Zaktualizuj Windowsa: wydano kwietniowe poprawki

Główną podatnością łataną kwietniowymi poprawkami jest dziura w obsłudze IKE (internet key exchange), protokole używanym do ustanawiania bezpiecznej komunikacji w ramach IPSec. Podatność CVE-2026-33824 zidentyfikowano w systemach Windows Server 2019 i nowszych. Choć IPSec nie jest używany powszechnie w scenariuszach konsumenckich, usługi nasłuchiwania IKE i ISAKMP są obecne w Active Directory, w szczególności w zestawieniu z RRAS i obsługą VPN.

Microsoft sugeruje zablokowanie na zaporze portów UDP 500 i 4500, ale przeciętna maszyna z Windows nie słucha na tych portach. Niestety, gdy jednak słucha, robi to w ramach usługi LSASS, a więc za pomocą newralgicznego składnika, którego nie da się wyłączyć. Najłatwiej po prostu załatać system.

Drugi krytyczny, bardzo poważny problem znajduje się kolejny raz z rzędu w obsłudze zdalnego pulpitu. Podatność CVE-2026-32157 ponownie dotyczy możliwości zdalnego wykonania kodu przez połączenie ze złośliwym klientem RDP. Wydaje się, że taka ilość problemów w kodzie klienta usług terminalowych (MSTSC) i ich raczej "klasyczna" postać powinny skłonić Microsoft do przepisania klienta.

Problem w tym, że… Microsoft już raz to zrobił. Powstała nowa aplikacja do zdalnego pulpitu, zwana przewrotnie "Windows"(!). Rezultatem była konkluzja wielu specjalistów ds. cyberbezpieczeństwa, że z nowego klienta o wiele łatwiej jest wyciągnąć sekrety i poświadczenia niż z antycznego, pamiętającego czasy Windows 2000, klienta domyślnego.

Warto wspomnieć przy okazji, że zdalny pulpit Windows, mając wiele innych zastosowań, nie powinien służyć do zadań, do których historycznie był wykorzystywany najczęściej: administracji i zarządzania systemem. Już od kilkunastu lat rekomendowaną metodą zdalnego zarządzania Windowsem nie jest zdalny pulpit ani nawet MMC, a WinRM, wykorzystujący tekstowego PowerShella. Istnieje także środowisko graficzne w postaci Windows Admin Center, niewykorzystujące żadnych klasycznych metod zdalnego zarządzania znanych z Windows.

Na tym problemy się jednak nie kończą. Zdumiewającym i należącym do obecnie już dość rzadkiej kategorii dziur problemem jest CVE-2026-33827, polegający na podatności w samym stosie sieciowym, a nie w jakiejś konkretnej usłudze. Podobnie jak w przypadku CVE-2026-33824, podatność jest możliwa do wykorzystania wyłącznie w przypadku stosowania IPSec, tutaj dodatkowo tylko w sieciach IPv6. Dziurę wykrył sam Microsoft i nie są podane żadne mitygacje, ale prawdopodobnie jest nią wyłącznie IPv6 - choć nie dotyczy to przytłaczającej większości użytkowników domowych, którzy po prostu nie stosują IPSec.

Co ciekawe, najpoważniejsze problemy w tym miesiącu nie zostały wykryte w najstarszej obsługiwanej wersji Windows, czyli Windows Server 2012. Nie da się zatem, tym razem, stwierdzić, że podatności w Windows znajdują się głównie w starym kodzie, stworzonym bez stosowania nowoczesnych dobrych praktyk bezpieczeństwa. Z drugiej strony, nie można także stwierdzić, że kłopoty wzięły się z używania sztucznej inteligencji: dziury wydają się być wprowadzone w okolicach wersji 2016 i 2019, a żadne późniejsze usprawnienia bezpieczeństwa ich nie wyeliminowały.

Aktualizacje są dostępne w Windows Update i pobiorą się automatycznie. Biją one rekordy pod względem rozmiaru. Dla Windows 24H2 i 25H2, najnowszych dla większości użytkowników, aktualizacja waży już ponad 4,5 gigabajta. Interesującym jest fakt, że świeża, dwumiesięczna i zupełnie nowa wersja Windows 26H1, dostępna wyłącznie dla bardzo wąskiego grona użytkowników, otrzymała poprawkę, która waży już trzy gigabajty.

Wynika to z tego, że aż 2,2 gigabajta zajmują narzędzia sztucznej inteligencji. Właściwa część aktualizacji ma około 700 megabajtów. Swoją drogą, 26H1 jest opisywane jako wyjątkowa wersja specjalnie dla skromnego zbioru komputerów ze specyficznym procesorem Snapdragon, ale okazuje się, że... ma też wersję x64. Wiemy już jednak, że nie zostanie ona wydana szerzej.