Zaktualizuj Windowsa. Październikowe łatki czekają w Windows Update

Październikowy zbiór aktualizacji Windows dotyczy przede wszystkim komponentów nieobecnych w domyślnych instalacjach (IIS i MSMQ). Mniej poważne dziury odnaleziono także w teoretycznie porzuconych składnikach, jak Internet Explorer i WordPad.

Ranking otwiera podatność CVE-2023-36434 zlokalizowana w serwerze IIS (Internet Information Services). Jest on obecny w systemach Windows Server oraz, w ograniczonej postaci, także w konsumenckim Windowsie. W obu przypadkach nie jest instalowany domyślnie. Zidentyfikowana dziura umożliwia zalogowanie w systemie przez sieć. Problem wyceniono na 9.8, ale Microsoft podkreśla, że wysoka nota wynika z literalnego interpretowania założeń CVSS - podczas, gdy sam problem wymaga złamania hasła i jest mniej poważny.

Drugi pod względem istotności problem dotyczy ponownie kolejki komunikatów MSMQ. Ten wyłączony domyślnie składnik kolejny już raz staje się celem zainteresowania włamywaczy i ponownie wykazuje ten sam problem - umożliwia zdalne wykonanie kodu na prawach usługi, bez uwierzytelnienia, przez sieć. Podatność ma identyfikator CVE-2023-35349 i jest łatana tym samym pakietem aktualizacji, co IIS. Kolejka MSMQ, podobnie jak IIS, nie jest instalowana domyślnie, ale można łatwo sprawdzić jej obecność poleceniem:

Dziur w MSMQ jest więcej (ponad 20, np. CVE-2023-36697), podobnie jak w obsłudze protokołu L2TP, używanego do zestawiania sieci VPN. Tak, jak w przypadku MSMQ, problem polega na zdalnym wykonaniu kodu bez uwierzytelniania. Podatna jest na to maszyna pełniąca rolę serwera RRAS (również nie jest to domyślnie uruchomiona usługa). Problem w L2TP był obecny w Windowsach od co najmniej piętnastu lat, aktualizację otrzymuje bowiem także Windows Server 2008 oraz (tracący właśnie wsparcie) Windows Server 2012. Podatności otrzymały między innymi numery CVE-2023-41770, CVE-2023-41771, CVE-2023-41773, CVE-2023-41774, CVE-2023-41768, CVE-2023-41767, CVE-2023-38166, CVE-2023-41769 i CVE-2023-41765.

Dalsza część artykułu pod materiałem wideo

Wśród pozostałych aktualizacji znajdują się ciekawostki, jak na przykład dziura w WordPadzie pozwalająca kraść hasze NTLM. Ten nieopisany szerzej problem brzmi dość osobliwie: chodzi konkretnie o właśnie o NTLM, a nie o zwykłe wykonanie niepożądanego kodu. Bezpośredni związek WordPada z NTLM jest niejasny. Notatka CVE-2023-36563 nie dostarcza więcej szczegółów, informując jedynie że potrzebne jest otwarcie złośliwego pliku. Zidentyfikowano także nieznany problem (CVE-2023-36584) z działaniem pechowego mechanizmu mark-of-the-web (MotW), oznaczającego i wstępnie blokującego pobrane z internetu pliki. W ciągu ostatnich miesięcy odnaleziono wiele sposobów na ominięcie go, Microsoft rozwiązuje ten problem dość powoli.

O wiele ciekawsze są aktualizacje dla komponentu MSHTML, czyli silnika rysującego przeglądarki Internet Explorer. Choć Microsoft wielokrotnie podkreślał, że wsparcie dla IE zostało zakończone, rzeczywiste porzucenie przeglądarki jest niemożliwe: z silnika MSHTML korzystają między innymi kontrolki ActiveX WebControl, aplikacje HTML i środowisko skryptowe. Są one wciąż obecne w systemie ze względu na zgodność, więc pozostaną aktualizowane jeszcze przez co najmniej dekadę (!). Microsoft, w praktyce, zakończył tylko wsparcie dla najbardziej wierzchniej warstwy Internet Explorera, czyli możliwości używania silnika HTML jako przeglądarki internetowej.

Aktualizacje są dostępne w sekcji Windows Update oraz do ręcznego pobrania (jako KB5031356 i KB5031354) z Wykazu usługi Microsoft Update. W przypadku Windows 10 aktualizacja zajmuje 768 megabajtów. Dla Windows 11 aktualizacje są póki co mniejsze i obecnie jest to 605 megabajtów.