Майскія абнаўленні патча ў аўторак робяць абавязковым тэрміновае выпраўленне

Аўторак патча на мінулым тыдні пачаўся з 73 абнаўленняў, але скончыўся (пакуль) трыма рэвізіямі і познім даданнем (CVE-2022-30138) у агульнай складанасці 77 уразлівасцяў, ухіленых у гэтым месяцы. У параўнанні з шырокім наборам абнаўленняў, выпушчаных у красавіку, мы бачым большую тэрміновасць у выпраўленні Windows — асабліва з трыма нулявымі днямі і некалькімі вельмі сур'ёзнымі недахопамі ў ключавых серверах і абласцях аўтэнтыфікацыі. Абмен запатрабуе ўвагі таксама з-за новая тэхналогія абнаўлення сервера.

У гэтым месяцы не было абнаўленняў для браўзераў Microsoft і Adobe Reader. І Windows 10 20H2 (мы вас амаль не ведалі) больш не падтрымліваецца.

Вы можаце знайсці дадатковую інфармацыю аб рызыках разгортвання гэтых абнаўленняў Patch Tuesday у гэта карысная інфаграфіка, і MSRC Center апублікаваў добры агляд таго, як ён апрацоўвае абнаўленні бяспекі тут.

Асноўныя сцэнары тэставання

Улічваючы вялікую колькасць змяненняў, уключаных у гэты травеньскі цыкл выпраўленняў, я разбіў сцэнарыі тэсціравання на групы высокай і стандартнай рызыкі:

Высокі рызыка: Гэтыя змены, хутчэй за ўсё, будуць уключаць у сябе змяненні функцыянальнасці, могуць састарэць існуючыя функцыі і, верагодна, запатрабуюць стварэння новых планаў тэсціравання:

• Праверце свае карпаратыўныя сертыфікаты ЦС (як новыя, так і абноўленыя). Сервер вашага дамена KDC будзе аўтаматычна правяраць новыя пашырэнні, уключаныя ў гэта абнаўленне. Шукайце няўдалыя праверкі!
• Гэта абнаўленне ўключае змены ў подпісы драйвераў, якія цяпер уключаюць праверку меткі часу, а таксама подпісы аўтэнтыкода. Павінны загрузіцца падпісаныя драйверы. Непадпісаныя драйверы не павінны. Праверце тэставыя запускі прыкладання на прадмет няўдалых загрузак драйвераў. Таксама ўключыце праверку падпісаных файлаў EXE і DLL.

Наступныя змены не задакументаваны як уключаючыя функцыянальныя змены, але яны па-ранейшаму патрабуюць як мінімум "тэставанне на дым» перад агульным разгортваннем майскіх патчаў:

• Праверце свае кліенты VPN пры выкарыстанні РРАН серверы: уключыць падключэнне, адключэнне (з выкарыстаннем усіх пратаколаў: PPP/PPTP/SSTP/IKEv2).
• Праверце, ці адкрываюцца файлы EMF належным чынам.
• Праверце сваю адрасную кнігу Windows (WAB) залежнасці прыкладанняў.
• Праверце BitLocker: запускайце/спыняйце свае машыны з дапамогай BitLocker уключаны, а потым адключаны.
• Пераканайцеся, што вашы ўліковыя дадзеныя даступныя праз VPN (гл Менеджэр уліковых дадзеных Microsoft).
• Праверце свой V4 драйвера друкаркі (асабліва з больш познім прыходам CVE-2022-30138). 

Тэставанне ў гэтым месяцы запатрабуе некалькіх перазагрузак вашых тэставых рэсурсаў і павінна ўключаць як (BIOS/UEFI) віртуальныя, так і фізічныя машыны.

вядомыя праблемы

Microsoft змяшчае спіс вядомых праблем, якія ўплываюць на аперацыйную сістэму і платформы, уключаныя ў гэты цыкл абнаўлення:

• Пасля ўстаноўкі абнаўлення ў гэтым месяцы прылады Windows, якія выкарыстоўваюць пэўныя графічныя працэсары, могуць выклікаць apps каб нечакана зачыніцца, або стварыць код выключэння (0xc0000094 у модулі d3d9on12.dll) у apps з выкарыстаннем Direct3D версіі 9. Microsoft апублікавала a КІР абнаўленне групавой палітыкі, каб вырашыць гэтую праблему з наступнымі параметрамі GPO: Спампаваць для Windows 10 версіі 2004, Windows 10 версіі 20H2, Windows 10 версіі 21H1 і Windows 10 версіі 21H2.
• Пасля ўстаноўкі абнаўленняў, выпушчаных 11 студзеня 2022 г. або пазней, apps якія выкарыстоўваюць Microsoft .NET Framework для атрымання або ўстанаўлення даверанай інфармацыі аб лясах Active Directory, можа не атрымацца або стварыць памылку парушэння доступу (0xc0000005). Аказваецца, што прыкладанні, якія залежаць ад API System.DirectoryServices закрануты.

Microsoft сапраўды палепшыла сваю гульню пры абмеркаванні нядаўніх выпраўленняў і абнаўленняў для гэтага выпуску з карысным абнавіць асноўныя моманты відэа.

Асноўныя перапрацоўкі

Нягледзячы на ​​тое, што спіс выпраўленняў у гэтым месяцы значна скараціўся ў параўнанні з красавіком, Microsoft выпусціла тры версіі, у тым ліку:

• CVE-2022-1096: Chromium: CVE-2022-1096 Блытаніна тыпу ў V8. Гэты сакавіцкі патч быў абноўлены, каб уключыць падтрымку апошняй версіі Visual Studio (2022), каб дазволіць абноўлены рэндэрынг кантэнту webview2. Ніякіх далейшых дзеянняў не патрабуецца.
• CVE-2022-24513: Уразлівасць Visual Studio для павышэння прывілеяў. Гэты красавіцкі патч быў абноўлены, каб уключыць УСЕ падтрымоўваныя версіі Visual Studio (ад 15.9 да 17.1). На жаль, гэта абнаўленне можа запатрабаваць некаторага тэставання прыкладання для вашай каманды распрацоўшчыкаў, паколькі яно ўплывае на тое, як адлюстроўваецца кантэнт webview2.
• CVE-2022-30138: Уразлівасць спулера друку Windows да павышэння прывілеяў. Гэта толькі інфармацыйная змена. Ніякіх далейшых дзеянняў не патрабуецца.

Мяккі і абыходныя шляхі

У траўні Microsoft апублікавала адно ключавое сродак для памяншэння сур'ёзнай уразлівасці сеткавай файлавай сістэмы Windows:

• CVE-2022-26937: Уразлівасць дыстанцыйнага выканання кода сеткавай файлавай сістэмы Windows. Вы можаце змякчыць атаку, адключыўшы NFSV2 і NFSV3. Наступная каманда PowerShell адключыць гэтыя версіі: «PS C:Set-NfsServerConfiguration -EnableNFSV2 $false -EnableNFSV3 $false». Пасля таго, як зроблена. вам трэба будзе перазагрузіць сервер NFS (ці лепш за ўсё перазагрузіць машыну). Каб пераканацца, што сервер NFS абноўлены правільна, выкарыстоўвайце каманду PowerShell «PS C:Get-NfsServerConfiguration».

Кожны месяц мы разбіваем цыкл абнаўленняў на сямейства прадуктаў (як вызначае Microsoft) з наступнымі асноўнымі групамі: 

• Браўзэры (Microsoft IE і Edge);
• Microsoft Windows (як настольны, так і серверны);
• Microsoft Office;
• Microsoft Exchange;
• Платформы распрацоўкі Microsoft ( ASP.NET Core, .NET Core і Chakra Core);
• Adobe (на пенсіі???, можа быць, у наступным годзе).

Браўзэры

У гэтым месяцы Microsoft не выпускала ніякіх абнаўленняў ні для састарэлых (IE), ні для Chromium (Edge). Мы назіраем тэндэнцыю да зніжэння колькасці крытычных праблем, якія турбуюць Microsoft на працягу апошняга дзесяцігоддзя. Я адчуваю, што пераход на праект Chromium быў пэўным "супер плюс-плюс бяспройгрышным" як для каманды распрацоўшчыкаў, так і для карыстальнікаў.

Гаворачы аб старых браўзерах, мы павінны падрыхтавацца да выхад на пенсію IE наступае ў сярэдзіне чэрвеня. Пад «падрыхтоўкай» я маю на ўвазе святкаванне - пасля таго, як, вядома, мы забяспечым гэтую спадчыну apps не маюць відавочных залежнасцей ад старога механізму рэндэрынгу IE. Калі ласка, дадайце «Святкуйце выхад IE» з раскладу разгортвання вашага браўзера. Вашы карыстальнікі зразумеюць.

Windows

У гэтым месяцы платформа Windows атрымала шэсць важных абнаўленняў і 56 патчаў, ацэненых як важныя. На жаль, у нас таксама ёсць тры эксплойты нулявога дня:

• CVE-2022-22713: Гэтая публічна раскрытая ўразлівасць у платформе віртуалізацыі Hyper-V ад Microsoft запатрабуе ад зламысніка паспяховага выкарыстання ўнутранай гонкі, каб прывесці да патэнцыйнага сцэнарыя адмовы ў абслугоўванні. Гэта сур'ёзная ўразлівасць, але для поспеху патрабуецца аб'яднаць некалькі ўразлівасцей.
• CVE-2022-26925: Апублікавана і паведамлена аб эксплуатацыі ў дзікай прыродзе Праблема аўтэнтыфікацыі LSA выклікае рэальную заклапочанасць. Яго будзе лёгка выправіць, але профіль тэсціравання вялікі, што робіць яго складаным для хуткага разгортвання. У дадатак да праверкі аўтэнтыфікацыі дамена пераканайцеся, што функцыі рэзервовага капіравання (і аднаўлення) працуюць належным чынам. Мы настойліва раім праверыць апошнія Заўвагі службы падтрымкі Microsoft на гэтым бягучая праблема.
• CVE-2022-29972: Гэта публічна раскрытая ўразлівасць у Redshift ODBC Драйвер даволі спецыфічны для прыкладанняў Synapse. Але калі вы падвяргаецеся ўздзеянню любога з Azure Synapse RBAC роляў, разгортванне гэтага абнаўлення з'яўляецца галоўным прыярытэтам.

У дадатак да гэтых праблем нулявога дня, ёсць яшчэ тры праблемы, якія патрабуюць вашай увагі:

• CVE-2022-26923: гэтая ўразлівасць у аўтэнтыфікацыі Active Directory не зусім "чарвячныя», але яго настолькі лёгка выкарыстоўваць, што я не здзіўлюся, калі яго актыўна атакуюць soon. Пасля ўзлому гэтая ўразлівасць забяспечыць доступ да ўсяго вашага дамена. Стаўкі высокія з гэтым.
• CVE-2022-26937: Гэтая памылка сеткавай файлавай сістэмы мае рэйтынг 9.8 – адзін з самых высокіх, зарэгістраваных у гэтым годзе. NFS не ўключаны па змаўчанні, але калі ў вашай сетцы ёсць Linux або Unix, вы, верагодна, выкарыстоўваеце яго. Выпраўце гэтую праблему, але мы таксама рэкамендуем абнавіць да NFSv4.1 as soon наколькі гэта магчыма.
• CVE-2022-30138: Гэты патч быў выпушчаны пасля патча ў аўторак. Гэтая праблема спулера друку закранае толькі старыя сістэмы (Windows 8 і Server 2012), але перад разгортваннем спатрэбіцца значнае тэставанне. Гэта не вельмі крытычная праблема бяспекі, але патэнцыял праблем, звязаных з прынтарам, вялікі. Не спяшайцеся перад разгортваннем гэтага.

Улічваючы колькасць сур'ёзных эксплойтаў і тры нулявыя дні ў траўні, дадайце абнаўленне Windows у гэтым месяцы ў свой расклад «Выправіць зараз».

Microsoft Office

Microsoft выпусціла ўсяго чатыры абнаўлення для платформы Microsoft Office (Excel, SharePoint), усе з якіх прызнаны важнымі. Усе гэтыя абнаўленні цяжка выкарыстоўваць (патрабуецца як узаемадзеянне карыстальніка, так і лакальны доступ да мэтавай сістэмы), і яны закранаюць толькі 32-бітныя платформы. Дадайце гэтыя малапрофільныя абнаўленні Office з нізкім узроўнем рызыкі ў свой стандартны графік выпуску.

Microsoft Exchange Server

Microsoft выпусціла адно абнаўленне для Exchange Server (CVE-2022-21978), які лічыцца важным і, здаецца, даволі складаным для выкарыстання. Для гэтай уразлівасці патрабуецца поўная аўтэнтыфікацыя доступу да сервера, і да гэтага часу не было паведамленняў аб публічным раскрыцці або выкарыстанні ў дзікай прыродзе.

Што яшчэ больш важна, у гэтым месяцы Microsoft прадставіла новы метад абнаўлення сервераў Microsoft Exchange што цяпер уключае:

• Файл выпраўлення ўсталёўшчыка Windows (.MSP), які лепш за ўсё працуе для аўтаматызаванай усталёўкі.
• Самараспакоўны ўсталёўшчык з аўтаматычным павышэннем (.exe), які лепш за ўсё працуе пры ўсталёўцы ўручную.

Гэта спроба вырашыць праблему адміністратараў Exchange, якія абнаўляюць свае серверныя сістэмы ў неадміністратарскім кантэксце, што прыводзіць да дрэннага стану сервера. Новы фармат EXE дазваляе ўсталёўваць праз камандны радок і лепш весці журнал усталёўкі. Microsoft апублікавала наступны прыклад каманднага радка EXE:

«Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains»

Звярніце ўвагу, Microsoft рэкамендуе мець зменную асяроддзя %Temp% перад выкарыстаннем новага фармату ўстаноўкі EXE. Калі вы будзеце прытрымлівацца новага метаду выкарыстання EXE для абнаўлення Exchange, памятайце, што вам усё роўна прыйдзецца (асобна) разгортваць штомесяц СумДУ абнаўленне, каб пераканацца, што вашы серверы абнаўляюцца. Дадайце гэтае абнаўленне (або EXE) у свой стандартны графік выпуску, гарантуючы, што пасля завяршэння ўсіх абнаўленняў будзе выканана поўная перазагрузка.

Платформы для распрацоўкі Microsoft

Microsoft выпусціла пяць абнаўленняў, ацэненых як важныя, і адзін патч з нізкім рэйтынгам. Усе гэтыя патчы ўплываюць на Visual Studio і платформу .NET. Паколькі вы будзеце абнаўляць свае экзэмпляры Visual Studio для ліквідацыі гэтых уразлівасцей, мы рэкамендуем вам прачытаць Кіраўніцтва па красавіцкім абнаўленні Visual Studio.

Каб даведацца больш аб канкрэтных пытаннях, якія разглядаюцца з пункту гледжання бяспекі, the Публікацыя ў блогу з абнаўленнем .NET за май 2022 г будзе карысна. Адзначаючы, што.Падтрымка NET 5.0 завершана і перад абнаўленнем да .NET 7, магчыма, варта праверыць сумяшчальнасць або "парушэнне змен», якія трэба вырашыць. Дадайце гэтыя абнаўленні сярэдняй ступені рызыкі ў свой стандартны расклад абнаўленняў.

Adobe (на самай справе проста Reader)

Я думаў, што мы бачым тэндэнцыю. Няма абнаўленняў Adobe Reader за гэты месяц. Тым не менш, Adobe выпусціла шэраг абнаўленняў для іншых прадуктаў, якія можна знайсці тут: АПСБ22-21. Паглядзім, што будзе ў чэрвені — можа, і на пенсію выйдзем абодва Adobe Reader і IE.