Aktualizacja Windows. Kwietniowe łatki dostępne do pobrania
Microsoft wydał kwietniowy pakiet aktualizacji bezpieczeństwa dla Windowsa. Tym razem łatanych jest więcej błędów niż zwykle, te najważniejsze znajdują się jednak w tych samych, dobrze znanych składnikach.
Na szczycie rankingu jest dość tłoczno, bowiem kilkanaście dziur w Windows wyceniono w zbliżony sposób. Pierwsza na liście jest CVE-2024-20678, przez którą możliwe jest wykonanie kodu na prawach usługi RPC, jeżeli uwierzytelniony użytkownik wyśle odpowiednio zniekształcone żądanie. W scenariuszach konsumenckich to zagrożenie znacznie mniejsze niż w środowiskach domenowych.
Podważalne wyceny
Następną dziurą jest CVE-2024-29988, kolejny raz w komponencie SmartScreen. Problemem jest niewyświetlanie przez Windowsa ostrzeżenia o pochodzeniu pliku, jeżeli zostanie uruchomiony specjalnie przygotowany, złośliwy plik pobrany z sieci. To kolejny błąd w SmartScreen, którego Microsoft najwyraźniej nie umie naprawić.
Ale najważniejsze jest tutaj, że firma wciąż dziwnie szacuje ryzyko związane z błędami w tym składniku. Jest to problem znacznie mniejszy niż ten powyżej i wymaga interakcji ze strony użytkownika. Ale ponieważ podatność jest eksponowana poprzez plik z internetu - wektor jest sieciowy i wycena CVSS szybuje do 8.8.
Dalsza część artykułu pod materiałem wideo
Kolejne trzy podatności Windowsa znajdują się w usługach Routing i Dostęp Zdalny (RRAS). Połączenie ze złośliwym serwerem bramy może poskutkować wykonaniem kodu po stronie klienta. Jakość poprawek w RRAS wydaje się być ostatnio dość podważalna, ale w kwestii dzisiejszych CVE-2024-26205, CVE-2024-26200 i CVE-2024-26179 nie wiadomo obecnie nic o problemach ze stabilnością. Oczywiście, wykorzystanie dziury także wymaga aktywności użytkownika, ale tym razem wycena 8.8 jest bardziej uzasadniona niż w przypadku SmartScreen.
Secure Boot
Na liście wysoko wycenionych podatności znajduje się także aż 26 dziur w obsłudze Secure Boot. Potężna kolekcja poprawek o numerach CVE-2024-20669, CVE-2024-20688, CVE-2024-20689, CVE-2024-23593, CVE-2024-23594,CVE-2024-26168,CVE-2024-26171, CVE-2024-26175, CVE-2024-26180, CVE-2024-26189, CVE-2024-26194, CVE-2024-26240, CVE-2024-26250, CVE-2024-28896, CVE-2024-28897, CVE-2024-28898, CVE-2024-28903, CVE-2024-28919, CVE-2024-28920, CVE-2024-28921, CVE-2024-28922, CVE-2024-28923, CVE-2024-28924, CVE-2024-28925, CVE-2024-29061 i CVE-2024-29062 zawiera środki zaradcze na bardzo rozbudowany zbiór metod obejścia Secure Boot.
Niektóre z łatanych podatności dotyczą na przykład środowisk odzyskiwania Lenovo dla Windows 8, które mogą być wciąż dostępne w obsługiwanych systemach, jeżeli dokonano aktualizacji do Windows 10. W innych chodzi o możliwość załadowania złośliwego pliku BCD (Boot Configuration Data). Warto przy okazji przypomnieć, że pełne naprawienie słabości Secure Boot wymaga ręcznych operacji opisanych w notatce KB5025885. Bez nich możliwe jest obejście zabezpieczeń.
Niespodzianki i niekonsekwencje
Polityka Microsoftu jest tu jednak bardzo nierówna. Mimo zaaplikowania poprawek, konceptualne ograniczenia Windows RE wciąż mogą pozwalać na ładowanie niepodpisanego kodu. Osobom bardzo wrażliwym na kwestie bezpieczeństwa można tu polecić wyłączenie Windows RE lub dodanie PIN-u do blokady BitLocker. Usunie to ze zbioru dopuszczalnych do uruchomienia systemów środowisko potencjalnie podatne na włamania.
Aktualizacje są dostępne w Windows Update. Rozmiar paczki dla Windows 11 stopniowo zbliża się rozmiarem do poprawek dla Windows 10 (odpowiednio 690 MB i 832 MB), ale zwycięzcą pod względem objętości wciąż pozostaje Windows Server 2016, dla którego poprawka waży 1,6 GB. Aktualizacje ponownie otrzymał także Windows Server 2008, oparty o Vistę i pozbawiony rozszerzonego wsparcia już trzy miesiące temu.
Kamil J. Dudek, współpracownik redakcji dobreprogramy.pl