Windows Update: majowe aktualizacje zabezpieczeń

Dla użytkowników Windowsa drugi wtorek miesiąca oznacza nową porcję aktualizacji. Najważniejsze poprawki dotyczą komponentów MSHTML oraz Hyper-V. Dziury nie dotyczą każdego. Kolejny raz mechanizm wyceny poziomu zagrożenia budzi wątpliwości.

Na szczycie listy poprawek znajduje się niespodzianka: MSHTML. Jest to silnik rysujący Trident, a więc serce Internet Explorera. Zgodnie z naszymi zapowiedziami, usunięcie IE z Windowsa polegało wyłącznie na zlikwidowaniu możliwości wykorzystania go jako interaktywnej przeglądarki.

Wszystkie "wnętrzności" są dalej dostępne, ponieważ Internet Explorer był nie tylko przeglądarką, ale także obiektem osadzanym w wielu aplikacjach. Dzięki mechanizmowi OLE/ActiveX, IE był pionierem podejścia "WebView".

I właśnie ten mechanizm WebView zawiódł i wymagał naprawy w ramach podatności CVE-2024-30040. Internet Explorer, gdy zostanie wywołany jako wbudowany w aplikację pakietu Office, omija mechanizmy zabezpieczeń i ograniczeń wykonawczych dla kontrolek ActiveX i skryptów. Problem nie jest nowy: poprawkę wydano dla wszystkich obsługiwanych wersji Windows.

Dalsza część artykułu pod materiałem wideo

Kolejne najwyżej wyceniane podatności (CVE-2024-30010 i CVE-2024-30017) znajdują się w Hyper-V. Dziura odkryta w Ant Security Light-Year Lab dotyczy interakcji ze sprzętem wirtualnym. Opis jest dość chaotyczny: złośliwie sformułowane żądania operacji plikowych względem zasobów sprzętowych mają pozwalać na zdalne wykonanie kodu na serwerze hosta. Nie jest to satysfakcjonujące wytłumaczenie, ale inne nie są dostępne.

Kilka cech majowego Łatkowego Wtorku powtarza się, kolejny raz. Przede wszystkim mowa tu o definicji ataku zdalnego. Problem z MSHTML otrzymał tak wysoką wycenę, ponieważ stwierdzono, że jest to możliwość przeprowadzenia ataku zdalnego, bez konieczności uwierzytelnienia. Taki "kaliber" CVSS problemu jest adekwatny dla dziur w usługach sieciowych.

Tymczasem CVE-2024-30040 "wymaga od użytkownika" samodzielnego pobrania i otwarcia złośliwego pliku. Atak sieciowy ma tu oznaczać pochodzenie pliku (z sieci). Na takiej zasadzie każdy atak jest sieciowy, ponieważ jest przeprowadzany w konsekwencji przeczytania o nim w internecie.

Ten podważalny algorytm wyceny jest stosowany przez Microsoft już od wielu miesięcy i niezmiennie wywołuje "inflację" w procesie szacowania skali zagrożenia, podnosząc niektóre problemy do rangi znacznie poważniejszych niż ich rzeczywista skala. W zestawieniu z kumulatywną (w ujęciu miesięcznym i globalnym) naturą poprawek, prowadzi to do sytuacji, w których majowy pakiet aktualizacji jest oznaczony jako krytyczny, podczas gdy cztery główne problemy albo wcale nie są sieciowe (MSHTML, Hyper-V) albo wymagają samodzielnego nawiązania połączenia (RRAS, WDAC).

Pakiety poprawek zostaną pobrane przez Aktualizacje Automatyczne z Windows Update. Dla Windows 11, aktualizacja waży 713MB, a dla Windows 10 - 650MB. Rozmiarowo, jak zwykle, wygrywa Windows Server 2016. Aktualizacja dla niego waży 1,6GB i ma szereg wymagań wstępnych, o łącznej objętości 200MB.