Microsoft Patch Tuesday: 36 RCE Bugs, 3 Zero-days, 75 CVEs

Återutgiven av Platon

anhängare: 0

Dechiffrera Microsofts officiella Uppdateringsguide webbsidor är inte för svaghjärtade.

Det mesta av informationen du behöver, om inte allt du verkligen skulle vilja veta, finns där, men det finns ett så svindlande antal sätt att se den på, och det behövs så många genererade sidor i farten för att visa den, att det kan vara knepigt att ta reda på vad som verkligen är nytt och vad som verkligen är viktigt.

Ska du söka på de operativsystemplattformar som påverkas?

Av svårighetsgraden av sårbarheterna? Med sannolikheten för exploatering?

Ska du sortera nolldagarna till toppen?

(Vi tror inte att du kan – vi tror att det finns tre nolldagar i den här månadens lista, men vi var tvungna att borra i enskilda CVE-sidor och söka efter texten "Exploatering upptäckt" för att vara säker på att en specifik bugg redan var känd för cyberbrottslingar.)

.s-button+.s-button { margin-left: .3125rem; } .s-knapp { övergång: alla .15s linjära; teckenstorlek: .875rem; linjehöjd: 1.5; färg: #f2f2f2; teckensnittsfamilj: SophosSansMedium, Helvetica Neue, Helvetica, Arial, sans-serif; teckensnittsvikt: 400; teckensnittsstil: normal; display: inline-block; stoppning: .3125rem 1.25rem; markör: pekare; text-align: center; text-dekoration: ingen; kantlinje: 1px fast #005bc8; border-radie: 3px; bakgrundsfärg: #005bc8; text-shadow: ingen; } .s-button:hover { text-dekoration: ingen; färg: #fff; kantfärg: #002d62; bakgrundsfärg: #002d62; } .s-button–white, .s-button–white:hover { färg: #005bc8 !viktigt; kantfärg: #fff; bakgrundsfärg: #fff; } .s-ad-sophos-mdr { font-size: 1rem; linjehöjd: 1.5; färg: #242629; teckensnittsfamilj: SophosSansRegular, Helvetica Neue, Helvetica, Arial, sans-serif; teckensnittsvikt: 400; teckensnittsstil: normal; position: relativ; max-bredd: 769px; marginal: 15px auto; stoppning: 30px 30px 25px; övergång: box-shadow .25s cubic-bezier( .645, .045, .355, 1 ); text-align: center; bakgrundsfärg: #0d141d; bakgrundsupprepning: ingen upprepning; bakgrundsposition: 50%; bakgrundsstorlek: omslag; box-skugga: 0 0 0 0 0 transparent; bakgrundsfärg: #005bc8; bakgrundsbild: ingen; bakgrundsposition: 0 0; } .s-ad-sophos-mdr__title { font-size: 2rem; linjehöjd: 1.125; margin-bottom: 4px; färg: #fff; } .s-ad-sophos-mdr__text { font-family: SophosSansLight, Helvetica Neue, Helvetica, Arial, sans-serif; teckensnittsvikt: 400; teckensnittsstil: normal; teckenstorlek: 17px; färg: #fff; } .s-ad-sophos-mdr__action { margin-top: 15px; } .s-ad-sophos-mdr__action .s-button { färg: #fff; } .s-ad-sophos-mdr__link-wrapper { text-decoration: none; } .s-ad-sophos-mdr__link-wrapper:hover .s-ad-sophos-mdr { box-shadow: 0 5px 10px 0 rgba( 0, 0, 0, .15 ); } .s-ad-sophos-mdr__sophos-logo { position: absolut; topp: 15px; höger: 15px; } .s-ad-sophos-mdr__sophos-logo-svg { display: inline-block; bredd: 64px; höjd: 11px; vertikal-align: topp; bakgrundsupprepning: ingen upprepning; bakgrundsstorlek: 64px 11px; } .s-ad-sophos-mdr__title { font-family: SophosSansSemibold, Helvetica Neue, Helvetica, Arial, sans-serif; teckensnittsvikt: 400; teckensnittsstil: normal; teckenstorlek: 28px; teckensnittsvikt: 700; linjehöjd: 1; margin-bottom: 10px; text-align: vänster; } .s-ad-sophos-mdr__title svg { max-width: 100%; } .s-ad-sophos-mdr__text { font-size: 16px; linjehöjd: 1.25; text-align: vänster; } .s-ad-sophos-mdr__action { text-align: höger; } .s-ad-sophos-mdr .s-button { border-radius: 20px; } @media (min-bredd:769px) { .s-ad-sophos-mdr__text { margin-right: 140px; } .s-ad-sophos-mdr__action { position: absolut; höger: 30px; botten: 30px; } } @media (max-width:768px) { .s-ad-sophos-mdr { padding-top: 50px; } .s-ad-sophos-mdr__title { font-size: 1.625rem; } .s-ad-sophos-mdr__text { font-size: 16px; } .s-ad-sophos-mdr { padding-top: 30px; } }

Vad är värre, en EoP eller en RCE?

Är en Kritisk elevation of privilege (EoP) bugg mer alarmerande än en Viktigt fjärrkörning av kod (RCE)?

Den förstnämnda typen av buggar kräver att cyberbrottslingar bryter sig in först, men ger dem förmodligen ett sätt att ta över helt och hållet, vilket vanligtvis ger dem motsvarande sysadmin-befogenheter eller kontroll på operativsystemnivå.

Den andra typen av buggar kanske bara får in skurkarna med de låga åtkomstprivilegierna hos lilla du, men den får dem ändå till nätverket i första hand.

Naturligtvis, även om alla andra kan andas ut om en angripare inte kunde få tillgång till sina saker, är det en kylig komfort för dig, om det var du som blev attackerad.

Vi räknade 75 CVE-numrerade buggar daterade 2023-02-14, med tanke på att årets februariuppdateringar kom på Alla hjärtans dag.

(Vi gillar faktiskt 76, men vi ignorerade en bugg som inte hade en svårighetsgrad, var taggad CVE-2019-15126, och verkar koka ner till en rapport om Broadcom Wi-Fi-chips som inte stöds i Microsoft Hololens-enheter – om du har en Hololens och har några råd till andra läsare, vänligen meddela oss i kommentarerna nedan.)

Vi extraherade en lista och inkluderade den nedan, sorterad så att buggarna dubbades Kritisk är överst (det finns sju av dem, alla RCE-klassiga buggar).

Du kan också läsa SophosLabs analys av Patch Tuesday för mer information.

Säkerhetsbuggklasser förklaras

Om du inte är bekant med buggförkortningarna som visas nedan, här är en höghastighetsguide till säkerhetsbrister:

RCE betyder fjärrutförande av kod. Angripare som för närvarande inte är inloggade på din dator kan lura den att köra ett fragment av programkod, eller till och med ett komplett program, som om de hade autentiserad åtkomst. Vanligtvis, på stationära datorer eller servrar, använder brottslingarna den här typen av buggar för att implantera kod som gör att de kan komma in igen efter behag i framtiden, och på så sätt etablera ett strandhuvud från vilket de kan starta en nätverksomfattande attack. På mobila enheter som telefoner kan skurkarna använda RCE-buggar för att lämna bakom sig spionprogram som kommer att spåra dig från och med då, så att de inte behöver bryta sig in om och om igen för att hålla sina onda ögon på dig.
EoP betyder privilegiehöjning. Som nämnts ovan betyder detta att skurkar kan öka sina åtkomsträttigheter, vanligtvis får samma sorts befogenheter som en officiell systemadministratör eller driften själv vanligtvis skulle åtnjuta. När de väl har befogenheter på systemnivå kan de ofta roama fritt på ditt nätverk, stjäla säkra filer även från servrar med begränsad åtkomst, skapa dolda användarkonton för att komma in senare eller kartlägga hela din IT-anläggning som förberedelse för en ransomware attack.
Läckage betyder att säkerhetsrelaterad eller privat data kan komma ut från säker lagring. Ibland kan till och med uppenbarligen mindre läckor, som platsen för specifik operativsystemkod i minnet, som en angripare inte ska kunna förutsäga, ge brottslingar den information de behöver för att förvandla en förmodligen misslyckad attack till en nästan säkert framgångsrik attack ett.
Bypass innebär att ett säkerhetsskydd som du vanligtvis förväntar dig för att hålla dig säker kan övergås. Skurkar utnyttjar vanligtvis förbikopplingssårbarheter för att lura dig att lita på fjärrinnehåll som e-postbilagor, till exempel genom att hitta ett sätt att undvika "innehållsvarningarna" eller för att kringgå upptäckten av skadlig programvara som är tänkt att hålla dig säker.
Parodi innebär att innehåll kan se mer pålitligt ut än vad det egentligen är. Till exempel, angripare som lockar dig till en falsk webbplats som dyker upp i din webbläsare med ett officiellt servernamn i adressfältet (eller vad som ser ut som adressfältet) är mycket sannolikt att lura dig att lämna över personlig information än om de är tvungna att lägga sitt falska innehåll på en webbplats som uppenbarligen inte är den du förväntar dig.
DoS betyder Denial of Service. Buggar som gör att nätverks- eller servertjänster tillfälligt kan slås offline anses ofta vara låggradiga brister, förutsatt att felet då inte tillåter angripare att bryta sig in, stjäla data eller komma åt något de inte borde. Men angripare som på ett tillförlitligt sätt kan ta ner delar av ditt nätverk kanske kan göra det om och om igen på ett samordnat sätt, till exempel genom att tajma in sina DoS-sonder så att de händer varje gång dina kraschade servrar startar om. Detta kan vara extremt störande, särskilt om du driver ett onlineföretag, och kan också användas som en distraktion för att dra uppmärksamheten bort från andra olagliga aktiviteter som skurkarna gör på ditt nätverk samtidigt.

Den stora bugglistan

Den 75 starka bugglistan är här, med de tre nolldagarna vi känner till markerade med en asterisk (*):

NIST ID Level Type Component affected
--------------- ----------- ------ ----------------------------------------
CVE-2023-21689: (Critical) RCE Windows Protected EAP (PEAP) CVE-2023-21690: (Critical) RCE Windows Protected EAP (PEAP) CVE-2023-21692: (Critical) RCE Windows Protected EAP (PEAP) CVE-2023-21716: (Critical) RCE Microsoft Office Word CVE-2023-21803: (Critical) RCE Windows iSCSI CVE-2023-21815: (Critical) RCE Visual Studio CVE-2023-23381: (Critical) RCE Visual Studio CVE-2023-21528: (Important) RCE SQL Server CVE-2023-21529: (Important) RCE Microsoft Exchange Server CVE-2023-21568: (Important) RCE SQL Server CVE-2023-21684: (Important) RCE Microsoft PostScript Printer Driver CVE-2023-21685: (Important) RCE Microsoft WDAC OLE DB provider for SQL CVE-2023-21686: (Important) RCE Microsoft WDAC OLE DB provider for SQL CVE-2023-21694: (Important) RCE Windows Fax and Scan Service CVE-2023-21695: (Important) RCE Windows Protected EAP (PEAP) CVE-2023-21703: (Important) RCE Azure Data Box Gateway CVE-2023-21704: (Important) RCE SQL Server CVE-2023-21705: (Important) RCE SQL Server CVE-2023-21706: (Important) RCE Microsoft Exchange Server CVE-2023-21707: (Important) RCE Microsoft Exchange Server CVE-2023-21710: (Important) RCE Microsoft Exchange Server CVE-2023-21713: (Important) RCE SQL Server CVE-2023-21718: (Important) RCE SQL Server CVE-2023-21778: (Important) RCE Microsoft Dynamics CVE-2023-21797: (Important) RCE Windows ODBC Driver CVE-2023-21798: (Important) RCE Windows ODBC Driver CVE-2023-21799: (Important) RCE Microsoft WDAC OLE DB provider for SQL CVE-2023-21801: (Important) RCE Microsoft PostScript Printer Driver CVE-2023-21802: (Important) RCE Microsoft Windows Codecs Library CVE-2023-21805: (Important) RCE Windows MSHTML Platform CVE-2023-21808: (Important) RCE .NET and Visual Studio CVE-2023-21820: (Important) RCE Windows Distributed File System (DFS) CVE-2023-21823: (Important) *RCE Microsoft Graphics Component
CVE-2023-23377: (Important) RCE 3D Builder CVE-2023-23378: (Important) RCE 3D Builder CVE-2023-23390: (Important) RCE 3D Builder CVE-2023-21566: (Important) EoP Visual Studio CVE-2023-21688: (Important) EoP Windows ALPC CVE-2023-21717: (Important) EoP Microsoft Office SharePoint CVE-2023-21777: (Important) EoP Azure App Service CVE-2023-21800: (Important) EoP Windows Installer CVE-2023-21804: (Important) EoP Microsoft Graphics Component CVE-2023-21812: (Important) EoP Windows Common Log File System Driver CVE-2023-21817: (Important) EoP Windows Kerberos CVE-2023-21822: (Important) EoP Windows Win32K CVE-2023-23376: (Important) *EoP Windows Common Log File System Driver CVE-2023-23379: (Important) EoP Microsoft Defender for IoT CVE-2023-21687: (Important) Leak Windows HTTP.sys CVE-2023-21691: (Important) Leak Windows Protected EAP (PEAP) CVE-2023-21693: (Important) Leak Microsoft PostScript Printer Driver CVE-2023-21697: (Important) Leak Internet Storage Name Service CVE-2023-21699: (Important) Leak Internet Storage Name Service CVE-2023-21714: (Important) Leak Microsoft Office CVE-2023-23382: (Important) Leak Azure Machine Learning CVE-2023-21715: (Important) *Bypass Microsoft Office Publisher CVE-2023-21809: (Important) Bypass Microsoft Defender for Endpoint CVE-2023-21564: (Important) Spoof Azure DevOps CVE-2023-21570: (Important) Spoof Microsoft Dynamics CVE-2023-21571: (Important) Spoof Microsoft Dynamics CVE-2023-21572: (Important) Spoof Microsoft Dynamics CVE-2023-21573: (Important) Spoof Microsoft Dynamics CVE-2023-21721: (Important) Spoof Microsoft Office OneNote CVE-2023-21806: (Important) Spoof Power BI CVE-2023-21807: (Important) Spoof Microsoft Dynamics CVE-2023-21567: (Important) DoS Visual Studio CVE-2023-21700: (Important) DoS Windows iSCSI CVE-2023-21701: (Important) DoS Windows Protected EAP (PEAP) CVE-2023-21702: (Important) DoS Windows iSCSI CVE-2023-21722: (Important) DoS .NET Framework CVE-2023-21811: (Important) DoS Windows iSCSI CVE-2023-21813: (Important) DoS Windows Cryptographic Services CVE-2023-21816: (Important) DoS Windows Active Directory CVE-2023-21818: (Important) DoS Windows SChannel CVE-2023-21819: (Important) DoS Windows Cryptographic Services CVE-2023-21553: (Unknown ) RCE Azure DevOps

Vad göra?

Affärsanvändare gillar att prioritera patchar, snarare än att göra dem alla på en gång och hoppas att inget går sönder; vi sätter därför Kritisk buggar på toppen, tillsammans med RCE-hålen, med tanke på att RCE:er vanligtvis används av skurkar för att få sitt första fotfäste.

I slutändan måste dock alla buggar korrigeras, speciellt nu när uppdateringarna är tillgängliga och angripare kan börja "arbeta baklänges" genom att försöka ta reda på ur patcharna vilken typ av hål som fanns innan uppdateringarna kom ut.

Reverse engineering Windows-korrigeringar kan vara tidskrävande, inte minst för att Windows är ett operativsystem med sluten källkod, men det är väldigt mycket lättare att ta reda på hur buggar fungerar och hur man kan utnyttja dem om du har en bra idé om var du ska börja letar och vad man ska leta efter.

Ju tidigare du kommer framåt (eller ju snabbare du kommer ikapp, i fallet med nolldagarshål, som är buggar som skurkarna hittade först), desto mindre sannolikt är det att du blir den som blir attackerad.

Så även om du inte lappar allt på en gång, kommer vi ändå att säga: Dröj inte/kom igång idag!

LÄS SOPHOSLABS ANALYS AV PATCH TISDAG FÖR MER INFORMATION