Det seneste 14 sikkerhedsbulletiner fra Microsoft har lappet 60 sårbarheder i Windows OS, Kontor, Edge og Internet Explorer-browsere, og SQL servere. En af de bulletiner adresser fejl i Adobe Flash Player opgraderet via Windows Update i Windows 10 og 8.1. Seks af disse bulletiner er blevet vurderet kritisk, og otte er mærket ”vigtige”.
En af de mest afgørende bulletiner, der bør prioriteres af netværksadministratorer er MS16-135, da det omhandler et zero-day sårbarhed – CVE-2016-7255 – udnyttes i naturen af Fancy Bjørn angribere. Gruppen er også kendt som APT28.
Mere om CVE-2016-7255
Som allerede nævnt, denne nul-dag blev leveraged af russiske hackere at få administrator-niveau kontrol ved at undslippe beskyttelse sandkasse og udføre ondsindet kode. Google videregives sårbarheden 10 dage efter at de rapporterede det til Microsoft i privat tilstand. Microsoft havde ikke meget tid til at udstede de fornødne sikkerhedsrettelser. Google siger, at de ikke vente længere på den offentliggørelse på grund af angrebene opdages i naturen.
Fordi angrebene var at udnytte den CVE-2016-7255 fejl, Google følte, at de havde brug for at informere brugerne så hurtigt som muligt. Desuden, Google giver leverandører kun syv dage til at fastsætte sårbarheder eller at offentliggøre afbødning rådgivning i tilfælde af sårbarheder er faktisk udnyttes i aktive angreb.
Microsoft, dog, kritiseret Google for deres beslutning, fordi det sætter brugere i potentiel risiko. Det er, hvad en Microsoft talsmand sagde i en erklæring ikke så længe siden:
Vi tror på en koordineret sårbarhed afsløring, og videregivelse dagens fra Google sætter kunder i potentiel risiko. Vinduer er den eneste platform med en kunde forpligtelse til at undersøge indberettede sikkerhedsspørgsmål og proaktivt opdatere påvirket enheder så hurtigt som muligt. Vi anbefaler kunderne at bruge Windows 10 og Microsoft kant browser til den bedste beskyttelse.
MS16-135 er ikke den eneste sikkerhedsbulletin, der skal prioriteres.
MS16-132 er vurderet kritisk og adresser flere fjernkørsel af programkode fejl, plus en anden zero-day også gearede i realtid angreb. Denne særlige fejl findes i Windows skrifttype bibliotek og kan udnyttes via specielt udformede skrifttyper indlejret i hjemmesider eller dokumenter. Kort sagt, vellykket udnyttelse muligt for hackere at tage fuld kontrol over de berørte systemer, som forklaret af Microsoft.
Der er tre andre fejl af kritisk karakter i IE og Edge behandlet i MS16-142 og MS16-129 bulletiner. Fejlene blev beskrevet før de faktisk patched. Heldigvis, Microsoft siger fejlene ikke blev udnyttet i naturen.
Sørg for at anvende alle patches.