Windows po aktualizacji z grudnia: PowerShell, .NET i SmartScreen
Microsoft wydał ostatni w roku 2022 pakiet aktualizacji zabezpieczeń. Przewodnik MSRC na grudzień zawiera 1189 wpisów. Nie ma wśród nich raczej niczego pilnego dla użytkowników indywidualnych. Oberwały raczej serwery. Łatki są już w Windows Update.
Na samej górze pod względem pilności znajduje się bliżej nieopisana dziura w środowisku .NET Framework (CVE-2022-41089). Problem dotyczy nie tylko linii 3.5 i 4.8, ale także .NET Core, również w świeżej wersji 7.0. Samodzielnie, dotnet nie jest wyprowadzony do sieci i nie słucha - kłopoty zaczynają się, gdy pracuje jakiś program-serwer korzystający z tego środowiska. Domyślna konfiguracja jest jednak bezpieczna.
WinRM i RAS
Zaraz po frameworku .NET, na liście znalazł się dość rzadki obecny tam składnik, czyli PowerShell (CVE-2022-41076). Skomplikowany atak wymagający wykonania czynności wstępnych i posiadania przynajmniej podstawowych poświadczeń pozwala wyskoczyć z PSRemote (WinRM) i wykonać host poza sesją, czyli z potencjalnie wyższymi uprawnieniami. Co ciekawe, ponownie problem dotyczy zarówno wbudowanego PowerShella, jak i najnowszej, otwartej wersji 7.3. Aktualizacja dla Windows Server 2008 wskazuje że problem istnieje co najmniej od wersji 3.0.
Kolejne dziury znajdują się już w znacznie powszechniejszych (i tradycyjnie niebezpiecznych) elementach, jak SSTP i usługi serwera zdalnego dostępu (RAS). Podatności CVE-2022-44676 i CVE-2022-44670 umożliwiają zdalne wykonanie kodu na prawach serwera wskutek wysłania spreparowanego, nieuwierzytelnionego żądania do serwera RAS. Składnik ten jest charakterystyczny dla serwerów i bram, ale jest obecny także w wersjach klienckich. Dlatego aktualizacje dostały wszystkie obsługiwane Windowsy. To oznacza dziurę o co najmniej piętnastoletnim rodowodzie.
Dalsza część artykułu pod materiałem wideo
20 lat serwisu dobreprogramy - relacja z Fabryki Norblina
Dalej po staremu
Niżej napotkamy już "tylko" lokalne, często interaktywne, podatności pozwalające na podniesienie uprawnień i choć jest ich bardzo dużo, są w swej charakterystyce bardzo przeciętne. Jedną z nielicznych ciekawostek jest kolejna poprawka do filtru SmartScreen, łatająca kolejny sposób na ominięcie alertów dotyczących pobierania plików z internetu. Pozwala to na pełną automatyzację złośliwych operacji. Temat bezpieczeństwa SmartScreen bada Will Dormann, który na swoim Twitterze dzieli się wieloma odkryciami podważającymi skuteczność tej funkcji.
Aktualizacje są już dostępne do pobrania. Dla najnowszego Windows 11 jest to jedynie 55 MB, ale dla Windows 10 jest to już 711 MB (mowa o wersjach 22H2). Najwięcej waży poprawka do Windows Server 2016 i Windows 10 2016 LTSB: aż 1560,3 MB! Ponieważ poprawki są kumulatywne, każda wersja Windowsa z czasem otrzymuje coraz cięższy pakiet comiesięczny. Minie jednak sporo czasu, zanim Jedenastka przebije gigabajt. Na szczęście.
Kamil J. Dudek, współpracownik redakcji dobreprogramy.pl