May's Patch Tuesday updates čini hitno zakrpe obaveznim

Prošlonedeljni Patch Tuesday počeo je sa 73 ažuriranja, ali je završio (do sada) sa tri revizije i kasnim dodavanjem (CVE-2022-30138) za ukupno 77 ranjivosti riješenih ovog mjeseca. U poređenju sa širokim skupom ažuriranja objavljenih u aprilu, vidimo veću hitnost u zakrpanju Windows-a – posebno sa tri nula dana i nekoliko veoma ozbiljnih nedostataka u ključnim serverima i oblastima za autentifikaciju. Razmjena će također zahtijevati pažnju zbog nova tehnologija ažuriranja servera.

Ovog mjeseca nije bilo ažuriranja za Microsoft pretraživače i Adobe Reader. A Windows 10 20H2 (jedva smo vas poznavali) sada je bez podrške.

Više informacija o rizicima implementacije ovih ažuriranja zakrpa u utorak možete pronaći u ovu korisnu infografiku, a MSRC centar je objavio dobar pregled načina na koji rukuje sigurnosnim ažuriranjima OVDJE.

Ključni scenariji testiranja

S obzirom na veliki broj promjena uključenih u ovaj ciklus zakrpa u maju, razbio sam scenarije testiranja u grupe visokog i standardnog rizika:

Visokog rizika: Ove promjene će vjerovatno uključivati ​​promjene funkcionalnosti, mogu ukinuti postojeće funkcije i vjerovatno će zahtijevati kreiranje novih planova testiranja:

• Testirajte svoje korporativne CA certifikate (i nove i obnovljene). Vaš server domene KDC će automatski potvrditi nove ekstenzije uključene u ovo ažuriranje. Potražite neuspjele provjere!
• Ovo ažuriranje uključuje promjenu potpisa upravljačkog programa koji sada uključuje i provjeru vremenske oznake autentikod potpisi. Potpisani drajveri bi se trebali učitati. Nepotpisani drajveri ne bi trebali. Provjerite probno izvođenje aplikacije za neuspješno učitavanje drajvera. Uključite i provjere potpisanih EXE-ova i DLL-ova.

Sljedeće promjene nisu dokumentirane da uključuju funkcionalne promjene, ali će ipak zahtijevati najmanje “ispitivanje dima” prije generalnog postavljanja May-ovih zakrpa:

• Testirajte svoje VPN klijente kada ih koristite RRAS serveri: uključuju povezivanje, prekid veze (koristeći sve protokole: PPP/PPTP/SSTP/IKEv2).
• Testirajte da li se vaše EMF datoteke otvaraju kako je očekivano.
• Testirajte svoj Windows adresar (WAB) ovisnosti aplikacije.
• Testirajte BitLocker: pokrenite/zaustavite svoje mašine pomoću BitLocker omogućeno, a zatim onemogućeno.
• Potvrdite da su vaši vjerodajnici dostupni putem VPN-a (pogledajte Microsoft Credential Manager).
• Testirajte svoj V4 drajveri za štampač (naročito kasnijim dolaskom CVE-2022-30138). 

Ovomjesečno testiranje će zahtijevati nekoliko ponovnih pokretanja vaših resursa za testiranje i trebalo bi uključiti i (BIOS/UEFI) virtuelne i fizičke mašine.

Poznati problemi

Microsoft uključuje listu poznatih problema koji utiču na operativni sistem i platforme uključene u ovaj ciklus ažuriranja:

• Nakon instaliranja ovomjesečnog ažuriranja, Windows uređaji koji koriste određene GPU-ove mogu uzrokovati apps da se neočekivano zatvori ili generiše kod izuzetka (0xc0000094 u modulu d3d9on12.dll) u apps koristeći Direct3D verziju 9. Microsoft je objavio a KIR ažuriranje grupne politike da riješi ovaj problem sa sljedećim GPO postavkama: Preuzmite za Windows 10, verzija 2004, Windows 10, verzija 20H2, Windows 10, verzija 21H1 i Windows 10, verzija 21H2.
• Nakon instaliranja ažuriranja objavljenih 11. januara 2022. ili kasnije, apps koji koriste Microsoft .NET Framework za pribavljanje ili postavljanje informacija o povjerenju šume Active Directory možda neće uspjeti ili generirati grešku kršenja pristupa (0xc0000005). Čini se da aplikacije koje zavise od System.DirectoryServices API su pogođeni.

Microsoft je zaista poboljšao svoju igru ​​kada je raspravljao o nedavnim popravkama i ažuriranjima za ovo izdanje s korisnim ažurirati istaknute stavke video.

Velike revizije

Iako postoji znatno smanjena lista zakrpa ovog mjeseca u odnosu na april, Microsoft je objavio tri revizije uključujući:

• CVE-2022-1096: Chromium: CVE-2022-1096 Zabuna tipa u V8. Ova martovska zakrpa je ažurirana kako bi uključila podršku za najnoviju verziju Visual Studio-a (2022) kako bi se omogućilo ažurirano prikazivanje sadržaja webview2. Nisu potrebne dodatne radnje.
• CVE-2022-24513: Visual Studio Elevation of Privilege Ranjivost. Ova zakrpa za april je ažurirana kako bi uključila SVE podržane verzije Visual Studio-a (15.9 do 17.1). Nažalost, ovo ažuriranje može zahtijevati testiranje aplikacija za vaš razvojni tim, jer utiče na to kako se prikazuje sadržaj webview2.
• CVE-2022-30138: Windows Print Spooler Ranjivost povećanja privilegija. Ovo je samo informativna promjena. Nisu potrebne dodatne radnje.

Ublažavanja i rješenja

Za maj, Microsoft je objavio jedno ključno sredstvo za ublažavanje ozbiljne ranjivosti Windows mrežnog sistema datoteka:

• CVE-2022-26937: Windows mrežni sistem datoteka Ranjivost udaljenog izvršavanja koda. Napad možete ublažiti onemogućavanjem NFSV2 i NFSV3. Sljedeća PowerShell naredba će onemogućiti te verzije: "PS C:Set-NfsServerConfiguration -EnableNFSV2 $false -EnableNFSV3 $false." Jednom završeno. moraćete da ponovo pokrenete svoj NFS server (ili po mogućnosti da ponovo pokrenete mašinu). A da biste potvrdili da je NFS server ispravno ažuriran, koristite PowerShell naredbu „PS C: Get-NfsServerConfiguration“.

Svakog mjeseca razbijamo ciklus ažuriranja na porodice proizvoda (kako ih je definirao Microsoft) sa sljedećim osnovnim grupama: 

• Pregledači (Microsoft IE i Edge);
• Microsoft Windows (i desktop i server);
• Microsoft office;
• Microsoft Exchange;
• Microsoft razvojne platforme ( ASP.NET Core, .NET Core i Chakra Core);
• Adobe (penzionisan???, možda iduće godine).

preglednici

Microsoft ovog mjeseca nije objavio nikakva ažuriranja za svoje naslijeđe (IE) ili Chromium (Edge). Vidimo trend smanjenja broja kritičnih problema koji su mučili Microsoft u protekloj deceniji. Osećam da je prelazak na Chromium projekat definitivno "super plus-plus win-win" i za razvojni tim i za korisnike.

Govoreći o starim pretraživačima, moramo se pripremiti za penzionisanje IE dolazi sredinom juna. Pod „pripremite“ mislim na proslavu — nakon što smo, naravno, osigurali to naslijeđe apps nemaju eksplicitne zavisnosti od starog IE motora za renderovanje. Dodajte “Proslavite penzionisanje IE” u raspored implementacije vašeg pretraživača. Vaši korisnici će razumjeti.

Windows

Windows platforma ovog mjeseca dobija šest kritičnih ažuriranja i 56 zakrpa koje su ocijenjene kao važne. Nažalost, imamo i tri eksploatacije nultog dana:

• CVE-2022-22713: Ova javno objavljena ranjivost na Microsoftovoj Hyper-V virtuelizacijskoj platformi zahtijevat će od napadača da uspješno iskoristi stanje interne utrke kako bi doveo do potencijalnog scenarija uskraćivanja usluge. To je ozbiljna ranjivost, ali zahtijeva povezivanje nekoliko ranjivosti da bi uspjela.
• CVE-2022-26925: I javno objavljeno i prijavljeno kao eksploatisano u divljini, ovo Problem s LSA autentifikacijom je prava briga. Biće ga lako zakrpiti, ali profil testiranja je velik, što ga čini teškim za brzo postavljanje. Pored testiranja autentifikacije vaše domene, uvjerite se da funkcije sigurnosnog kopiranja (i vraćanja) rade kako se očekuje. Toplo preporučujemo da provjerite najnovije Bilješke o Microsoft podršci na ovom tekući problem.
• CVE-2022-29972: Ova javno objavljena ranjivost u crvenomshift ODBC drajver je prilično specifičan za Synapse aplikacije. Ali ako ste bili izloženi nekom od ovih Azure Synapse RBAC uloge, implementacija ovog ažuriranja je glavni prioritet.

Pored ovih problema nultog dana, postoje još tri pitanja koja zahtijevaju vašu pažnju:

• CVE-2022-26923: ova ranjivost u Active Directory autentifikaciji nije baš “crvljiv” ali je tako lako iskoristiti da ne bih bio iznenađen da vidim da je aktivno napadnut soon. Jednom kompromitovana, ova ranjivost će omogućiti pristup cijeloj vašoj domeni. Ulozi su visoki sa ovim.
• CVE-2022-26937: Ova greška u mrežnom sistemu datoteka ima ocjenu 9.8 – jednu od najviših prijavljenih ove godine. NFS nije omogućeno prema zadanim postavkama, ali ako imate Linux ili Unix na mreži, vjerovatno ga koristite. Zakrpite ovaj problem, ali preporučujemo i nadogradnju na NFSv4.1 as soon što je moguće.
• CVE-2022-30138: Ova zakrpa je objavljena nakon zakrpe u utorak. Ovaj problem sa spulerom štampanja utiče samo na starije sisteme (Windows 8 i Server 2012), ali će zahtevati značajno testiranje pre implementacije. To nije super kritičan sigurnosni problem, ali potencijal za probleme sa štampačem je veliki. Uzmite si vremena prije implementacije ovog.

S obzirom na broj ozbiljnih eksploatacija i tri nula dana u maju, dodajte ovomjesečno ažuriranje za Windows u svoj raspored „Zakrpi odmah“.

microsoft office

Microsoft je objavio samo četiri ažuriranja za Microsoft Office platformu (Excel, SharePoint) od kojih su sva ocijenjena važnima. Sva ova ažuriranja je teško iskoristiti (zahtevaju i interakciju korisnika i lokalni pristup ciljnom sistemu) i utiču samo na 32-bitne platforme. Dodajte ova niskoprofilna, niskorizična Office ažuriranja u svoj standardni raspored izdanja.

Microsoft Exchange server

Microsoft je objavio jedno ažuriranje za Exchange Server (CVE-2022-21978) koji je ocijenjen važnim i čini se prilično teškim za eksploataciju. Ova ranjivost elevacije privilegija zahtijeva potpuno autentificiran pristup serveru, a do sada nije bilo izvještaja o javnom otkrivanju ili eksploataciji u divljini.

Što je još važnije ovog mjeseca, Microsoft je predstavio novi metod za ažuriranje Microsoft Exchange servera koji sada uključuje:

• Datoteka zakrpe Windows Installer (.MSP), koja najbolje radi za automatske instalacije.
• Samoraspakujući instalater sa automatskim podizanjem (.exe), koji najbolje radi za ručne instalacije.

Ovo je pokušaj da se riješi problem Exchange administratora koji ažurira svoje serverske sisteme u neadministratorskom kontekstu, što rezultira lošim stanjem servera. Novi EXE format omogućava instalaciju komandne linije i bolje evidentiranje instalacije. Microsoft je od pomoći objavio sljedeći primjer EXE komandne linije:

“Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains”

Napomena, Microsoft preporučuje da imate varijablu okruženja %Temp% prije korištenja novog EXE instalacionog formata. Ako slijedite novu metodu korištenja EXE-a za ažuriranje Exchangea, zapamtite da ćete i dalje morati (zasebno) implementirati mjesečni S.S.U. ažurirajte kako biste osigurali da su vaši serveri ažurirani. Dodajte ovo ažuriranje (ili EXE) u svoj standardni raspored izdanja, osiguravajući da se izvrši potpuno ponovno pokretanje kada se sva ažuriranja završe.

Microsoft razvojne platforme

Microsoft je objavio pet ažuriranja ocijenjenih važnim i jednu zakrpu s niskom ocjenom. Sve ove zakrpe utiču na Visual Studio i .NET framework. Kako ćete ažurirati svoje instance Visual Studio kako biste riješili ove prijavljene ranjivosti, preporučujemo da pročitate Visual Studio Aprilski vodič za ažuriranje.

Da biste saznali više o konkretnim pitanjima koja se rješavaju iz sigurnosne perspektive, Maj 2022. Objava na blogu ažuriranja .NET-a će biti od koristi. Napominjući da .NET 5.0 je sada dostigao kraj podrške i prije nego što nadogradite na .NET 7, možda bi bilo vrijedno provjeriti kompatibilnost ili “razbijanje promjena” koje treba riješiti. Dodajte ova ažuriranja srednjeg rizika u svoj standardni raspored ažuriranja.

Adobe (zaista samo Reader)

Mislio sam da možda vidimo trend. Nema ažuriranja za Adobe Reader za ovaj mjesec. Međutim, Adobe je objavio niz ažuriranja za druge proizvode koji se nalaze ovdje: APSB22-21. Da vidimo šta će se desiti u junu - možda možemo da se povučemo oba Adobe Reader i IE.