Aktualizacje zabezpieczeń w Windowsie. Szereg zmian w systemie
Microsoft wydał listopadowe aktualizacje zabezpieczeń. Tym razem są to w większości poprawki do różnych wersji programu SQL Server, ale nie zabrakło też kilkunastu łatek do Windowsa. Głównie dla systemowych usług telefonii.
Poza tuzinami aktualizacji dla pakietów Microsoft SQL Server 2016, 2017, 2019 i 2022, łatającymi wysyp dawno już niewidzianych podatności w serwerze bazy danych z Redmond, wśród listopadowych aktualizacji znajdziemy także inny motyw przewodni. Są to poprawki dla usług telefonii i związanego z nimi środowiska programowania (TAPI). Choć opis usług telefonii Windows informuje, że dostarczają one w Windows obsługę VoIP, nie są one dziś potrzebne żadnym komunikatorom. TAPI obsługuje także PSTN i ISDN, więc dość wiekowe rozwiązania.
TAPI
Dokumentacja TAPI jest tak stara, że posługuje się diagramami stworzonymi w Paint'cie, na których dawno przestały działać już hiperłącza (choć tekst powołuje się na nie). Szansa na to, że na naszym komputerze są uruchomione usługi TAPI jest niska, ale da się to sprawdzić poleceniem:
Get-Service TapiSrv | Select-Object -Property Name,DisplayName,StartupType,Status | Format-List Najprawdopodobniej usługa jest zatrzymana. Wykryte podatności są możliwe do wykorzystania, gdy system wzbudzi tę usługę i skłoni do połączenia ze złośliwym serwerem (co wymaga spełnienia pewnych warunków wstępnych). Możemy uodpornić się na ten mało prawdopodobny scenariusz, całkowicie wyłączając usługi TAPI, jeżeli nie są uruchomione. Osiągniemy to poleceniem:
Set-Service -ServiceName TapiSrv -StartupType Disabled Dalsza część artykułu pod materiałem wideo
Windows Server
Najważniejszą łataną dziurą jest błąd w implementacji Kerberos (CVE-2024-43639), pozwalający na ominięcie uwierzytelniania poprzez wysłanie zniekształconego żądania. Błąd jest możliwy do wykorzystania w systemach, które biorą udział w zestawianiu logowania Kerberos, a więc dotyczy tylko wariantu Windows Server. Podobnie jest z dziurą w ADCS (CVE-2024-49019) oraz SMB (CVE-2024-43447). Takze dotyczy tylko serwerów, a ta druga - tylko jednej wersji (2022).
Harmonogram
Nieco bliższe zwykłemu użytkownikowi będą podatności w obsłudze obiektów Harmonogramu Zadań (CVE-2024-49039), w którym możliwe jest takie zdefiniowanie zadania, które pozwoli złośliwej aplikacji zdobyć wyższe przywileje. Konieczne jest zatem uruchomienie dwóch złośliwych programów: pierwszego, który definiuje zadanie i drugiego, uruchamianego przez nie. Mimo lokalnego charakteru podatności, została ona wyceniona wysoko (8.8 CVSS), ze względu na możliwość rozszerzenia uprawnień i wykonywania formalnie niedostępnych wywołań RPC.
Hyper-V
Wysoko wycenione są też dwie podatności pozwalające na ucieczkę z Hyper-V (CVE-2024-43624), za pomocą żądań plikowych - ale tylko, gdy dysk wirtualny gościa jest zasobem udostępnionym. Problem dotyczy tylko wersji 1809 i nowszych. Wcześniej, dziurawa funkcjonalność nie była dostępna. Dziura w Hyper-V VMSwitch jest jeszcze bardziej "wybredna": dotyczy tylko wersji 2022 i nowszych. Hyper-V domyślnie nie jest włączone w systemie.
Pozostałe poprawki dotyczą lokalnych ataków. A zatem choć załatano w tym miesiącu setki dziur, więszkość z nich nie jest "pilna" w scenariuszu konsumenckim. Są też inne dobre wieści: Microsoft przestał oznaczać lokalne dziury jako możliwe do zdalnego wykorzystania. Zaprzestano więc (przynajmniej dla pakietu Office) praktyki polegającej na zakładaniu "atak jest zdalny, bo wirusa pobiera się z internetu". Notatki MSRC wciąż jednak pozostają dość lakoniczne.
