Microsoft Patch Tuesday: 36 помилок RCE, 3 нульових дня, 75 CVE

Microsoft Patch Tuesday: 36 помилок RCE, 3 нульових дня, 75 CVE

Мітка часу: 14 лютого 2023 5:12
Вихідний вузол: 1958890
by Пол Даклін

Офіційна розшифровка Microsoft Посібник з оновлення веб-сторінки не для слабкодухих.

Більшість інформації, яка вам потрібна, якщо не все, що вам дійсно хотілося б знати, є там, але існує така запаморочлива кількість способів її перегляду, і для її відображення потрібно стільки сторінок, які генеруються на льоту, що може бути складно дізнатися, що справді нового, а що справді важливо.

Чи слід шукати за платформами операційних систем, на які це впливає?

За ступенем тяжкості вразливості? За ймовірністю експлуатації?

Чи варто сортувати нульові дні вгору?

(Ми не думаємо, що ви можете – ми думаємо, що в списку цього місяця є три нульові дні, але нам довелося детально ознайомитися з окремими сторінками CVE і знайти текст «Виявлено використання» щоб переконатися, що певна помилка вже відома кіберзлочинцям.)

Що гірше EoP чи RCE?

Є Критичний Помилка підвищення привілеїв (EoP) викликає більше тривоги, ніж Важливий віддалене виконання коду (RCE)?

Перший тип помилки вимагає від кіберзлочинців проникнення спершу, але, ймовірно, дає їм можливість повністю взяти владу, зазвичай одержуючи еквівалент повноважень системного адміністратора або контролю на рівні операційної системи.

Другий тип помилки може залучити лише шахраїв із низькими привілеями доступу, якими володіє ваш маленький старенький, але все-таки вони потрапляють у мережу в першу чергу.

Звичайно, хоча всі інші можуть зітхнути з полегшенням, якщо зловмисник не зміг отримати доступ до їхніх речей, для вас це холодне втішення, якщо це ви той, хто зазнав нападу.

Ми нарахували 75 помилок із номером CVE, датованих 2023 лютого 02 року, враховуючи, що цьогорічні лютневі оновлення надійшли в День Святого Валентина.

(Насправді нам подобається 76, але ми проігнорували одну помилку, яка не мала оцінки серйозності, була позначена CVE-2019-15126, і, здається, зводиться до звіту про непідтримувані чіпи Wi-Fi Broadcom у пристроях Microsoft Hololens – якщо у вас є Hololens і ви маєте поради іншим читачам, повідомте нам про це в коментарях нижче.)

Ми роздобули список і включили його нижче, відсортувавши так, щоб помилки були дубльовані Критичний знаходяться вгорі (їх сім, усі помилки класу RCE).

Ви також можете прочитати SophosLabs аналіз Patch Tuesday для більш детальної інформації.

Пояснення класів помилок безпеки

Якщо ви не знайомі з наведеними нижче абревіатурами помилок, ось швидкий посібник щодо недоліків безпеки:

  • RCE означає віддалене виконання коду. Зловмисники, які зараз не ввійшли до вашого комп’ютера, можуть обманом змусити його запустити фрагмент програмного коду або навіть повномасштабну програму, ніби вони мають автентифікований доступ. Як правило, на настільних комп’ютерах або серверах злочинці використовують такий вид помилки, щоб імплантувати код, який дозволяє їм повертатися за бажанням у майбутньому, таким чином створюючи плацдарм, з якого можна почати атаку всієї мережі. На мобільних пристроях, таких як телефони, шахраї можуть використовувати помилки RCE, щоб залишити шпигунське програмне забезпечення, яке з того часу стежитиме за вами, тож їм не потрібно зламуватись знову й знову, щоб не зводити з вас злих очей.
  • EoP означає підвищення привілеїв. Як згадувалося вище, це означає, що шахраї можуть розширити свої права доступу, зазвичай отримуючи такі самі повноваження, якими зазвичай користується офіційний системний адміністратор або сам оператор. Отримавши повноваження на системному рівні, вони часто можуть вільно переміщатися у вашій мережі, викрадати захищені файли навіть із серверів із обмеженим доступом, створювати приховані облікові записи користувачів для повторного доступу пізніше або планувати всю вашу ІТ-сферу, готуючись до атака програм-вимагачів.
  • Витік означає, що пов’язані з безпекою або особисті дані можуть вийти з безпечного сховища. Іноді навіть начебто незначні витоки, як-от розташування певного коду операційної системи в пам’яті, який зловмисник не повинен передбачити, можуть дати злочинцям інформацію, необхідну для перетворення ймовірно невдалої атаки на майже напевно успішну один.
  • Обхід означає, що захист безпеки, який зазвичай очікує, що захистить вас, можна обійти. Шахраї зазвичай використовують уразливості обходу, щоб обманом змусити вас довіряти віддаленому вмісту, наприклад вкладенням електронної пошти, наприклад, знаходячи спосіб уникнути «попереджень щодо вмісту» або обійти виявлення зловмисного програмного забезпечення, яке має забезпечити вашу безпеку.
  • Обман означає, що контент можна зробити більш надійним, ніж він є насправді. Наприклад, зловмисники, які заманюють вас на підроблений веб-сайт, який відображається у вашому браузері з офіційною назвою сервера в адресному рядку (або щось схоже на адресний рядок), швидше за все, обманом змусять вас передати особисті дані, ніж якщо вони змушені розміщувати свій фальшивий вміст на сайті, який явно не є тим, якого ви очікуєте.
  • DoS означає відмову в обслуговуванні. Помилки, які дозволяють мережевим або серверним службам тимчасово перериватися в автономний режим, часто вважаються недоліками низького рівня, припускаючи, що помилка не дозволяє зловмисникам проникнути, викрасти дані або отримати доступ до того, що їм не слід. Але зловмисники, які можуть надійно знищувати частини вашої мережі, можуть робити це знову і знову скоординованим способом, наприклад, призначаючи свої DoS-зонди так, щоб вони відбувалися щоразу, коли ваші збійні сервери перезавантажуються. Це може бути надзвичайно руйнівним, особливо якщо ви ведете онлайн-бізнес, а також може використовуватися як відволікання, щоб відвернути увагу від інших незаконних дій, які шахраї роблять у вашій мережі одночасно.

Великий список помилок

Список із 75 помилок наведено тут, три нульові дні, про які ми знаємо, позначені зірочкою (*):

NIST ID Level Type Component affected
--------------- ----------- ------ ----------------------------------------
CVE-2023-21689: (Critical) RCE Windows Protected EAP (PEAP) CVE-2023-21690: (Critical) RCE Windows Protected EAP (PEAP) CVE-2023-21692: (Critical) RCE Windows Protected EAP (PEAP) CVE-2023-21716: (Critical) RCE Microsoft Office Word CVE-2023-21803: (Critical) RCE Windows iSCSI CVE-2023-21815: (Critical) RCE Visual Studio CVE-2023-23381: (Critical) RCE Visual Studio CVE-2023-21528: (Important) RCE SQL Server CVE-2023-21529: (Important) RCE Microsoft Exchange Server CVE-2023-21568: (Important) RCE SQL Server CVE-2023-21684: (Important) RCE Microsoft PostScript Printer Driver CVE-2023-21685: (Important) RCE Microsoft WDAC OLE DB provider for SQL CVE-2023-21686: (Important) RCE Microsoft WDAC OLE DB provider for SQL CVE-2023-21694: (Important) RCE Windows Fax and Scan Service CVE-2023-21695: (Important) RCE Windows Protected EAP (PEAP) CVE-2023-21703: (Important) RCE Azure Data Box Gateway CVE-2023-21704: (Important) RCE SQL Server CVE-2023-21705: (Important) RCE SQL Server CVE-2023-21706: (Important) RCE Microsoft Exchange Server CVE-2023-21707: (Important) RCE Microsoft Exchange Server CVE-2023-21710: (Important) RCE Microsoft Exchange Server CVE-2023-21713: (Important) RCE SQL Server CVE-2023-21718: (Important) RCE SQL Server CVE-2023-21778: (Important) RCE Microsoft Dynamics CVE-2023-21797: (Important) RCE Windows ODBC Driver CVE-2023-21798: (Important) RCE Windows ODBC Driver CVE-2023-21799: (Important) RCE Microsoft WDAC OLE DB provider for SQL CVE-2023-21801: (Important) RCE Microsoft PostScript Printer Driver CVE-2023-21802: (Important) RCE Microsoft Windows Codecs Library CVE-2023-21805: (Important) RCE Windows MSHTML Platform CVE-2023-21808: (Important) RCE .NET and Visual Studio CVE-2023-21820: (Important) RCE Windows Distributed File System (DFS) CVE-2023-21823: (Important) *RCE Microsoft Graphics Component
CVE-2023-23377: (Important) RCE 3D Builder CVE-2023-23378: (Important) RCE 3D Builder CVE-2023-23390: (Important) RCE 3D Builder CVE-2023-21566: (Important) EoP Visual Studio CVE-2023-21688: (Important) EoP Windows ALPC CVE-2023-21717: (Important) EoP Microsoft Office SharePoint CVE-2023-21777: (Important) EoP Azure App Service CVE-2023-21800: (Important) EoP Windows Installer CVE-2023-21804: (Important) EoP Microsoft Graphics Component CVE-2023-21812: (Important) EoP Windows Common Log File System Driver CVE-2023-21817: (Important) EoP Windows Kerberos CVE-2023-21822: (Important) EoP Windows Win32K CVE-2023-23376: (Important) *EoP Windows Common Log File System Driver CVE-2023-23379: (Important) EoP Microsoft Defender for IoT CVE-2023-21687: (Important) Leak Windows HTTP.sys CVE-2023-21691: (Important) Leak Windows Protected EAP (PEAP) CVE-2023-21693: (Important) Leak Microsoft PostScript Printer Driver CVE-2023-21697: (Important) Leak Internet Storage Name Service CVE-2023-21699: (Important) Leak Internet Storage Name Service CVE-2023-21714: (Important) Leak Microsoft Office CVE-2023-23382: (Important) Leak Azure Machine Learning CVE-2023-21715: (Important) *Bypass Microsoft Office Publisher CVE-2023-21809: (Important) Bypass Microsoft Defender for Endpoint CVE-2023-21564: (Important) Spoof Azure DevOps CVE-2023-21570: (Important) Spoof Microsoft Dynamics CVE-2023-21571: (Important) Spoof Microsoft Dynamics CVE-2023-21572: (Important) Spoof Microsoft Dynamics CVE-2023-21573: (Important) Spoof Microsoft Dynamics CVE-2023-21721: (Important) Spoof Microsoft Office OneNote CVE-2023-21806: (Important) Spoof Power BI CVE-2023-21807: (Important) Spoof Microsoft Dynamics CVE-2023-21567: (Important) DoS Visual Studio CVE-2023-21700: (Important) DoS Windows iSCSI CVE-2023-21701: (Important) DoS Windows Protected EAP (PEAP) CVE-2023-21702: (Important) DoS Windows iSCSI CVE-2023-21722: (Important) DoS .NET Framework CVE-2023-21811: (Important) DoS Windows iSCSI CVE-2023-21813: (Important) DoS Windows Cryptographic Services CVE-2023-21816: (Important) DoS Windows Active Directory CVE-2023-21818: (Important) DoS Windows SChannel CVE-2023-21819: (Important) DoS Windows Cryptographic Services CVE-2023-21553: (Unknown ) RCE Azure DevOps

Що ж робити?

Бізнес-користувачі люблять визначати пріоритетність виправлень, а не робити їх усі одночасно та сподіватися, що нічого не поламається; тому ми ставимо Критичний помилки у верхній частині разом із дірками RCE, враховуючи, що RCE зазвичай використовуються шахраями, щоб отримати початкову точку опори.

Однак, зрештою, усі помилки потрібно виправляти, особливо тепер, коли доступні оновлення, і зловмисники можуть почати «працювати в зворотному напрямку», намагаючись з’ясувати з патчів, які діри існували до виходу оновлень.

Зворотне проектування патчів Windows може зайняти багато часу, не в останню чергу тому, що Windows є операційною системою із закритим вихідним кодом, але набагато легше зрозуміти, як працюють помилки та як їх використовувати, якщо ви добре знаєте, з чого почати дивлячись, і що шукати.

Чим швидше ви випередите (або чим швидше ви наздоженете, у випадку дірок нульового дня, які є помилками, які першими знайшли шахраї), тим менша ймовірність того, що вас атакуватимуть.

Тож навіть якщо ви не виправите все одразу, ми все одно скажемо: Не зволікайте/Почніть вже сьогодні!

ДЛЯ ДОКЛАДНІШИХ ДЕТАЛЕЙ ПРОЧИТАЙТЕ АНАЛІЗ ВИПРАВЛЕННЯ SOPHOSLABS У ВІВТОРОК

Часова мітка:

Більше від Гола безпека