A javított sebezhetőségek fő típusai
A Microsoft szerint a mostani hibajavító kedd során az alábbi típusokban születtek javítások:
– Jogosultságemelés: 46 eset
– Biztonsági funkció megkerülése: 2 eset
– Távoli kódfuttatás: 18 eset
– Információkiszivárogtatás: 10 eset
– Szolgáltatásmegtagadás: 4 eset
– Megtévesztéses támadás: 4 eset
Ráadásul három kritikus sebezhetőség is napvilágra került, ezek közül kettő távoli kódfuttatás volt, a harmadik pedig információkiszivárogtatás.
Zéró napos hibák javítása
A két fő zéró napos hibát már nyilvánosan ismertették, még mielőtt hivatalos hibajavítás készült volna hozzájuk. Az egyik a Microsoft SQL Serverben található jogosultságemelési hiba, amely lehetővé tette, hogy egy támadó SQL Admin-jogosultságokat szerezzen, ha hálózaton keresztül hozzá tudott férni a rendszerhez. A felfedező, Erland Sommarskog a problémát eredetileg egy szakcikkben ismertette.
A másik zéró napos hiba egy .NET-könyvtárban található, és szolgáltatásmegtagadást tesz lehetővé jogosulatlan támadók számára, hálózaton keresztül. Itt az ok a határértéken túli olvasási művelet volt a rendszerben. Ezt a hibát egy anonim kutató jelentette.
Microsoft Office sebezhetőségei: veszélyben az előnézeti ablak
Két távoli kódfuttatási hibát is sikerült elhárítani a Microsoft Office-ban, amelyek mindkettő veszélyt jelenthet már az előnézeti ablakon keresztül is. Ezért minden felhasználónak kiemelten fontos, hogy a lehető leghamarabb frissítse Office-alkalmazásait.
Külön figyelemre méltó a Microsoft Excel információkiszivárogtatási hibája, mert a támadók akár a Microsoft Copilot MI segítségével is tudnak adatokat kimenteni a rendszerből. Ha egy támadónak sikerül kihasználnia ezt a hibát, a Copilot Agent üzemmód automatikusan továbbíthat kényes információkat, nulla kattintással, pusztán hálózati kommunikáció révén.
Más gyártók is javításokat adtak ki
Márciusban egyéb vállalatok is jelentős frissítésekkel jelentkeztek. Az Adobe különféle termékeihez adott ki javításokat, köztük a Commerce, az Illustrator, a Substance 3D Painter, az Acrobat Reader és a Premiere Pro programokhoz, de ezek közül egyiket sem használták ki aktívan.
A Cisco szintén számos termékéhez adott ki biztonsági csomagot, míg a Fortinet a FortiOS-hez, a FortiPAM-hez és a FortiProxy-hoz, a HPE pedig az Aruba Networking AOS-CX-hez. A Google is foltozott egy Qualcomm kijelzőkomponensben felfedezett, aktívan támadott zéró napos hibát.
Az SAP több termékéhez is adott ki javítást, köztük két kritikus sebezhetőség elhárításával.
Mely rendszerek érintettek?
A márciusi Microsoft hibajavító kedden számos rendszer és komponens érintett volt. A hibák listája az egyszerűbb, például az Azure IoT Explorer megtévesztéses támadási hibájától, az SQL Server súlyos jogosultságemelési hibáján és az Office-exploitokon át mindenre kiterjedt – beleértve a Windows kernelét, a Windows Shell Linket, a Windows SMB-kiszolgálót, a Hyper-V-t, a Winlogont, valamint az NTFS- és ReFS-fájlrendszereket is.
Ráadásul a Microsoft Devices Pricing Programban, az Azure Compute Gallery-ben, az Office SharePoint-szerveren és különböző Windows-komponensekben is fontos frissítéseket hajtottak végre. A kritikus hibák között olyanok is szerepelnek, mint a távoli kódfuttatás lehetősége az Office-ban, vagy súlyos információk kiszivárgásának kockázata.
Frissítés fontossága
A mostani kiadásokban a Microsoft nagy hangsúlyt fektetett az időben történő és pontos hibajavításokra. Bár a zéró napos hibákat nem használták ki aktívan, a gyors frissítés minden felhasználó és vállalat számára elengedhetetlen – különösen az Office, az SQL Server vagy a .NET-alapú szolgáltatások esetén. A valóság azonban meglepő lehet, ugyanis legtöbbször nem a hangzatos, médiában szereplő hibákon keresztül érkezik a támadás, hanem például jogosultságemelési hibák szürkezónáiban. Ezért érdemes a teljes rendszert naprakészen tartani.
Az összefoglaló lista minden egyes érintett komponensről elérhető a Microsoft hivatalos oldalán, így minden rendszergazda meggyőződhet arról, hogy az általa használt megoldások érintettek-e, és szükséges-e azonnali frissítés.
