Microsoft repareert twaalf Critical-bugs en een zeroday op Patch Tuesday

Microsoft heeft op zijn maandelijkse Patch Tuesday 98 kwetsbaarheden gerepareerd in verschillende Windows-versies. Een daarvan was een zeroday: een privilege-escalationbug in ALPC werd actief misbruikt. Twaalf bugs zijn kritiek.

Microsoft heeft KB5022286 voor Windows 10 en Windows Server 2019 en KB5022303 voor Windows 11 uitgebracht. Dat zijn de eerste Patch Tuesday-bugfixes van 2023. Tijdens de maandelijkse patchronde heeft Microsoft 98 bugs gerepareerd. Dat zijn er relatief veel, maar het gaat niet om een recordaantal. Er zijn ook bugfixes voor oudere Windows- en Windows Server-versies en voor Microsoft Exchange Server 2016 en 2019. Daarnaast is een handvol bugs gerepareerd in Office, SharePoint, Visio en Visual Studio Code.

De meeste bugs zijn gerepareerd in Windows. Van twee bugs was al informatie bekend en van een van die twee zegt Windows dat de bug actief werd uitgebuit. Dat is CVE-2023-21674, een privilege-escalationbug in Windows' Advanced Local Procedure Call of ALPC. De bug heeft een CVSS-rating van 8.8 en kan worden gebruikt om adminrechten op een systeem te krijgen. Daarvoor is het wel nodig dat een aanvaller al toegang heeft tot een systeem. Microsoft geeft geen verdere informatie over hoe dat lek actief wordt uitgebuit. In 2018 was er al een soortgelijke kwetsbaarheid in ALPC, die toen ook al actief werd misbruikt.

Er zit ook een patch in de download voor een bug waarover eerder al informatie openbaar is gemaakt. Dat is CVE-2023-21549, ook een privilege escalation, maar dan in SMB. Die bug werd ontdekt door beveiligingsonderzoekers van Akamai, maar volgens het bedrijf heeft het de informatie door middel van een responsible disclosure, dus op verantwoorde wijze openbaar gemaakt.

Twaalf van de kwetsbaarheden die zijn gerepareerd, worden als Critical aangemerkt. Dat zijn onder andere bugs waarmee securitymaatregelen in SharePoint kunnen worden omzeild, verschillende escalation privileges in Microsoft Cryptographic Services en drie kwetsbaarheden in het Layer 2 Tunneling Protocol. Daarmee kon van een afstand code worden uitgevoerd op een machine. Ook zaten twee van dergelijke bugs in het Secure Socket Tunneling Protocol van Windows.

Reacties (28)

m.z 11 januari 2023 10:58

Misschien ook handig om te weten, gezien dit in know issues stond bij 13 december update:

Symptom
After installing this update, some Windows devices might start up to an error (0xc000021a) with a blue screen.

Technical note After installing this update, there might be a mismatch between the file versions of hidparse.sys in c:/windows/system32 and c:/windows/system32/drivers (assuming Windows is installed to your C: drive). This might cause signature validation to fail when cleanup occurs.

Workaround
This issue is addressed in KB5022282. This update should prevent the issue from occurring. Windows devices in which this issue has already occurred will still need to follow the workaround below.

To mitigate this issue on devices already experiencing it, you will need to use Windows Recovery Environment (WinRE) with the following steps:

You will need to enter Windows Recovery Environment. If your device has not automatically started up into WinRE, please see Entry points into WinRE.

Select the Troubleshoot button.

Select the Start recovery, troubleshooting, and diagnostic tools button.

Select the Advanced Options button.

Select the Command Prompt button and wait for your device to restart, if needed.

Your device should restart to a Command Prompt window. You might need to sign into your device with your password before getting to the Command Prompt window.

Run the following command xcopy C:\windows\system32\drivers\hidparse.sys C:\windows\system32\hidparse.sys

(Important If Windows is not installed to C:\windows, you must modify the command for your environment.)

Once the previous command completes, type exit

Select the Continue button.

Windows should now start up as expected.

Important It is not recommended to follow any other workaround than those recommended above. We do not recommend deleting the hidparse.sys from your Windows\System32folder.

We are working on a resolution and will provide an update in an upcoming release.

https://support.microsoft...c4-4e38-b7e7-c886d210db3b

Dit wordt aangegeven (bij huidige 10-01-23 update) onder Windows 10, version 20H2 editions: Windows 10 Enterprise Multi-Session, Windows 10 Enterprise and Education, Windows 10 IoT Enterprise

This update addresses a known issue that might affect startup on some Windows devices. They might receive an error (0xc000021a) and have a blue screen.

https://support.microsoft...d7-48a6-86e2-8cd9146b47fd

EDIT: extra toelichting

[Reactie gewijzigd door m.z op 23 juli 2024 09:05]

Alxndr

@m.z • 11 januari 2023 13:29

"Symptom
After installing this update, some Windows devices might start up to an error (0xc000021a) with a blue screen."

Lekker dus, ik wacht wel weer een paar dagen/weken.

[Reactie gewijzigd door Alxndr op 23 juli 2024 09:05]

m.z @Alxndr • 11 januari 2023 13:35

Zoals aangegeven geldt dat voor de update van 13 december. Onder workaround wordt ook aangegeven het te hebben opgelost met KB5022282. De huidige update van 10 januari zal dit dus hebben opgelost, waarbij ook verwezen wordt naar het issue, afkomstig uit de update van 13 december.

Alxndr

@m.z • 11 januari 2023 13:45

Oeps, my bad, thanks.

Toch wacht ik wel ff om te zien of en wat er deze keer misgaat. Misschien ligt het aan mij, maar het lijkt alsof er met iedere update wel wat mis is.

Ik schat het risico dat ik de dupe wordt van uitbuiting van deze zaken lager in dan het risico op een BSOD, maar please correct me if I'm wrong.

m.z @Alxndr • 11 januari 2023 14:46

Oeps, my bad, thanks.

Geen punt

Toch wacht ik wel ff om te zien of en wat er deze keer misgaat. Misschien ligt het aan mij, maar het lijkt alsof er met iedere update wel wat mis is.

Ik schat het risico dat ik de dupe wordt van uitbuiting van deze zaken lager in dan het risico op een BSOD, maar please correct me if I'm wrong.

Moeilijk in te schatten, risico's CVE's vs dat je een BSOD krijgt, helemaal als consument zijnde. Al is een BSOD eenvoudig gefixt, mits je beetje technische ervaring hebt. Het nadeel is dat ook niet bekend is hoeveel systemen BSOD's hebben gekregen. Op zich de fix is vrij copy/paste.

mrooie @m.z • 12 januari 2023 09:06

Zelf heb ik het tot nu toe op 2 systemen meegemaakt.
Een Intel en een AMD systeem.

Het opstarten van een admin cmd prompt met commands duurde langer dan het opstarten van het systeem

Gelukkig is het nu opgelost.

Bliksem B

@m.z • 11 januari 2023 11:17

Dat is dus hetzelfde probleem als de 21255 update voor Windows 11?: Windows 11 22H2 Patch Tuesday apparently causing freezing issues on AMD Ryzen PCs - Neowin.

thomsen48 geeft aan in Cumulative Updates: December 13th, 2022 : Windows11

Unplugging/plugging USB devices will cause the system to resume again.
.
.
Update 10-01-2023
We have now found a workaround for our issue on all 750 clients, by disabling "AMDSecureVirtualMachine" in the BIOS.

[Reactie gewijzigd door Bliksem B op 23 juli 2024 09:05]

m.z @Bliksem B • 11 januari 2023 13:25

Nee, zowel de update als issue (Windows 10 > BSODs), staan los van. Enige overeenkomst die ik zie is, doordat alle updates vanaf tweede dinsdag van de maand worden vrijgegeven en zelfde buildnaam hebben 22H2. (Is een aanduiding, maar KB- en Buildnummers zijn niet gelijk) Helaas heeft dus deze Windows 11 update een andere issue, en zoals ik het lees specifiek bij de 22H2 build, zoals ik in alle artikelen lees.

[Reactie gewijzigd door m.z op 23 juli 2024 09:05]

Tomasu 11 januari 2023 10:33

Indien je Windows Server 2012R2 hebt draaien en deze update direct via de Microsoft update services, dan is de kans groot dat hij op 95% downloading blijft hangen (ook geen background activiteit).
Via een eigen WSUS server speelt dit probleem niet.

Tot nu toe lijkt de oplossing om manueel de update uit te voeren.

Eskimoo @Tomasu • 11 januari 2023 11:30

Klopt!
KB5022352 & KB890830 met windows update blijft hij hangen bij 95%.
(Windows server 2012R2)
diepe zucht.

[Reactie gewijzigd door Eskimoo op 23 juli 2024 09:05]

ctrl_alt_del @Eskimoo • 11 januari 2023 11:55

-- Zucht --
Hier ook! Elke keer weer gez..k met Microsoft.
Het lijkt erop dat ze totaal geen grip meer hebben op hun product.

ArjanC @ctrl_alt_del • 11 januari 2023 12:17

Deze vind ik mooi.. server 2012 is al vier? Jaar end of life? Dat ze nog een patch uitbrengen vind ik al heel wat..
Waar ik nu zit heeft ook nog server 2012 draaien maar als er iets niet goed gaat met patchen ga ik niet Microsoft hiervan de schuld geven, upgrade dat ding gewoon...

Zer0 @ArjanC • 11 januari 2023 12:28

Microsoft geeft zelf aan 2012 en 2012 R2 tot oktober 2023 van beveiligings updates te voorzien, dus dan mag je best verwachten dat die ook goed uitgevoerd worden.

SluttyHo @ArjanC • 11 januari 2023 12:31

Dat klopt niet, Windows Server 2012 R2 is nog een klein jaar in Extended support.
-> Oct 10, 2023

ctrl_alt_del @ArjanC • 11 januari 2023 12:49

Ik denk dat je je eerst moet inlezen voordat je dit soort comments maakt.

Windows 2012R2 is wordt nog steeds actief van updates voorzien door Microsoft tot oktober 2023. We zijn allang aan het migreren, maar sommige software vendors doen hier wat langer over en komen pas op het laatste moment met upgrades van hun product. Hierdoor hou je legacy wat wel onderhouden moet worden en waar je ook voor betaald.

Als je een product gekocht hebt wat door updates niet meer werkt, dan krijgt inderdaad de leverancier de schuld. Dat is met auto's, TV's etc. niet anders

OruBLMsFrl @ArjanC • 11 januari 2023 14:53

Je bent waarschijnlijk in de war met Windows server 2008/2008R2, daar klopt die tijdslijn wel. Windows OS multi-year releases krijgen standaard 10 jaar support. Halfjaarlijkse releases zoals de standaard Windows client versies gaat wat sneller verlopen, en daar zijn ook server varianten van, maar die zou je ook niet voor bedrijfskritische / langjarige toepassingen inzetten normaal.

Alxndr

11 januari 2023 13:41

Ik zou het fijn vinden als er aangegeven kan worden hoe groot het risico voor 'normale' huis tuin en keuken gebruikers is.

"ALPC, SharePoint, Microsoft Cryptographic Services, Layer 2 Tunneling Protocol, Secure Socket Tunneling Protocol"

Dit zegt mij, en ik neem aan 90% van de gebruikers, helemaal niets. Hoe is dit een risico als ik gewoon mijn (lokaal opgeslagen) office bestanden gebruik, op het internet browse en m'n spelletjes speel?

Kan er op het moment ff geen gedoe erbij hebben, dus ik neem het risico en wacht wel (weer!) een paar dagen om te zien hoe erg het deze keer is.

[Reactie gewijzigd door Alxndr op 23 juli 2024 09:05]

YangWenli @Alxndr • 11 januari 2023 13:54

1% van 100 miljoen is nog steeds heel veel.

Verwijderd @Alxndr • 11 januari 2023 14:29

Ik zou het fijn vinden als er aangegeven kan worden hoe groot het risico voor 'normale' huis tuin en keuken gebruikers is.
Tja, dat is een moeilijke. Je zou kunnen kijken naar de CVSS score (8.8 op 10) maar uiteindelijk is het niet boeiend. Het algemene advies is om zo snel mogelijk te updaten. Dat is de enige manier om niet 'vatbaar' te zijn voor deze 'lekken'.

Zodra een patch uitgebracht wordt zullen hackers (zowel goed als kwaad) direct bezig gaan het 'reverse-engineeren' van de problemen. Hiermee 'verrijken' ze bestaande virussen en malware zoals cryptolockers. Hoe lang ze daarover doen is niet in te schatten.

Uiteraard hangt het ook maar af hoe je de computer gebruikt... Download je veel illegale software of open je slechts 1x per jaar de banksite? Dat veranderd ook wel vaak dus niemand kan inschatten 'hoe groot het risico is'.

Dus simpelweg altijd zo snel mogelijk updaten is het enige antwoord dat iemand je kan geven.

/Persoonlijke mening:
Geef huis-tuin-keuken gebruikers een chromebook of ipad. Stuk veiliger, goedkoper en waarschijnlijk nog meer tevreden eindgebruikers ook...

GeroldM @Alxndr • 11 januari 2023 14:59

Als je als huis-, tuin- en keukengebruiker achter een goede (hardware) fire-wall zit en je doet helemaal niets met de cloud, dus niet voor gamen/fotos/muziek/opslag/backups, dan zullen de tunneling problemen niet echt van toepassing zijn voor je, aangezien Microsoft ook aangeeft dat er lokale toegang nodig is voordat er escalatie mogelijk is.

Helaas is het echter zo dat de gemiddelde huis-, tuin- en keukengebruiker niet achter een goede (hardware) firewall zit en dat hun systemen verder open staan naar het grote boze internet dan dat zij zelf verwachten. Daarnaast word er ook veel gebruik gemaakt van cloud-diensten. Direct door de gebruiker zelf, maar ook via lokaal draaiende services waar de gebruiker misschien niet eens in de gaten heeft dat dit gebeurt.

En dan zijn die patches voor tunneling escalaties beter vandaag uitgevoerd dan morgen. Het is voor Microsoft dus onmogelijk om te bepalen hoe groot het risico voor een specifieke huis-, tuin- en keukengebruiker nou werkelijk is.

Onmogelijk, in de huidige situatie. Het zou wel mogelijk zijn als jij de complete controle van wat jij mag gebruiken/installeren op jouw computer overgeeft aan Microsoft en voor dat "privilege" maandelijks betaalt. Naast aanschaf- en energiekosten natuurlijk. In dat geval is het beter om geen computer meer te hebben en je je bibliotheek-kaart afstoft en verlengt.

[Reactie gewijzigd door GeroldM op 23 juli 2024 09:05]

Anonymoussaurus 11 januari 2023 10:40

Hmm, denk dat ik ondanks deze kwetsbaarheden toch nog even wacht, nadat de laatste Tuesday-update mijn laptop om zeep had geholpen (wat ik overigens wel weer heb kunnen fiksen).

KeesAlderlieste @Anonymoussaurus • 11 januari 2023 10:58

die ben ik ook een aantal keren tegen gekomen. Veilige mode booten en sfc /scannow draaien fixt de boel weer.

Anonymoussaurus @KeesAlderlieste • 11 januari 2023 10:59

Dat hielp bij mij dus niet op die exacte manier, zie: Anonymoussaurus in 'Windows 10-gebruikers melden blue screens of death na Patch Tuesday-update'

m.z @Anonymoussaurus • 11 januari 2023 13:38

Wat me ook eens opgevallen is dat issue meegaat als je een voorgaande versie installeert. Heb op 1 systeem zeker 3 keer de workaround moeten (laten) toepassen, terwijl niet (meer) voorzien was van build eindigend met x.x.2251.

Rataplan_ 11 januari 2023 15:00

De RDP bug is echter nog stééds niet opgelost. Die zit er al sinds october in, en maakt dat thuis gebruikers die via hun eigen pc / laptop inloggen op RDP bij ons gewoon niet kunnen inloggen. Ja er is een workaround, in de registry UDP uitzetten, maar ik begrijp niet waarom zo'n bug ZO lang erin moet blijven zitten. MS heeft er toch baat bij / wil toch graag als ook bedrijven naar Windows 11 gaan? Maarja, gezien de UI en de onproductiviteit daarvan hebben wij vooralsnog op al onze clients de upgrade naar 11 geblokkeerd.

dieguyvanit @Rataplan_ • 11 januari 2023 16:50

Wij zetten nu mondjesmaat per afdeling wat mensen over.
Ellende wou dat ik tot april had gewacht want dan is het een stuk rustiger.

Eochaidh 11 januari 2023 22:22

Binnen 72 uur na publicatie patchen we +/- 400 servers en zo een 4000 werkplekken. Zeer zelden problemen. Vervelend voor een ieder die dit wel veel heeft.

bvanaerde 12 januari 2023 10:11

Zelfs na de laatste update, krijg ik nog steeds de bluescreen met error code 0xc000021a.
Het lijkt dus niet automatisch opgelost te zijn.

Op dit item kan niet meer gereageerd worden.

Microsoft repareert twaalf Critical-bugs en een zeroday op Patch Tuesday

Lees meer

Reacties (28)

Sorteer op:

Weergave: