Choć w chwili obecnej wspierane systemy Windows to edycje 10 i 11, likwidowane przez łatki luki znajdują się także we wcześniejszych, czyli Windows 7 i Windows 8.1. Nie ma jednak pewności, że patche – jeśli pobierzesz je ręcznie i wymusisz aktualizację – zadziałają w ich przypadku. Ujawnienie luk zero-day to kolejny bodziec do tego, aby rozważyć przejście na Windows 10 (22H2) lub Windows 11 (23H2).
Zainstaluj łatki, Windows Ci za to podziękuje
Jak wspomniałem, Patch Tuesday usuwa 79 luk w zabezpieczeniach, przy czym wszystkie oprócz jednej sklasyfikowano jako “krytyczne” lub “wysokiego ryzyka”. Według Microsoftu cztery z luk są już wykorzystywane w środowisku naturalnym, więc warto dokonać aktualizacji tak szybko, jak to tylko możliwe. Większość luk – aż 67 – występuje w różnych wersjach systemu Windows, w tym Windows 10, Windows 11 i Windows Server.
Co ciekawe – łatki mają również działać na Windows 11 24H2, choć ta wersja ma dopiero pojawić się na jesieni, a póki co jest tylko dostępna dla maszyn Copilot+. Przypomnę od razu, że wkrótce użytkownicy 22H2 zostaną zmuszeni do przejścia na 23H2. Windows 11 22H2 otrzyma ostatnią aktualizację zabezpieczeń 8 października 2024 roku.
Firma Microsoft nie podała zbyt wielu szczegółów na temat luk typu zero-day w przewodniku po aktualizacjach, ale Dustin Childs porusza je w blogu Zero Day Initiative. Childs twierdzi, że odkryto w środowisku naturalnym exploit umożliwiający dokonywanie spoofingu, ale luka CVE-2024-43461 nie jest wymieniona jako załatana przez firmę Microsoft.
Czytaj też: Chcesz używać starszej wersji Windows 11? Microsoft na to: nie ma mowy
Jeśli chodzi o inną lukę bezpieczeństwa, CVE-2024-38217, Microsoft twierdzi, że nie jest po prostu wykorzystywana, ale była publicznie znana. Ta luka umożliwia obejście zabezpieczeń poprzez modyfikację “Mark of the Web”. W przypadku innego zero-day, 2024-43491, to jedyny problem umożliwiający zdalne wykonanie kodu (RCE) w tej kategorii. Dotyczy on tylko niektórych starszych wersji systemu Windows 10 i można go wyeliminować tylko poprzez zainstalowanie aktualizacji KB5043936, a następnie aktualizacji KB5043083. Firma Microsoft twierdzi, że nowsze wersje systemu Windows 10 nie są nią dotknięte.
Jeśli chodzi o lukę w zabezpieczeniach CVE-2024-38014, to zagrożenie podniesienia uprawnień (EoP) istnieje w instalatorze systemu Windows dla wszystkich obecnie obsługiwanych wersji systemu Windows, w tym wersji Server. Atakujący, który wykorzystuje tę lukę, może przyznać sobie uprawnienia systemowe bez interakcji użytkownika. Choć dokładny mechanizm nie jest jasny, zazwyczaj atakujący łączą luki w zabezpieczeniach EoP z lukami w zabezpieczeniach RCE, aby zdalnie uruchamiać złośliwy kod.
Ponadto Windows Remote Desktop Services ma siedem luk, w tym cztery luki RCE. Kolejna luka RCE znajduje się w Microsoft Management Console (CVE-2024-38259) i Power Automate for Desktop (CVE-2024-43479).
Zmiany w oprogramowaniu i usługach Windows
W ramach Patch Tuesday Microsoft wyeliminował 11 luk w zabezpieczeniach produktów Office, w tym jedną lukę typu zero-day i dwie inne luki sklasyfikowane jako “krytyczne”. CVE-2024-38226 to zero-day wykryty w Publisherze. Atakujący musi przekonać użytkownika do otwarcia specjalnie przygotowanego pliku w tym programie, a jeśli tak się stanie, zostanie wykonany złośliwy kod. Inne problemy to dwie krytyczne luki w zabezpieczeniach RCE w programie SharePoint Server (CVE-2024-38018, CVE-2024-43464) oraz luka w zabezpieczeniach RCE (CVE-2024-38227) w programie SharePoint Server i jedna w programie Visio (CVE-2024-43463). Są uważane za zagrożenie wysokiego ryzyka.
Ponadto Microsoft wyeliminował w tym miesiącu 13 luk w zabezpieczeniach programu SQL Server, przy czym sześć z nich to luki RCE, mające ocenę CVSS na poziomie 8,8. Usunął również trzy luki EoP i cztery wycieki danych. Aktualizacje obejmują także Edge, jednak tu nie podano szczegółów poza lakonicznym poinformowaniem, że poprawki dotyczą “aktualizacji zabezpieczeń”.
Lista poprawek i załatanych luk jest spora, co przekłada się na dość gorzkie podsumowanie, że Microsoft niedostatecznie sprawdza swoje produkty przed ich publicznym udostępnieniem. Dotyczy to zarówno samego systemu Windows, jak i powiązanych z nim usług oraz aplikacji. Dlatego pomimo dość mocnego Defendera na pokładzie antywirus firmy trzeciej wciąż pozostaje niezbędny dla bezpiecznego posługiwania się oprogramowaniem MS.