Kolejny rok, kolejny wtorek

Microsoft rozpoczął rok od ogromnej poprawki luk w zabezpieczeniach, wydając nie tylko regularną aktualizację z okazji pierwszego wtorku w miesiącu (która tym razem eliminuje łącznie 96 luk w zabezpieczeniach), ale także kilka poprawek dla przeglądarki Microsoft Edge (głównie związanych z silnikiem Chromium). W efekcie od początku roku załatano już ponad 120 luk w zabezpieczeniach. To bezsprzecznie najlepszy powód, aby jak najszybciej zaktualizować system operacyjny i aplikacje od firmy Microsoft.

Najpoważniejsze luki w zabezpieczeniach

Dziewięć luk, które zostały zamknięte we wtorek, zostało zaklasyfikowanych w skali CVSS 3.1 jako krytyczne. Spośród nich dwie są związane z eskalacją uprawnień: CVE-2022-21833 w dysku IDE maszyny wirtualnej i CVE-2022-21857 w usługach domenowych w usłudze Active Directory. Wykorzystanie pozostałych siedmiu umożliwia zdalne wykonanie kodu:

• CVE-2022-21917 w rozszerzeniach wideo HEVC,
• CVE-2022-21912 i CVE-2022-21898 w jądrze grafiki DirectX,
• CVE-2022-21846 w programie Microsoft Exchange Server,
• CVE-2022-21840 w pakiecie Microsoft Office,
• CVE-2021-22947 w programie Open Source Curl,
• CVE-2022-21907 w komponencie HTTP Protocol Stack.

Ta ostatnia stwarza największe zagrożenie. Błąd w stosie protokołu HTTP teoretycznie pozwala atakującym nie tylko na wykonanie dowolnego kodu na komputerze, którego dotyczy problem, ale także na rozprzestrzenienie ataku na sieć lokalną (zgodnie z terminologią Microsoftu luka jest klasyfikowana jako podatna na robaki — to znaczy, że może zostać wykorzystana do utworzenia  robaka). Wspomniana luka dotyczy systemów Windows 10, Windows 11, Windows Server 2022 i Windows Server 2019. Jednak według Microsoftu dla użytkowników systemów Windows Server 2019 i Windows 10 w wersji 1809 stwarza ona zagrożenia tylko wtedy, gdy zostanie włączona obsługa HTTP Trailer Support za pomocą klucza EnableTrailerSupport w rejestrze.

Eksperci wyrazili również zaniepokojenie obecnością innej poważnej luki w zabezpieczeniach Microsoft Exchange Server — CVE-2022-21846 (która, nawiasem mówiąc, nie jest jedynym błędem w oprogramowaniu Exchange, lecz najbardziej niebezpiecznym). Ich obawy są całkowicie zrozumiałe — nikt nie chce powtórki z zeszłego roku.

Luki w zabezpieczeniach a dowody słuszności koncepcji

Część z naprawionych luk w zabezpieczeniach była już znana społeczności zajmującej się bezpieczeństwem. Ponadto ktoś już opublikował dla nich dowody słuszności koncepcji:

• CVE-2022-21836 — luka w zabezpieczeniach systemu Windows związana z fałszowaniem certyfikatów,
• CVE-2022-21839 — luka w zabezpieczeniach listy dyskrecjonalnej kontroli dostępu ze śledzeniem zdarzeń w systemie Windows umożliwiająca atak typu „odmowa usługi”,
• CVE-2022-21919 — luka w zabezpieczeniach usługi profilu użytkownika systemu Windows umożliwiająca podniesienie uprawnień.

Nie zaobserwowaliśmy jeszcze prawdziwych ataków wykorzystujących te luki, jednak dowody słuszności koncepcji są już dostępne publicznie, więc może się to zdarzyć w każdej chwili.

Jak zachować bezpieczeństwo

Najpierw należy jak najszybciej zaktualizować system operacyjny (i inne programy firmy Microsoft). Ogólnie lepiej jest nie opóźniać instalacji poprawek dla oprogramowania krytycznego.

Po drugie, każdy komputer lub serwer podłączony do internetu musi być wyposażony w niezawodne rozwiązanie bezpieczeństwa, które potrafi nie tylko zapobiegać wykorzystywaniu znanych luk w zabezpieczeniach, ale także wykrywać ataki przy użyciu jeszcze nieznanych exploitów.