Windows Update: sierpniowe aktualizacje zabezpieczeń

Microsoft wydał sierpniowe aktualizacje Windows Update. Łatają one kilka podatności umożliwiających zdalne wykonanie kodu jako administrator, bez uwierzytelniania. Pozornie dotyczą opcjonalnych funkcji, ale stanowią zagrożenie niezależnie od scenariusza.

Pierwsza dziura na liście to CVE-2024-38140, czyli możliwość zdalnego wykonania kodu na poziomie usługi sieciowej poprzez nadużycie usługi Pragmatic General Multicast (PGM). Sterownik protokołu RMCAST ponownie okazał się dziurawy. Ponownie, ponieważ PGM jest aktywny tylko wtedy, gdy korzystamy z usługi MSMQ w Windows, a ta domyślnie jest wyłączona. MSMQ jest regularnym gościem na liście dziur.

Drugi problem zidentyfikowano w obsłudze wydruku przez LPD. Podatność CVE-2024-38199 umożliwia zdalne wykonanie kodu, bez konieczności zdobywania wstępnych uprawnień. LPD jest, podobnie jak MSMQ, domyślnie niezainstalowane. Co więcej, już od 12 lat jest oznaczona jako kandydat do usunięcia z systemu. Ze względu na zgodność, LPD wciąż da się jednak uruchomić w systemie, także w najnowszym 24H2.

Kolejna poważna słabość znajduje się w obsłudze protokołu IPv6 (CVE-2024-38063). Wysłanie do Windowsa odpowiednio zniekształconych pakietów IPv6 pozwala na zdalne wykonanie kodu na zdalnym systemie. Nawet, jeżeli w systemie nic nie słucha - a więc przed podatnością nie chroni nawet systemowa zapora. Podatność znajduje się wszak "głębiej", w samej obsłudze sieci.

To bardzo poważny problem - zazwyczaj podatności dotyczą usług (jak wyżej), a nie samego mechanizmu obsługi sieci. Warto mieć na uwadze fakt, że nawet jeżeli "nie używamy" IPv6, domyślnie obsługa jego stosu jest włączona dla każdego połączenia sieciowego. Jeżeli naprawdę chcemy nie korzystać z IPv6, należy je wyłączyć poprzez odznaczenie protokołu we właściwościach połączenia.

Niedbale opisana podatność CVE-2024-38160 jest z kolei związana z ucieczką z maszyny wirtualnej. Według streszczenia, możliwe jest wdanie się w interakcję z innymi maszynami. Microsoft zaleca (w dość dziwny sposób) wyłączyć Hyper-V oraz "usługi zależne". Tak się jednak składa, że jedną z funkcji zależnych Hyper-V jest VBS, czyli słynna izolacja rdzenia.

To jedna z niegdyś opcjonalnych, a od wydania Windows 11 - opcjonalnych funkcji zabezpieczeń opartych o wirtualizację. Wymaganie obsługi VBS było jednym z kluczowych powodów podwyższenia wymagań systemowych Jedenastki (wymaga to zgodnych sterowników i procesora). Na starszym sprzęcie system zadziała - ale będzie pracować w trybie Windows 10, bez izolacji rdzenia.

Tymczasem Microsoft, dla zwiększenia bezpieczeństwa, zaleca wyłączenie tej funkcji. Faktem jest jednak, że podatność dotyczy tylko Windows Server 2016 (i Windows 10 Enterprise LTSC 2016), a tam VBS domyślnie nigdy nie było włączone. Nowsze wersje, w tym Windows 11, gdzie jest "obowiązkowa", nie są podatne i wspomniana dziura ich nie dotyczy. To, swoją drogą, rzadkość.

Sierpniowe biuletyny zabezpieczeń obfitują też w ciekawostki, nieco bardziej niż zwykle. Należą do nich między innymi informacje o dziurach w pakiecie grub2 systemu Red Hat Enterprise Linux (ze względu na osobliwe podejście do analizy ryzyka dot. Secure Boot) oraz mitygacja skomplikowanego ataku z wykorzystaniem Windows Update. Podatność nazwana "Windows Downdate" umożliwia zdalną instalację starszej, dziurawej wersji poprawek zabezpieczeń w systemie, celem późniejszego wykorzystania.

Najnowsza aktualizacja dla Windows 11 waży 733 megabajty, dla Windows 10 jest to 650MB, ale potrzebne są pakiety wstępne. Co ciekawe, w dalszym ciągu aktualizacje otrzymuje Windows Server 2008, którego wsparcie rozszerzone zakończyło się 4,5 roku temu, odpłatne 1,5 roku temu, a dla maszyn w Azure - w styczniu. Mimo to, aktualizacja KB5041850 dostarczyła właśnie, zbudowaną 10 sierpnia 2024 wersję 6.0.6003.22814... jądra systemu Windows Vista.