С одним июньским обновлением Patch Tuesday Microsoft терпит неудачу

Jul 13, 2023

Сьюзен Брэдли, автор статей, Computerworld |

Я годами отслеживал исправления Microsoft для Windows и внимательно следил за всеми изменениями, внесенными компанией. Я помню, когда нужно было устанавливать обновления в определенном порядке — и смотреть, какое из них нужно было установить первым. Я помню появление автоматического исправления с помощью служб обновления программного обеспечения (позже названных службами обновления Windows Server). Я видел, как мы перешли от системы, в которой каждая уязвимость исправлялась индивидуально, к тому, что у нас есть сейчас: кумулятивному исправлению.

Идеальный патч является автономным. Установите, перезагрузитесь и возвращайтесь к работе. Он не вызывает побочных эффектов. Он защищает операционную систему. И вы забываете об этом, потому что он делает то, что должен.

Многие в индустрии безопасности помнят конкретные инциденты, связанные с безопасностью, и поэтически рассказывают о них. Я склонен запоминать отдельные патчи и их побочные эффекты. Моим любимым было давнее обновление, которое вызывало синий экран смерти. В этом конкретном обновлении MS10-015 устранена проблема с повышением привилегий путем внесения изменений в регистры ядра. Проблема: в некоторых местах за пределами США пользователи запускали программное обеспечение, которое обходило необходимость в лицензионном ключе продукта и использовало точно такие же регистры для подключения к ядру Windows.

Итак, когда этот патч был установлен, он сразу же вызвал BSOD, и компьютер не удалось восстановить. Чтобы разобраться в первопричине, Microsoft даже зашла так далеко, что купила ноутбук у пострадавшего клиента. (В этом видео эту историю рассказывает Дастин Чайлдс, глава Центра реагирования на проблемы безопасности Microsoft.)

Перенесемся к выпуску «Вторник обновлений» в этом месяце. Оно включало обновление, которое не защищает операционную систему полностью до тех пор, пока кто-нибудь не развернет кусты и ключи реестра — подробности, которые почти скрыты в статье базы знаний. Чтобы найти его, вам пришлось развернуть раздел Windows 10 21H2, чтобы перейти к крошечной ссылке на дополнительную статью базы знаний. Имейте в виду, что 21H2 получил свое последнее обновление в этом месяце, поэтому, хотя Microsoft часто демонстрирует изменения, которые затрагивают как 21H2, так и 22H2, в одном и том же бюллетене, кажется странным скрывать эту информацию так глубоко в истории обновлений.

Подробности об одном из июньских патчей Microsoft, требующие поиска, можно найти в дополнительной статье базы знаний.

Рекомендации по выполнению дополнительных действий можно найти в разделе «Узнать больше», и даже неясно, нужно ли вручную добавлять куст реестра. Почему это не было просто частью обновления? (Патч даже не включает ключи реестра в отключенной настройке, пользователи должны добавлять весь куст самостоятельно.) Затем, в прошлый четверг, Microsoft отметила, что действия, выполняемые вручную, могут привести к «потенциальным критическим изменениям», но не дала никаких комментариев. подсказку о том, на что может повлиять это изменение или даже на что обратить внимание.

Microsoft усугубила путаницу с патчами, выпустив дополнительную заметку от 15 июня.

Необходимый ключ реестра уникален для каждой версии Windows 10 и 11, а также для Server 2022. Здесь есть хорошие новости. Уязвимость описывается так:

Аутентифицированный пользователь (злоумышленник) может вызвать уязвимость раскрытия информации в ядре Windows. Эта уязвимость не требует прав администратора или других повышенных привилегий.

Злоумышленник, успешно воспользовавшийся этой уязвимостью, может просмотреть память кучи привилегированного процесса, запущенного на сервере.

Для успешной эксплуатации этой уязвимости злоумышленнику необходимо скоординировать атаку с другим привилегированным процессом, запускаемым другим пользователем в системе.

В переводе это будет злоумышленник, преследующий ценную цель, а не потребителей или даже многие предприятия. И это будет непростая атака, учитывая, что это должна быть смешанная атака, требующая дополнительного времени и усилий. Это все еще не умаляет моих опасений по поводу того, насколько плоха коммуникация по этому конкретному выпуску, особенно из-за отсутствия информации о том, какие побочные эффекты могут возникнуть. Я вручную добавил куст реестра на компьютер с Windows 10 22H2 в офисе и на компьютер с Windows 11 22H2 дома и не увидел прямого влияния.