Microsoft naprawił parę krytycznych luk w zabezpieczeniach Windows Hyper-V, jeden prowadzący do zdalnego wykonania kodu (RCE), jeżeli zostanie wykorzystany, w wyjątkowo lekki wtorek. Poprawki pojawiają się w ramach wąskiej aktualizacji obejmującej zaledwie 60 typowych luk i zagrożeń (CVE), z których żadna nie została sklasyfikowana jako zero-day.
Chociaż niedostatek aktualizacji będzie ulgą dla zespołów ds. bezpieczeństwa, moment pojawienia się tak małego spadku niektórych zaskoczył – jak zauważył Dustin Childs z inicjatywy Zero Day Initiative (ZDI) firmy Trend MicroPonieważ doroczny konkurs hakerski Pwn2Own został już za nieco ponad tydzień, można było się spodziewać, iż Redmond będzie publikował więcej łatek niż zwykle.
„W tym miesiącu Patch Tuesday przedstawia redukcję naprawionych luk w zabezpieczeniach firmy Microsoft, w sumie 60, co oznacza spadek w porównaniu z 74 aktualizacjami z zeszłego miesiąca” – powiedział Mike Walters, prezes i współzałożyciel specjalisty ds. zarządzania poprawkami Akcja 1.
„Co ciekawe, zaobserwowaliśmy, iż usunięto tylko dwie krytyczne luki w zabezpieczeniach, mniej niż w lutym, co podkreśla pozytywną tendencję. W tym miesiącu szczególnie nie ma żadnych luk typu zero-day ani dowodów koncepcji (PoC), co podkreśla chwilę względnego spokoju”.
Luka RCE, śledzona jako CVE-2024-21407, ma podstawowy wynik CVSS wynoszący 8,1. Aby to wykorzystać, uwierzytelniona osoba atakująca na gościnnej maszynie wirtualnej (VM) musi wysłać specjalnie spreparowane żądania operacji na plikach na maszynie wirtualnej do zasobów sprzętowych maszyny wirtualnej, co według Microsoftu może doprowadzić do RCE na hoście.
Jednak pomyślna eksploatacja będzie również wymagać od atakującego posiadania określonych informacji na temat docelowego środowiska na wyciągnięcie ręki, a według Microsoftu istnieje szereg dodatkowych działań, które musi on również podjąć, aby złagodzić cel, dlatego złożoność ataku jest całkiem wysoko.
„W chwili ogłoszenia nie było żadnych publicznych ujawnień ani znanych przypadków wykorzystania tej luki. Jednak biorąc pod uwagę jego krytyczną wagę i możliwe konsekwencje, dla użytkowników Windows Hyper-V niezwykle ważne jest szybkie wdrożenie dostarczonych aktualizacji w celu ograniczenia narażenia” – powiedział Walters.
„Ta luka dotyczy systemów z systemem Windows 10 i nowszym, a także Windows Server 2012 i nowszym, które są wyposażone w rolę Hyper-V. Użytkownicy proszeni są o zastosowanie oficjalnej łatki firmy Microsoft, aby zabezpieczyć się przed tym problemem. Ponadto zdecydowanie zaleca się przestrzeganie najlepszych praktyk w zakresie bezpieczeństwa maszyn wirtualnych i serwerów hostów – takich jak minimalizowanie uprawnień użytkowników, zawężanie dostępu do sieci i uważne monitorowanie pod kątem nietypowych działań – dodał.
Druga krytyczna luka w Windows Hyper-V jest śledzona jako CVE-2024-21408i ma podstawowy wynik CVSS wynoszący 5,5. Pozostawiony bez kontroli umożliwia atak typu „odmowa usługi” (DoS), ale aktualizacja Microsoftu nie zawiera żadnych szczegółów na temat sposobów jego wykorzystania.
Do innych bardziej znaczących problemów w tym miesiącu należy kolejna usterka RCE w programie Microsoft Exchange Server, oznaczona jako CVE-2024-26198, którego nie można uznać za krytyczny, ponieważ wymaga nakłonienia użytkownika do otwarcia specjalnie spreparowanego pliku. Oprócz łatania obrońcy mogą również chcieć sprawdzić ustawienia zabezpieczeń swoich serwerów e-mail i przypomnieć użytkownikom, aby zachowali ostrożność w przypadku otrzymania niechcianych lub niezweryfikowanych plików.
Z podobnych powodów zespoły ds. bezpieczeństwa mogą również chcieć nadać priorytet luce w zabezpieczeniach SharePoint Server RCE, śledzonej jako CVE-2024-21426którego pomyślne wykorzystanie ponownie wymaga od użytkownika otwarcia złośliwego pliku.
Kolejną luką wysokiego ryzyka w tym miesiącu jest CVE-2024-21411, w programie Skype dla konsumentów. Jest to luka RCE z bazowym wynikiem CVSS wynoszącym 8,8. Można ją wykorzystać, jeżeli osoba atakująca wyśle złośliwe łącze lub obraz za pośrednictwem wiadomości błyskawicznej, a niepokój budzi fakt, iż można je znaleźć w powszechnie używanym produkcie konsumenckim, mimo iż nie są znane żadne ujawnienia publiczne ani aktywne exploity.
Koniec z OIT
W tym samym czasie, gdy we wtorek przesyłano główną łatkę, Redmond ogłosił również wycofanie wsparcia dla Oracle Na zewnątrz w technologii (OIT) w Exchange Server. Szczegółowo opisano w poradniku bezpieczeństwaposunięcie to zwiastuje zastąpienie OIT „ulepszonym, nowoczesnym, wewnętrznym rozwiązaniem do skanowania plików”, które będzie używane domyślnie, chociaż klienci będą mogli ponownie włączyć OIT dla niektórych typów plików, jeżeli będzie to absolutnie konieczne.
„Wycofanie systemu jest procesem trójfazowym rozpoczynającym się od aktualizacji z marca 2024 r. Pierwsza faza wyłącza technologię Outside In firmy Oracle (OIT) dla wszystkich typów plików. W drugiej fazie wprowadzone zostanie zastępcze rozwiązanie do skanowania. Trzecia faza całkowicie usunie kod OIT z serwera Exchange. Na dzień pierwszej publikacji 12 marca 2024 r. w dokumencie nie ogłoszono ram czasowych drugiej i trzeciej fazy” – powiedział Chris Goettl, wiceprezes ds. zarządzania produktami w zakresie produktów bezpieczeństwa w firmie Ivanti.
Przygotuj się na bezpieczny rozruch
Patrząc na wtorkowy patch w przyszłym miesiącu, Goettl podkreślił również planowaną trzecią fazę wdrażania dotyczącą zmian z nią związanych CVE-2023-24932niebezpieczna luka w zabezpieczeniach funkcji bezpiecznego rozruchu systemu Windows, którą po raz pierwszy wykryto jako dzień zerowy w maju 2023 r.
„CVE rozwiązało problem obejścia funkcji bezpieczeństwa w Secure Boot wykorzystywanej przez bootkit BlackLotus UEFI” – powiedział Goettl. „Zmiany były wprowadzane w czteroetapowym procesie, a trzeci etap miał zostać wdrożony we wtorek lub później w ramach aktualizacji z 9 kwietnia 2024 r.
„Spodziewaj się, iż w przyszłym miesiącu zostaną wdrożone nowe zabezpieczenia blokujące dodatkowe podatne na ataki menedżery rozruchu. Może to oznaczać, iż masz trochę pracy, aby przygotować nośnik do aktualizacji. Więcej szczegółów znajdziesz w KB5025885.”
Podejście wieloetapowe było konieczne, ponieważ funkcja Secure Boot bardzo precyzyjnie kontroluje nośnik startowy, który może zostać załadowany podczas uruchamiania systemu operacyjnego, zatem źle zastosowana aktualizacja może spowodować duże problemy, a choćby uniemożliwić uruchomienie systemu.
