Zespoły ds. bezpieczeństwa mają przed sobą pracowite kilka dni po pierwszym comiesięcznym patchu we wtorek firmy Microsoft w 2023 r., który zawiera poprawki dla 98 różnych luk w zabezpieczeniach, z których 11 oceniono jako krytyczne, a jeden dzień zerowy jest aktywnie wykorzystywany w środowisku naturalnym, który został odkryty przez badaczy z Avast.

Śledzona jako CVE-2023-21674, luka dnia zerowego to luka polegająca na podniesieniu uprawnień (EoP) w systemie Windows Advanced Local Procedure Call (ALPC), która, jeśli zostanie pomyślnie wykorzystana, umożliwiłaby atakującemu uzyskanie uprawnień systemowych.

Dotyczy wszystkich wersji systemu operacyjnego Windows, począwszy od Windows 8.1 i Windows Server 2021 R2 wzwyż, i ma wynik CVSS 8,8. Jest uważany za stosunkowo łatwy do wykorzystania i jako taki prawdopodobnie zostanie szybko włączony do poradników cyberprzestępców, prawdopodobnie w ramach kampanii dostarczania oprogramowania ransomware.

Satnam Narang, starszy inżynier ds. badań w firmie Tenable, powiedział: „Windows Advanced Local Procedure Call … ułatwia komunikację międzyprocesową dla składników systemu operacyjnego Windows.

„Chociaż szczegóły dotyczące luki nie były dostępne w czasie, gdy Microsoft opublikował swój poradnik w Patch Tuesday, wydaje się, że była ona prawdopodobnie powiązana z luką w zabezpieczeniach przeglądarki opartej na Chromium, takiej jak Google Chrome lub Microsoft Edge, w celu wyrwania się z piaskownicy przeglądarki i uzyskać pełny dostęp do systemu” – dodał.

Narang powiedział, że takie luki są zazwyczaj wykorzystywane przez grupy zaawansowanych trwałych zagrożeń (APT) w atakach ukierunkowanych.

Powiedział jednak, że pomimo potencjalnej dotkliwości luki CVE-2023-21674, prawdopodobieństwo powszechnego wykorzystania prawdopodobnego łańcucha exploitów byłoby prawdopodobnie ograniczone dzięki funkcji automatycznej aktualizacji przeglądarek.

W tym miesiącu na uwagę zasługuje również CVE-2023-21549, kolejna luka EoP w Windows Workstation Service, która również uzyskała wynik CVSS 8,8, ale nie wiadomo jeszcze, czy została wykorzystana, chociaż została ujawniona publicznie.

“Aby wykorzystać tę lukę, osoba atakująca może wykonać specjalnie stworzony złośliwy skrypt, który wykonuje wywołanie RPC [Remote Procedure Call] do hosta RPC” — powiedział Chris Goettl, wiceprezes firmy Ivanti ds. produktów zabezpieczających.

„Może to spowodować podniesienie uprawnień na serwerze. Lukę można wykorzystać w sieci bez interakcji użytkownika. Publiczne ujawnienie oznacza, że ​​wystarczająco dużo informacji dotyczących tej luki zostało ujawnionych publicznie, co daje atakującym przewagę w inżynierii wstecznej luki w celu próby jej wykorzystania”.

Inne krytyczne luki w tym miesiącu obejmują siedem luk w zabezpieczeniach protokołu Remote Code Execution (RCE) w protokołach SSTP (Secure Socket Tunneling Protocol) i Windows Layer 2 Tunneling Protocol (L2TP), trzy luki w zabezpieczeniach EoP, wszystkie w usługach kryptograficznych firmy Microsoft oraz pojedyncze luka umożliwiająca obejście funkcji w programie Microsoft SharePoint Server.

Pierwszy Patch Tuesday 2023 r. jest również znany jako coś w rodzaju końca ery, kiedy Windows 7 Professional i Enterprise otrzymują ostatnie aktualizacje w ramach programu Extended Security Update, Windows 8.1 kończy wsparcie techniczne i nie ma już aktualizacji dla W przyszłości również wersje aplikacji Microsoft 365 dla systemu Windows 7 lub 8.

„To teraz mocno umacnia ideę używania systemu Windows 7 lub 8.1 w środowiskach produkcyjnych jako niedopuszczalnego ryzyka w każdym środowisku, w którym przestrzega się podstawowych najlepszych praktyk w zakresie bezpieczeństwa cybernetycznego” — powiedział Lewis Pope, główny nerd w firmie N-able.

„Według Microsoftu właściwym działaniem jest aktualizacja systemów z kompatybilnym sprzętem do Windows 10 lub likwidacja tych systemów na rzecz nowoczesnych, obsługiwanych systemów operacyjnych” – powiedział. „Chociaż zawsze istnieją zastrzeżenia i specjalne przypadki użycia, budżety na rok 2023 powinny obejmować odpowiednie fundusze na migrację wszystkich operacji z dowolnego nieobsługiwanego systemu operacyjnego. Ponadto finansowanie to powinno być uwzględnione w przyszłości i traktowane jako część kosztów prowadzenia działalności”.