W grudniu 2024 roku Microsoft zakończył rok w zakresie aktualizacji zabezpieczeń, publikując zestaw poprawek obejmujących aż 72 luki w zabezpieczeniach w swoim oprogramowaniu. Jednym z najistotniejszych odkryć była luka o nazwie CVE-2024-49138, która została już wykorzystana w rzeczywistych atakach. Aby lepiej zrozumieć, co kryje się za ostatnimi działaniami Microsoftu i jakie znaczenie mają te aktualizacje, przyjrzyjmy się szczegółom.
Podsumowanie aktualizacji Patch Tuesday
Spośród 72 naprawionych błędów aż 17 zostało zaklasyfikowanych jako krytyczne, 54 jako ważne, a jedna jako umiarkowanie istotna. Szczególnie niebezpieczne okazały się luki typu zdalne wykonanie kodu, które stanowiły aż 31 zgłoszeń. Ponadto, 27 zidentyfikowanych podatności pozwalało na eskalację uprawnień użytkowników, co zwiększało ryzyko przejęcia kontroli nad systemami.
Sam grudniowy pakiet poprawek zwiększył ogólną liczbę naprawionych w 2024 roku luk do 1 088. Obejmuje on także 13 zaktualizowanych podatności w przeglądarce Edge, który bazuje na projekcie Chromium. To pokazuje intensywną pracę nad bezpieczeństwem produktów Microsoftu w kontekście rosnącego zagrożenia ze strony cyberataków.
CVE-2024-49138 – eskalacja uprawnień w Windows CLFS
Najistotniejszy błąd omawianego pakietu, CVE-2024-49138, to luka w sterowniku Windows Common Log File System (CLFS). Jej wykorzystanie pozwala atakującemu na uzyskanie uprawnień SYSTEM – najwyższego poziomu dostępu w ramach systemu Windows. Jak podkreśla Microsoft, odkrycie tej podatności było możliwe dzięki zgłoszeniu dokonanemu przez firmę CrowdStrike, zajmującą się bezpieczeństwem cyfrowym. Luka została sklasyfikowana z wynikiem CVSS na poziomie 7,8, co oznacza poważne zagrożenie.
Warto zaznaczyć, że ta podatność nie jest przypadkiem odosobnionym. Od 2022 roku udało się już załatać cztery podobne luki związane z tym samym komponentem, co czyni CLFS jednym z częstszych celów cyberprzestępców, zwłaszcza operatorów ransomware. Tego typu ataki polegają na przejmowaniu dostępu, szyfrowaniu danych i żądaniu okupu za ich odblokowanie.
Działania naprawcze Microsoftu
Microsoft nie pozostaje bierny wobec stale powtarzających się problemów związanych z CLFS. Firma wdrożyła dodatkową weryfikację przy analizie plików dzienników. Nowa strategia polega na dodaniu mechanizmu Hash-based Message Authentication Codes (HMAC), który umożliwia wykrycie modyfikacji w plikach dzienników przez potencjalnych napastników. To podejście ma zwiększyć odporność systemu na próby manipulacji, a wdrożenie nowych zabezpieczeń Microsoft zaprezentował w sierpniu 2024 roku.
Amerykańska Agencja Cyberbezpieczeństwa i Infrastruktury (CISA) również dostrzegła wagę problemu i dodała CVE-2024-49138 do katalogu znanych luk (Known Exploited Vulnerabilities). Ustawiono również termin wprowadzenia poprawki dla federalnych agencji wykonawczych na 31 grudnia 2024 roku.
Inne krytyczne luki grudniowych aktualizacji
W opublikowanym pakiecie znalazły się również inne groźne błędy, jak zdalne wykonanie kodu w protokole Windows Lightweight Directory Access Protocol (LDAP), oznaczone jako CVE-2024-49112. Luka ta posiada najwyższy poziom krytyczności (CVSS 9,8), a jej wykorzystanie może skutkować wykonaniem dowolnego kodu w kontekście usługi LDAP. Inne istotne błędy to:
– Luka w Windows Hyper-V (CVE-2024-49117, CVSS 8,8),
– Luka w kliencie Pulpitu zdalnego (CVE-2024-49105, CVSS 8,4),
– Luka w Microsoft Muzic (CVE-2024-49063, CVSS 8,4).
Według danych, nadal istnieją niezałatane luki, które wykorzystują exploity związane z protokołem NTLM. Jedną z nich jest błędna obsługa plików URL w Eksploratorze Windows. Takie słabości umożliwiają zdobycie danych uwierzytelniających NTLM użytkownika, w tym haszy, co otwiera furtkę do kolejnych ataków.
Zmiana strategii: odejście od NTLM
Z powodu licznych problemów i nadużyć związanych z NTLM, Microsoft podejmuje ostateczne kroki wycofania tej technologii. W maju 2024 roku zapowiedziano, że protokół zostanie zastąpiony przez Kerberos, a nowe wersje Windowsa i instalacje Exchange będą domyślnie korzystać z Rozszerzonej Ochrony dla Uwierzytelniania (EPA). Systemy takie jak Windows Server 2025 czy nowe wersje Windows 11 również przestaną wspierać NTLM w starszych wersjach.
Zmiany w konfiguracjach LDAP oraz unowocześnione poziomy domyślnej ochrony mają zmniejszyć ryzyko ataków z użyciem metod takich jak „relay attacks” czy „pass-the-hash”. Microsoft podkreśla, że te działania są istotnym krokiem w budowaniu bezpieczeństwa na poziomie podstawowym i zmniejszają prawdopodobieństwo udanych ataków w przyszłości.
Poprawki od innych dostawców
Prace nad usuwaniem luk prowadzone są nie tylko przez Microsoft. W ciągu ostatnich tygodni inne firmy technologiczne również opublikowały zestawy aktualizacji, które naprawiają błędy w ich produktach. Wspólnym celem tych działań jest podniesienie ogólnego poziomu bezpieczeństwa systemów, sieci i użytkowników na całym świecie.
Zapewnienie ochrony przed stale ewoluującymi zagrożeniami cybernetycznymi wymaga stałego monitorowania i szybkich działań. Regularne aktualizacje, takie jak te wdrażane przez Microsoft, pozostają kluczowym elementem ochrony środowisk IT w różnych branżach i segmentach rynku.