Windows Update: majowe aktualizacje. Zmiany w Secure Boot

Za nami kolejny Łatkowy Wtorek i aktualizacje do produktów Microsoftu. Ponownie krytyczne aktualizacje otrzymują wszystkie obsługiwane wersje Windows, ale najpoważniejsze błędy dotyczą rzadko używanych składników... poza Secure Boot.

Przewidywania z zeszłego miesiąca okazały się słuszne. Odkryte ostatnio dziury w MSMQ były początkiem trendu, co oznacza że mechanizm Microsoft Message Queuing będzie przez pewien czas źródłem nowych podatności, choć przez długi czas znajdował się poza obszarem zainteresowań twórców malware'u. Poprawka dziury CVE-2023-24943 dotyczy serwera PGM pracującego jako składnik MSMQ, który jest komponentem opcjonalnym. Stanowi zagrożenie tylko wtedy, gdy jest włączony, co ma miejsce tylko w dość specyficznych okolicznościach.

Druga największa podatność, CVE-2023-24941, również dotyczy serwerowego składnika opcjonalnego, używanego raczej w skomplikowanych sieciach: NFS. Microsoftowa implementacja NFS w wersji 4.1 (tak, Windows to obsługuje!) jest wadliwa i umożliwia zdalne wykonanie kodu poprzez odpowiednio przygotowane, niepoprawne żądanie NFS. Alternatywą dla instalacji poprawki jest wyłączenie obsługi wersji 4.x w stosie NFS. Obsługa tego protokołu jest jednak również opcjonalna. W odróżnieniu od MSMQ, serwer NFS jest dostępny tylko w wydaniach serwerowych Windows.

Dopiero dalsze w kolejności dziury, wycenione w CVSS poniżej 9.0, stanowią zagrożenie dla typowych użytkowników. Pierwsza z nich to podatność w obsłudze Bluetooth. Skomplikowany, fizyczny atak na system nasłuchujący połączeń BT może prowadzić do zdalnego wykonania kodu. Jeszcze niżej na liście jest CVE-2023-24903, czyli dziura w "dźwigającym" VPN składniku SSTP. Zaraz po niej znajdziemy "sieciową" dziurę w OLE, ale składniki OLE domyślnie nie nasłuchują. Okazuje się, że prawdziwy problem wychodzi na jaw w obsłudze... wyświetlania dokumentów RTF przez program Microsoft Outlook.

Dalsza część artykułu pod materiałem wideo

O wiele ciekawsza jest CVE-2023-24932, czyli dziura w Secure Boot. Poza poprawką wydano obszerny artykuł KB5025885 dotyczący wciągnięcia poprawek do UEFI i podmiany boot loadera tak, by nie uniemożliwić startu systemu - zarówno tego zainstalowanego, jak i nośnika instalacyjnego. Po zaaplikowaniu najnowszej listy odwoławczej DBX, stare instalatory Windows przestaną działać z Secure Boot.

Pełna podmiana ustawień Secure Boot wykluczająca z użytku starsze wersje Windowsów nastąpi w pierwszym kwartale 2024. Pierwsza tura zmian jest zawarta w aktualizacji kumulatywnej. Nie jest oddzielna od reszty poprawek. Windows Update zaserwuje zatem jedną paczkę. Jest dostępna w Windows Update od wtorku, od godziny 19:00 polskiego czasu.