Przejdź na

Windows do aktualizacji. Wydano pierwsze poprawki w 2024 roku

Microsoft wydał styczniowe biuletyny zabezpieczeń dla wszystkich obsługiwanych systemów. Tym razem najważniejsze aktualizacje dotyczą .NET Framework, ale nie zabrakło kilku przebojów, jak ucieczka z Hyper-V lub ominięcie HVCI i BitLockera.

Windows Update w styczniu 2024Windows Update w styczniu 2024
Źródło zdjęć: © Licencjodawca | Kamil Dudek
Kamil J. Dudek
Kamil J. Dudek

Błąd dotyczący wielu wersji Visual Studio, .NET Framework i nowych wersji .NET 6, 7 i 8 to CVE-2024-0057. Stosując złożony zbiór błędnych żądań X.509 da się skłonić stos obsługi certyfikatów do niepoprawnego zgłoszenia łańcucha zaufania (trust chain). Dziura jest trudna do wykorzystania i według Microsoftu nie jest jeszcze wykorzystywana. Drugi problem w .NET dotyczy obsługi SQL Server (sterownika ODBC), więc zdecydowanie nie jest scenariuszem konsumenckim.

Załatano jednak także problemy z samym Windowsem. Ich lista zaczyna się od błędnego działania Kerberosa (CVE-2024-20674), jak zwykle są też problemy z Win32k (CVE-2024-20683) i silniku Internet Explorera (CVE-2024-20652). Trwa też maraton znajdowania dziur w MSMQ. Nie są szczególnie interesujące podatności. Technicznie najciekawsze są te "wycenione" dość nisko (poniżej CVSS 6), ale dotyczące newralgicznych mechanizmów.

Windows 11 i czerwcowe poprawki. MSMQ i tajemnicze CTF
Windows 11 i czerwcowe poprawki. MSMQ i tajemnicze CTF

Hyper-V

Na przykład Hyper-V i wirtualizacji. Nieopisane szerzej dziury w obsłudze dysków wirtualnych (CVE-2024-20658), a także denial-of-service (CVE-2024-20699) oraz podniesienie uprawnień i zdalne wykonanie kodu z maszyny wirtualnej (CVE-2024-20700) to podatności poprawione w Hyper-V styczniowym pakietem poprawek.

Dalsza część artykułu pod materiałem wideo

Następny ciekawy przypadek to WSL i podatność umożliwiająca zdobycie uprawnień użytkownika SYSTEM. Jako, że jest to WSL, wektor ataku jest lokalny, więc mimo wysokich uprawnień, ocena CVSS to 7.8. Ponadto, składnik WSL domyślnie nie jest włączony.

libarchive

Nieco zabawne jest także to, że tak szybko po zintegrowaniu z Windows obsługi RAR już trzeba ją łatać i poprawiać. Dwie podatności w libarchive (CVE-2024-20696) umożliwiają wykonanie kodu podczas dekompresji archiwum. Kolejny raz Microsoft opisuje taki problem jako "zdalne wykonanie kodu" (RCE), mimo że wektor ataku jest lokalny. Motywacją przytaczaną przez firmę jest fakt, że złośliwe archiwum musi pochodzić z zewnątrz. Framework CVSS nie zezwala na takie manipulacje, więc dziura jest w nim już poprawnie opisana jako lokalna.

Windows 11 obsłuży RAR dzięki libarchive - oto szczegóły
Windows 11 obsłuży RAR dzięki libarchive - oto szczegóły

HVCI

Dziura CVE-2024-21305 dotyczy obejścia kontroli integralności kodu opartej o wirtualizację (HVCI). Problem jest dość teoretyczny: wymaga uruchomienia kodu jako administrator, wykorzystującego dziurę w podpisanym sterowniku, pozwala dostać się do obszaru chronionego przez HVCI.

Mniej teoretyczna jest dziura w BitLockerze. Fizyczny dostęp do urządzenia pozwala obejść BitLockera poprzez nadużycie środowiska odzyskiwania Windows (WinRE). Obraz WIM WinRE był przez wiele lat niemożliwy do automatycznej aktualizacji. Obecnie uległo to już zmianie - ale tylko w najnowszym Windows 10, 11 i Server 2022. Z względu jednak na feerię problemów z BitLockerem i UEFI, wskazane jest, by w BitLockerze stosować kombinację PIN+TPM.

Windows Update: majowe aktualizacje. Zmiany w Secure Boot
Windows Update: majowe aktualizacje. Zmiany w Secure Boot

Poprawka dla Windows 11 waży 638MB, dla Windows 10 jest to 798MB. Z kolei dla Windows Server 2008 jest to ostatnia aktualizacja i zajmuje tylko 226MB. Wszystkie są dostępne w Windows Update.

Kamil J. Dudek, współpracownik redakcji dobreprogramy.pl

Wybrane dla Ciebie
Zakazy social mediów dla nastolatków. Eksperci widzą problem
Zakazy social mediów dla nastolatków. Eksperci widzą problem
Zagrożenia w sieci. Na nie narażone są dzieci
Zagrożenia w sieci. Na nie narażone są dzieci
Sextortion: na czym polega internetowy szantaż?
Sextortion: na czym polega internetowy szantaż?
Koniec dominacji USA w Europie? Francja porzuca Windowsa
Koniec dominacji USA w Europie? Francja porzuca Windowsa
Ministerstwo Cyfryzacji zachwala mSzyfr. Nowy, bezpieczny komunikator
Ministerstwo Cyfryzacji zachwala mSzyfr. Nowy, bezpieczny komunikator
Zapłacą 99 mln dol. Pozwolą naprawić ciągniki bez oficjalnego serwisu
Zapłacą 99 mln dol. Pozwolą naprawić ciągniki bez oficjalnego serwisu
Komunikat Pekao S.A. Dotyczy wszystkich klientów
Komunikat Pekao S.A. Dotyczy wszystkich klientów
Copilot znika. Microsoft wycofuje się z agresywnej promocji
Copilot znika. Microsoft wycofuje się z agresywnej promocji
Santander Bank Polska zmienia nazwę. Będzie nowy adres WWW
Santander Bank Polska zmienia nazwę. Będzie nowy adres WWW
Masz mObywatela? Niektóre funkcje będą niedostępne
Masz mObywatela? Niektóre funkcje będą niedostępne
Awaria w Alior Banku. Nie działa aplikacja (aktualizaja)
Awaria w Alior Banku. Nie działa aplikacja (aktualizaja)
Ostrzeżenie CERT Orange. "Karta SIM wymaga aktualizacji"
Ostrzeżenie CERT Orange. "Karta SIM wymaga aktualizacji"
ZACZEKAJ! ZOBACZ, CO TERAZ JEST NA TOPIE 🔥