Вторник Патчей, апрель 2023 года: Обновления безопасности для Windows 10 и Windows 11

Многие пользователи задаются вопросом: «почему уязвимости в ПО никогда не заканчиваются?». Ответить на этот вопрос непросто, потому что само современное ПО является очень сложным продуктом.

Очень много статей рассказывает об отсутствии инструментов для тестирования на уязвимости, слабых знании и недостаточном опыте в области безопасности самих разработчиков, бесконечных вариациях взаимодействия между ОС и приложениями и сложности сетевых сред. Это лишь несколько факторов, способствующих бесконечному потоку уязвимостей.

В текущих исследованиях эксперты продолжают находить больше уязвимостей, а иногда даже раскрывают некоторые сведения о том, как их устранить, чтобы предотвратить возможные атаки. В любом случае, это нескончаемая гонка за то, чтобы быть на шаг впереди киберпреступников.

Zero Day Initiative

Zero Day Initiative (ZDI, «Инициатива нулевого дня») — исследовательская программа, способствующая раннему обнаружению уязвимостей и обмену результатами с поставщиками для быстрого реагирования. Исследователи получают вознаграждение за обнаружение ошибок, а конфиденциальность сведений строго соблюдается до тех пор, пока поставщик не предоставит исправление.

В конце марта ZDI провел свою конференцию PWN2OWN VANCOUVER 2023 c впечатляющими итогами. Наиболее успешными оказались атаки на Windows 11, Ubuntu Desktop и Oracle VirtualBox.

Призы вручались также за обнаружение проблем безопасности в Apple macOS, Adobe Reader, Microsoft SharePoint, VMware Workstation и даже в Tesla в автомобильной категории.

В блоге ZDI отмечается:

Участники раскрыли 27 уникальных уязвимостей нулевого дня и выиграли в общей сложности 1 035 000 долларов (и автомобиль)!

Хорошая новость заключается в том, что эти проблемы скоро будут исправлены.

Реальные атаки

Прошлый месяц был богат на различные инциденты безопасности. Компания 3CX сообщила о проблеме безопасности с их приложением на Electron, работающим на Windows и macOS. Эта проблема безопасности, по-видимому, является результатом атаки на цепочку поставок. Еще больше усложняет ситуацию то, что «Лаборатория Касперского» обнаружила вредоносное ПО второго этапа, использующее уязвимость CVE-2013-3900 десятилетней давности.

Эта уязвимость была исправлена, но патч Microsoft носит рекомендательный характер и не обязателен для установки. Исправление было выпущено как «рекомендуемое» около 10 лет назад, потому что в то время оно могло нарушить настройки цифровой подписи обновлений. Теперь прошло много времени, и администраторы должны были заменить свои настройки для решения этой проблемы. Это обновление должно стать обязательным для предотвращения атак.

Microsoft объявила, что будет выпускать предварительные обновления, не связанные с безопасностью, в четвертый вторник месяца. Согласно Microsoft «пройдет две недели после получения ежемесячного обновление безопасности и останется еще две недели до того, как представленные функции станут частью следующего обязательного накопительного обновления».

Напоминаем, что поддержка Windows 10, версия 20H2 редакций Education и Enterprise заканчивается в мае, поэтому планируйте свои действия заранее.

Прогноз на «Вторник Патчей», апрель 2023

• В последнее время Microsoft усиленно исправляет уязвимости в своих ОС, включая Windows 11, Windows Server 2022 и Windows 10. Ожидается, что эта тенденция сохранится и в апреле. Продукты Office также могут получить больше патчей, что нужно учитывать.
• На этой неделе Adobe Acrobat и Reader получат крупное ежеквартальное обновление.
• 27 марта Apple выпустила обновления Big Sur 11.7.5, Monterey 12.6.4, Ventura 13.3 и Safari 16.4 для Big Sur и Monterey. На этой неделе обновления не ожидаются.
• Google представил стабильную версию Chrome 112 с исправлениями безопасности на прошлой неделе. На этой неделе может выйти небольшой патч.
• На этой неделе ожидаются обновления Firefox, Firefox ESR и Thunderbird от Mozilla.

Обнаружение и устранение уязвимостей до их эксплуатации — это бесконечная гонка. Часто пользователи и организации вовлекаются в этот процесс в качестве невольных участников, поэтому очень важно обновлять системы по мере выпуска исправлений, чтобы оставаться на шаг впереди конкурентов.