (Important) RCE SQL Server CVE-2023-21706: (Important) RCE Microsoft Exchange Server CVE-2023-21707: (Important) RCE Microsoft Exchange Server CVE-2023-21710: (Important) RCE Microsoft Exchange Server CVE-2023-21713: (Important) RCE SQL Server CVE-2023-21718: (Important) RCE SQL Server CVE-2023-21778: (Important) RCE Microsoft Dynamics CVE-2023-21797: (Important) RCE Windows ODBC Driver CVE-2023-21798: (Important) RCE Windows ODBC Driver CVE-2023-21799: (Important) RCE Microsoft WDAC OLE DB provider for SQL CVE-2023-21801: (Important) RCE Microsoft PostScript Printer Driver CVE-2023-21802: (Important) RCE Microsoft Windows Codecs Library CVE-2023-21805: (Important) RCE Windows MSHTML Platform CVE-2023-21808: (Important) RCE .NET and Visual Studio CVE-2023-21820: (Important) RCE Windows Distributed File System (DFS) CVE-2023-21823: (Important) *RCE Microsoft Graphics Component
CVE-2023-23377: (Important) RCE 3D Builder CVE-2023-23378: (Important) RCE 3D Builder CVE-2023-23390: (Important) RCE 3D Builder CVE-2023-21566: (Important) EoP Visual Studio CVE-2023-21688: (Important) EoP Windows ALPC CVE-2023-21717: (Important) EoP Microsoft Office SharePoint CVE-2023-21777: (Important) EoP Azure App Service CVE-2023-21800: (Important) EoP Windows Installer CVE-2023-21804: (Important) EoP Microsoft Graphics Component CVE-2023-21812: (Important) EoP Windows Common Log File System Driver CVE-2023-21817: (Important) EoP Windows Kerberos CVE-2023-21822: (Important) EoP Windows Win32K CVE-2023-23376: (Important) *EoP Windows Common Log File System Driver CVE-2023-23379: (Important) EoP Microsoft Defender for IoT CVE-2023-21687: (Important) Leak Windows HTTP.sys CVE-2023-21691: (Important) Leak Windows Protected EAP (PEAP) CVE-2023-21693: (Important) Leak Microsoft PostScript Printer Driver CVE-2023-21697: (Important) Leak Internet Storage Name Service CVE-2023-21699: (Important) Leak Internet Storage Name Service CVE-2023-21714: (Important) Leak Microsoft Office CVE-2023-23382: (Important) Leak Azure Machine Learning CVE-2023-21715: (Important) *Bypass Microsoft Office Publisher CVE-2023-21809: (Important) Bypass Microsoft Defender for Endpoint CVE-2023-21564: (Important) Spoof Azure DevOps CVE-2023-21570: (Important) Spoof Microsoft Dynamics CVE-2023-21571: (Important) Spoof Microsoft Dynamics CVE-2023-21572: (Important) Spoof Microsoft Dynamics CVE-2023-21573: (Important) Spoof Microsoft Dynamics CVE-2023-21721: (Important) Spoof Microsoft Office OneNote CVE-2023-21806: (Important) Spoof Power BI CVE-2023-21807: (Important) Spoof Microsoft Dynamics CVE-2023-21567: (Important) DoS Visual Studio CVE-2023-21700: (Important) DoS Windows iSCSI CVE-2023-21701: (Important) DoS Windows Protected EAP (PEAP) CVE-2023-21702: (Important) DoS Windows iSCSI CVE-2023-21722: (Important) DoS .NET Framework CVE-2023-21811: (Important) DoS Windows iSCSI CVE-2023-21813: (Important) DoS Windows Cryptographic Services CVE-2023-21816: (Important) DoS Windows Active Directory CVE-2023-21818: (Important) DoS Windows SChannel CVE-2023-21819: (Important) DoS Windows Cryptographic Services CVE-2023-21553: (Unknown ) RCE Azure DevOps

Kaj storiti?

Poslovni uporabniki radi dajejo prednost popravkom, namesto da bi jih naredili vse naenkrat in upali, da se nič ne pokvari; zato smo postavili Kritično hrošči na vrhu, skupaj z luknjami RCE, glede na to, da RCE običajno uporabljajo prevaranti, da dobijo prvotno oporo.

Na koncu pa je treba popraviti vse hrošče, zlasti zdaj, ko so posodobitve na voljo in lahko napadalci začnejo »delati nazaj«, tako da poskušajo iz popravkov ugotoviti, kakšne luknje so obstajale, preden so se posodobitve pojavile.

Povratni inženiring popravkov za Windows je lahko dolgotrajen, nenazadnje zato, ker je Windows zaprtokodni operacijski sistem, vendar je veliko lažje ugotoviti, kako hrošči delujejo in kako jih izkoristiti, če imate dobro idejo, kje začeti iščem in kaj iskati.

Prej ko boste napredovali (ali hitreje ko boste dohiteli, v primeru lukenj ničelnega dne, ki so hrošči, ki so jih prvi odkrili sleparji), manjša je verjetnost, da boste vi tisti, ki bo napaden.

Torej, tudi če ne popravite vsega naenkrat, bomo vseeno rekli: Ne odlašajte/začnite danes!

ZA VEČ PODROBNOSTI PREBERITE ANALIZO SOPHOSLABS ZA POKRIV V TOREK