Zaktualizuj Windowsa. Wydano październikowe poprawki

Główną dziurą łataną przez Microsoft była podatność nie w Windowsach, a w Configuration Managerze. Dzięki błędowi opisanemu w notatce CVE-2024-43468, możliwe było wykonanie kodu po stronie serwera. Opis jest dość lakoniczny, ale w skrajnym przypadku mogłoby to oznaczać wpływ na wszystkie urządzenia zaciągnięcie do danej instancji Intune. Dokładniejszych informacji jeszcze nie ma, jest za to obszerny podręcznik wdrożenia tej poprawki.

Jeżeli chodzi o Windows, to listę aktualizacji otwiera kilkanaście załatanych podatności w serwerze usługi RRAS, znanej pod polską nazwą Routing i Dostęp Zdalny. Usługa ta jest wykorzystywana w charakterze serwera/bramy VPN i była niegdyś bardzo popularna w homogenicznych środowiskach opartych o Windows Server. Większość podatności w RRAS nie wymaga uwierzytelnienia, wystarczy wysłać złośliwie formatowane żądanie, by doprowadzić do zdalnego wykonania kodu.

Łącznie luk w RRAS jest ponad trzynaście i wszystkie zostały zgłoszone anonimowo, co przy takiej objętości każe podejrzewać, że odkryła je jedna osoba. To częste w poprawkach zabezpieczeń: panują przelotne "mody" na konkretne składniki systemowe, wynikające ze skupienia wielu ekspertów na jednym temacie. Zgłębienie któregoś z tysięcy składników Windows wymaga wiele determinacji i czasu, a wtedy trudno o wszechstronność.

Znaleziono też kolejne dziury w protokole zdalnego pulpitu (RDP), wciąż często używanym nawet na serwerach - mimo, że obecnie rekomendowanym mechanizmem konfiguracji serwerów Windows jest PowerShell oraz (graficznie) Windows Admin Center. Dwa problemy (CVE-2024-43599) dotyczą klienta, wykonującego kod wskutek połączenia ze złośliwym serwerem. Ale jeden (CVE-2024-43582) dotyczy serwera, wykonującego złośliwe żądanie jako kod.

Wśród innych aktualizacji w październiku znajdziemy poprawki w serwerze telefonii (CVE-2024-43518), który podobnie jak RRAS nie jest domyślnie obecny w systemie. Pojawiła się też rzadko omawiania usługa Rejestru Zdalnego (CVE-2024-43532), jedna z najstarszych w NT, stosująca wciąż surową komunikację RPC. Ciekawa jest także ucieczka z Hyper-V (CVE-2024-20659), wymagająca jednak dosć dużo wysiłku.

Ale najzabawniejszą aktualizacją jest poprawka dla narzędzia Curl, znanego głównie ze świata uniksowego. Curl w Windows, niewymagający WSL, a więc natywny, był od kilku miesięcy nieaktualny. Podatność CVE-2024-6197 w Curlu załatano już w lipcu, Windows musiał trochę poczekać. Problem wyceniono na 8.8, ale ponownie jest to nadużycie skali. Sam projekt Curl przypisał mu niższą wycenę.

Rozmiary aktualizacji robią wrażenie. Windows 11 24H2 oficjalnie wydano w zeszłym tygodniu, ale aktualizacje do niego ważą już 836MB. Już na starcie jest to więcej niż waży aktualizacja do poprzednika (780MB), ale wynika to z tego, że 24H2 to także podstawa pod nadchodzący Windows Server 2025. Poprawka do Dziesiątki jest mniejsza (667MB), a wygrywa oczywiście Windows Server 2016 (1.77GB). Aktualizacje kumulatywne do niego już nie rosną. Wynika to z tego, że obecnie i tak podmieniają one de facto cały system.