Windows Update z listopada: PEAP i MSMQ

Listopadowy zestaw aktualizacji naprawia, poza pokaźnym zbiorem mniejszych dziur, dwie poważne podatności w Windowsie. Na szczęście protokoły PEAP i PGM nie są stosowane w domyślnych scenariuszach. Jeżeli jednak są w użyciu, najnowsze poprawki są pilne.

Dziura CVE-2023-36028 dotyczy serwera PEAP, czyli składnika Network Policy Server. Jest on obecny tylko w Windows Server i jedynie po odblokowaniu roli "Network Policy and Access Services", ale... aktualizacja dotyczy także wersji klienckich. Nieprecyzyjny opis podatności każe zakładać, że problem wynika ze sposobu negocjacji połączenia i dotyczy zarówno strony serwerowej, jak i klienckiej.

Druga najpoważniejsza podatność (CVE-2023-36397) to znowu dziura w protokole Microsoft Message Queue Server i znowu w jego obsłudze mechanizmu Pragmatic General Multicast (PGM). Serwer MSMQ nie jest domyślnie instalowany i obecnie jego zastosowania są dość niestandardowe i rzadkie. MSMQ nie rozwija się szczególnie prędko, stanowiąc dość wiekową technologie. Stare obszary Windowsów są regularnym źródłem problemów, ze względu na implementacje niestosujące dzisiejszych praktyk bezpieczeństwa.

Dalsze, mniej istotne podatności, są już dość "standardowym" zestawem. Znajdziemy wśród nich dwie szczególnie interesujące. Pierwszą z nich jest słabość w SmartScreen. Dziura CVE-2023-36025 umożliwia ominięcie weryfikacji poprzez zastosowanie pliku skrótu internetowego (*.URL). Naprawiając bezpieczeństwo zwykłych skrótów LNK, zaniedbano najwyraźniej drugi rodzaj skrótów, wprowadzony wraz z Internet Explorerem 4.0.

Interesującym problemem w Hyper-V jest CVE-2023-36400. Dotyczy on nadużycia w działaniu usług integracji gościa, pozwalającego na wykonanie kodu na komputerze-hoście, w dodatku z uprawnieniami SYSTEM. Choć ucieczka z wirtualizacji jest bardzo poważną kategorią problemów w zabezpieczeniach, notatka CVE-2023-36400 zawiera dolny przypis z informacją, że aby wykorzystać dziurę, konieczne jest zalogowanie. Nie jest jasne, czy oznacza to zalogowanie do wirtualnej maszyny, czy do podatnego serwera, a następnie interakcja z maszyną przez konsolę Hyper-V. Dokładność notatek MSRC pozostaje niestety mierna.

Jako, że nowej wersji Windows 11 nie wydano już od ponad roku (23H2 to tylko pakiet ustawień), a w przypadku Windows 10 jest to już 3,5 roku, aktualizacje rosną i są bardzo duże. Dla Jedenastki jest to 600 megabajtów, dla Dziesiątki - 795. Poprawka dla najstarszego obsługiwanego systemu - Windows Server 2008 - zajmuje 250 megabajtów, ale ma szereg wymagań wstępnych.