Windows dostał aktualizację. Lutowe poprawki do systemów i serwerów

Wydano lutowy pakiet aktualizacji bezpieczeństwa. Tym razem na szczycie listy priorytetowych poprawek znalazł się nie Windows, a serwer Exchange. Poza nowościami, na liście nie zabrakło stałych bywalców.

Skomplikowana podatność w serwerze pocztowym Exchange jest możliwa do wykorzystania za pomocą innych produktów Microsoftu, korzystających z dawnych rozwiązań obsługiwanych dla zgodności. Chodzi o złośliwe wykorzystanie klienta Outlook uwierzytelniającego się za pomocą NTLM.

Serwer Exchange już jakiś czas temu wzbogacił się o dodatkowe zabezpieczenia dla uwierzytelnień NTLM, domyślnie są jednak wyłączone. Microsoft próbuje usuwać stare i niebezpieczne mechanizmy, ale wciąż polega na nich zbyt wiele firm.

Drugim najpoważniejszym problemem jest dziura w pakiecie Office. Według opisu, także ona dotyczy NTLM, ale w praktyce chodzi zapewne po prostu o zdalne wykonanie kodu. Jakość notatek technicznych MSRC w dalszym ciągu pozostaje niska, więc nie można liczyć na więcej szczegółów. Podobnie, zaklasyfikowanie problemu jako "zdalne wykonanie kodu" jest lekkim nadużyciem.

Dalsza część artykułu pod materiałem wideo

W kwestii Windows, głównym bohaterem lutowych aktualizacji jest OLE DB i jego dziurawy konektor SQL. Dziury w składniku Windows Data Access Components (do którego należy OLE DB i sterowniki ODBC) były już łatane w wielu poprzednich zestawach aktualizacji, nigdy nie było ich aż tak dużo. Tym razem liczba dziur w obsłudze łączności z serwerami SQL idzie w tuziny:

• CVE-2024-21353,
• CVE-2024-21352,
• CVE-2024-21350,
• CVE-2024-21391,
• CVE-2024-21372,
• CVE-2024-21369,
• CVE-2024-21367,
• CVE-2024-21361,
• CVE-2024-21360,
• CVE-2024-21359,
• CVE-2024-21358,
• CVE-2024-21375,
• CVE-2024-21370,
• CVE-2024-21368,
• CVE-2024-21366,
• CVE-2024-21365,
• CVE-2024-21420.

Dalsze poprawki są już bardzo typowe. Ponownie poprawiany jest MSMQ, jest kilka lokalnych problemów z Win32k, a także SmartScreen - niemożliwy najwyraźniej do naprawienia. Wciąż pojawiają się kolejne sposoby na obejście tej prostej, małej i niemal już dwudziestoletniej funkcji. Detale nie są jednak jeszcze bliżej znane.

Interesującą cechą lutowego pakietu poprawek jest obecność aktualizacji dla systemu Windows Server 2008, którego wsparcie zakończono oficjalnie w zeszłym miesiącu. Ogłoszenie na temat styczniowego końca wsparcia jest obecne również w dokumencie ogłaszającym wydanie... lutowych aktualizacji.

Poprawki zostaną pobrane automatycznie przez Windows Update. Dla najstarszego obsługiwanego systemu (Windows Server 2008) ważą one 227 MB, dla najnowszego (Windows 11 23H2) jest to 648 MB, a najcięższy zestaw otrzyma Windows Server 2016, gdzie będzie to aż 1,6 GB.