Za nami ostatni Łatkowy Wtorek roku 2021. W kwestii systemu Windows, był on wyczekiwany głównie ze względu na rozwiązanie podatności umożliwiającej podszywanie się pod podpisane aplikacje APPX, co było wykorzystywane przez wirusy, jak najnowsza inkarnacja trojana Emotet. Ale miniony Patch Tuesday jest ważny także z innych powodów.
Pomijając zwyczajową garść tych samych problemów w tych samych miejscach, sensownym jest skupić się wyłącznie na tych podatnościach, które są osiągalne przez sieć. Dwa pierwsze, czyli CVE-2021-43217 oraz CVE-2021-43893 to błędy w EFS, szyfrowanym rozszerzeniu systemu plików EFS. Błędy pozwalają na podniesienie uprawnień i są trudne w wykorzystaniu. Nic dziwnego: trudny w wykorzystaniu jest też sam EFS.
EFS
Składnik EFS jest diabelsko skomplikowany. Swoją złożonością przebija szereg alternatyw dostarczających zbliżoną funkcjonalność, a jego główna cecha, czyli integracja z Active Directory i Usługami Certyfikatów, dziś traci na znaczeniu.
Błąd w EFS dotyczy wszystkich wersji Windows od 2008, ale jeżeli coś znajduje się w systemie tak długo, prawdopodobnie jest tam od początku. W przypadku EFS byłby to Windows 2000. Notatka dołączona do aktualizacji informuje o tym, że naprawa będzie wieloetapowa, co oznacza konieczność fundamentalnej przebudowy implementacji EFS. A więc problem leży u podstaw. Niestety, Windows 2000 powstawał w bólach.
iSNS
Wśród luk sieciowych znajduje się także mało spektakularny błąd w opcjonalnej, otwartej bibliotece SymCrypt, dołączonej do nowszych wersji Windows, ale próżno szukać tu ciekawych informacji. O wiele bardziej interesująca jest dziura w serwerze iSNS, narzędziu do kolejkowania dostępów do magazynów iSCSI. Wykryta przez Chińczyków podatność została wyceniona na 9.8, a więc jest bardzo poważna.
Ponownie dotyczy ona także najstarszych obsługiwanych wersji Windows, ale jest stosowana głównie na serwerach (tak jak EFS). Zatem łatkę otrzymuje także Windows 10 i 11, choć to serwery powinny zostać załatane. Wdrożenia Windows Server często nie zawierają iSCSI, więc serwer iSNS jest wyłączony w systemie. Co ciekawe, w Windows Server 2022 uznano go za zbyt nietypowy mechanizm, wskutek czego został usunięty.
Aktualizacje są gotowe w Windows Update i oczywiście warto je zainstalować od razu. Niemniej, z perspektywy konsumenckiego bezpieczeństwa, najciekawsza wydaje się aktualizacja obsługi APPX. Ta z kolei jest dystrybuowana przez Sklep.
