Windows Update: kwietniowe poprawki dostępne do pobrania

Nadszedł kolejny Łatkowy Wtorek, więc Microsoft przygotował zbiór aktualizacji do Windowsa - tym razem poprawiających luki w mniej znanych i nieco zapomnianych zakamarkach, jak podsystemy MSMQ i XPS w Windows.

Największa zbieranina poważnych problemów znajduje się, ponownie, w mechanizmie wydruku. Ostatnie lata dowiodły, że systemowy SPOOLER, silnik kolejkowania wydruków, oraz zarządzanie urządzeniami udostępnionymi nie uległy usprawnieniom, budując na bardzo starej i niezbyt bezpiecznej podstawie sprzed lat. W rezultacie, kwietniowy pakiet poprawek obfituje w zbiór wpisów zatytułowanych "Microsoft PostScript and PCL6 Class Printer Driver Remote Code Execution Vulnerability".

Podatność ta pozwala na zdalne wykonanie kodu - odpowiednio spreparowany dokument posłany na udostępnioną drukarkę sieciową pozwala wykonać kod na komputerze udostępniającym. Zasób jest oferowany przez komputer, a nie przez użytkownika, więc prawa, na jakich wykonywany jest zdalny kod, to prawa administracyjne. Wbrew nazwie, problem dotyczy formatu XPS - to jego tłumaczenie na PostScript jest wadliwe.

XPS jest obecnie składnikiem opcjonalnym (format nie przyjął się). Podobnie jest, choć z innych powodów, z usługą MSMQ (Message Queue). Odkryto w niej dwie dziury, opisywane notatkami CVE-2023-28250 i CVE-2023-21554, które pozwalają na zdalne wykonanie kodu na prawach systemu wskutek wysłania odpowiednio spreparowanego pakietu. Usługa MSMQ nie jest często używana. Nie cieszy się także popularnością wśród włamywaczy, ale relatywny brak zainteresowania nią może oznaczać, że kryje się w niej wiele innych, nieodkrytych jeszcze problemów.

Dalsza część artykułu pod materiałem wideo

Pozostałe problemy są zdecydowanie bardziej "klasyczne". Wraca na przykład przewlekły problem z RPC, podstawowym mechanizmem komunikacji międzyprocesowej, który ponownie pozwala na wykonanie kodu na prawach usługi w rezultacie otrzymania zniekształconego żądania (CVE-2023-21727). Windows ma paskudny zwyczaj udostępniania usług RPC na wielu interfejsach (a loopback w NT to skomplikowane zagadnienie) i choć w wielu przypadkach problem rozwiązuje systemowa zapora, bagaż zgodności z przeszłością może czynić tę ochronę niekompletną.

Naprawionych problemów jest oczywiście więcej. Wiele z nich dotyczy Windowsa (acz są mniej poważne i dotyczą "tylko" lokalnego podniesienia uprawnień), niektóre wyłącznie wersji serwerowej (jak DHCP, CVE-2023-28231), a kilka z nich to dziury w pakiecie Office (CVE-2023-28311, CVE-2023-28287, CVE-2023-28295). Te ostatnie wcale nie są "zdalne", ale według opisu są poważne: wystarczy otworzyć plik, by wykonać złośliwy kod. Nie jest jasne, czy chroni przed tym Tryb Odczytu dla niezaufanych plików.

Poprawki są dostępne w Windows Update i jest możliwe pobranie ich ręcznie przez Wykaz (Update Catalog). Dla najnowszej wersji Windows 11 aktualizacja waży 402MB, dla Windows 10 jest to 698MB, a dla Windows Server - 321MB. Najstarszy Windows, który otrzymał poprawkę, to Windows Server 2008 (oparty o Vistę), dla którego poprawka zajmuje już tylko 213MB.