Windows do aktualizacji. Wydano pierwsze poprawki w 2024 roku

Microsoft wydał styczniowe biuletyny zabezpieczeń dla wszystkich obsługiwanych systemów. Tym razem najważniejsze aktualizacje dotyczą .NET Framework, ale nie zabrakło kilku przebojów, jak ucieczka z Hyper-V lub ominięcie HVCI i BitLockera.

Błąd dotyczący wielu wersji Visual Studio, .NET Framework i nowych wersji .NET 6, 7 i 8 to CVE-2024-0057. Stosując złożony zbiór błędnych żądań X.509 da się skłonić stos obsługi certyfikatów do niepoprawnego zgłoszenia łańcucha zaufania (trust chain). Dziura jest trudna do wykorzystania i według Microsoftu nie jest jeszcze wykorzystywana. Drugi problem w .NET dotyczy obsługi SQL Server (sterownika ODBC), więc zdecydowanie nie jest scenariuszem konsumenckim.

Załatano jednak także problemy z samym Windowsem. Ich lista zaczyna się od błędnego działania Kerberosa (CVE-2024-20674), jak zwykle są też problemy z Win32k (CVE-2024-20683) i silniku Internet Explorera (CVE-2024-20652). Trwa też maraton znajdowania dziur w MSMQ. Nie są szczególnie interesujące podatności. Technicznie najciekawsze są te "wycenione" dość nisko (poniżej CVSS 6), ale dotyczące newralgicznych mechanizmów.

Na przykład Hyper-V i wirtualizacji. Nieopisane szerzej dziury w obsłudze dysków wirtualnych (CVE-2024-20658), a także denial-of-service (CVE-2024-20699) oraz podniesienie uprawnień i zdalne wykonanie kodu z maszyny wirtualnej (CVE-2024-20700) to podatności poprawione w Hyper-V styczniowym pakietem poprawek.

Dalsza część artykułu pod materiałem wideo

Następny ciekawy przypadek to WSL i podatność umożliwiająca zdobycie uprawnień użytkownika SYSTEM. Jako, że jest to WSL, wektor ataku jest lokalny, więc mimo wysokich uprawnień, ocena CVSS to 7.8. Ponadto, składnik WSL domyślnie nie jest włączony.

Nieco zabawne jest także to, że tak szybko po zintegrowaniu z Windows obsługi RAR już trzeba ją łatać i poprawiać. Dwie podatności w libarchive (CVE-2024-20696) umożliwiają wykonanie kodu podczas dekompresji archiwum. Kolejny raz Microsoft opisuje taki problem jako "zdalne wykonanie kodu" (RCE), mimo że wektor ataku jest lokalny. Motywacją przytaczaną przez firmę jest fakt, że złośliwe archiwum musi pochodzić z zewnątrz. Framework CVSS nie zezwala na takie manipulacje, więc dziura jest w nim już poprawnie opisana jako lokalna.

Dziura CVE-2024-21305 dotyczy obejścia kontroli integralności kodu opartej o wirtualizację (HVCI). Problem jest dość teoretyczny: wymaga uruchomienia kodu jako administrator, wykorzystującego dziurę w podpisanym sterowniku, pozwala dostać się do obszaru chronionego przez HVCI.

Mniej teoretyczna jest dziura w BitLockerze. Fizyczny dostęp do urządzenia pozwala obejść BitLockera poprzez nadużycie środowiska odzyskiwania Windows (WinRE). Obraz WIM WinRE był przez wiele lat niemożliwy do automatycznej aktualizacji. Obecnie uległo to już zmianie - ale tylko w najnowszym Windows 10, 11 i Server 2022. Z względu jednak na feerię problemów z BitLockerem i UEFI, wskazane jest, by w BitLockerze stosować kombinację PIN+TPM.

Poprawka dla Windows 11 waży 638MB, dla Windows 10 jest to 798MB. Z kolei dla Windows Server 2008 jest to ostatnia aktualizacja i zajmuje tylko 226MB. Wszystkie są dostępne w Windows Update.