Aktualizace květnového úterního záplatování činí naléhavé opravy nutností

Patch Tuesday minulého týdne začalo se 73 aktualizacemi, ale skončilo (zatím) třemi revizemi a pozdním přidáním (CVE-2022-30138) pro celkem 77 zranitelností řešených tento měsíc. Ve srovnání se širokou sadou aktualizací vydaných v dubnu vidíme větší naléhavost záplatování systému Windows – zejména se třemi nultými dny a několika velmi vážnými chybami v klíčových serverech a oblastech ověřování. Výměna bude vyžadovat pozornost také kvůli nová technologie aktualizace serveru.

Tento měsíc nebyly k dispozici žádné aktualizace pro prohlížeče Microsoft a Adobe Reader. A Windows 10 20H2 (stěží jsme vás znali) nyní není podporován.

Další informace o rizicích nasazení těchto aktualizací Patch Tuesday najdete v tuto užitečnou infografiku, a centrum MSRC zveřejnilo dobrý přehled o tom, jak zpracovává aktualizace zabezpečení zde.

Klíčové testovací scénáře

Vzhledem k velkému počtu změn zahrnutých v tomto květnovém opravném cyklu jsem scénáře testování rozdělil do skupin s vysokým rizikem a standardním rizikem:

Vysoké riziko: Tyto změny budou pravděpodobně zahrnovat změny funkčnosti, mohou ukončit podporu stávajících funkcí a pravděpodobně budou vyžadovat vytvoření nových plánů testování:

• Otestujte své podnikové certifikáty CA (nové i obnovené). Váš doménový server KDC automaticky ověří nová rozšíření obsažená v této aktualizaci. Hledejte neúspěšná ověření!
• Tato aktualizace zahrnuje změnu podpisů ovladačů, které nyní zahrnují také kontrolu časových razítek autentizační podpisy. Podepsané ovladače by se měly načíst. Nepodepsané ovladače by neměly. Zkontrolujte, zda testovací běhy aplikace nevykazují selhání načtení ovladače. Zahrňte také kontroly podepsaných souborů EXE a DLL.

U následujících změn není zdokumentováno, že zahrnují funkční změny, ale stále budou vyžadovat minimálně „kouřové zkoušky” před obecným nasazením květnových oprav:

• Při používání otestujte své VPN klienty RRAS servery: zahrnují připojení, odpojení (pomocí všech protokolů: PPP/PPTP/SSTP/IKEv2).
• Otestujte, zda se vaše soubory EMF otevírají podle očekávání.
• Otestujte svůj adresář Windows (WAB) závislosti aplikací.
• Test BitLocker: spusťte/zastavte své počítače pomocí BitLocker povoleno a poté zakázáno.
• Ověřte, zda jsou vaše přihlašovací údaje přístupné přes VPN (viz Správce pověření společnosti Microsoft).
• Otestujte si svůj Ovladače tiskárny v4 (zejména s pozdějším příchodem CVE-2022-30138). 

Testování tento měsíc bude vyžadovat několik restartů vašich testovacích prostředků a mělo by zahrnovat virtuální i fyzické počítače (BIOS/UEFI).

Známé problémy

Společnost Microsoft zahrnuje seznam známých problémů, které ovlivňují operační systém a platformy zahrnuté v tomto aktualizačním cyklu:

• Po instalaci aktualizace z tohoto měsíce mohou způsobit zařízení Windows, která používají určité GPU apps neočekávaně zavřít nebo vygenerovat kód výjimky (0xc0000094 v modulu d3d9on12.dll) v apps pomocí Direct3D verze 9. Společnost Microsoft publikovala a KIR aktualizace zásad skupiny k vyřešení tohoto problému pomocí následujících nastavení GPO: Stáhnout pro Windows 10, verze 2004, Windows 10, verze 20H2, Windows 10, verze 21H1 a Windows 10, verze 21H2.
• Po instalaci aktualizací vydaných 11. ledna 2022 nebo později apps které používají Microsoft .NET Framework k získání nebo nastavení informací o důvěryhodnosti doménové struktury Active Directory, může selhat nebo generovat chybu narušení přístupu (0xc0000005). Zdá se, že aplikace, které závisí na System.DirectoryServices API jsou ovlivněny.

Microsoft skutečně zvýšil svou hru, když probíral poslední opravy a aktualizace pro toto vydání s užitečným aktualizovat zvýraznění video.

Hlavní revize

Přestože je tento měsíc ve srovnání s dubnem mnohem omezenější seznam oprav, Microsoft vydal tři revize včetně:

• CVE-2022-1096: Chromium: CVE-2022-1096 Type Confusion in V8. Tato březnová oprava byla aktualizována, aby zahrnovala podporu pro nejnovější verzi sady Visual Studio (2022), která umožňuje aktualizované vykreslování obsahu webview2. Není vyžadována žádná další akce.
• CVE-2022-24513: Zranitelnost zvýšení úrovně oprávnění sady Visual Studio. Tato dubnová oprava byla aktualizována tak, aby zahrnovala VŠECHNY podporované verze sady Visual Studio (15.9 až 17.1). Bohužel tato aktualizace může vyžadovat určité testování aplikací pro váš vývojový tým, protože ovlivňuje způsob vykreslování obsahu webview2.
• CVE-2022-30138: Chyba zabezpečení zvýšení úrovně oprávnění zařazovací služby systému Windows. Toto je pouze informativní změna. Není vyžadována žádná další akce.

Zmírnění a řešení

V květnu společnost Microsoft zveřejnila jedno klíčové zmírnění závažné chyby zabezpečení systému souborů v síti Windows:

• CVE-2022-26937: Chyba zabezpečení vzdáleného spuštění kódu v systému souborů Windows. Útok můžete zmírnit deaktivací NFSV2 a NFSV3. Následující příkaz PowerShell tyto verze zakáže: "PS C:Set-NfsServerConfiguration -EnableNFSV2 $false -EnableNFSV3 $false." Jednou hotovo. budete muset restartovat server NFS (nebo nejlépe restartovat počítač). Chcete-li potvrdit, že server NFS byl správně aktualizován, použijte příkaz PowerShell „PS C:Get-NfsServerConfiguration“.

Každý měsíc rozdělujeme aktualizační cyklus do produktových rodin (definovaných společností Microsoft) s následujícími základními skupinami: 

• Prohlížeče (Microsoft IE a Edge);
• Microsoft Windows (stolní i serverové);
• Microsoft Office
• Microsoft Exchange;
• Vývojové platformy Microsoft ( ASP.NET Core, .NET Core a Chakra Core);
• Adobe (v důchodu???, možná příští rok).

Prohlížeče

Společnost Microsoft tento měsíc nevydala žádné aktualizace svých starších prohlížečů (IE) ani Chromium (Edge). Jsme svědky klesajícího trendu počtu kritických problémů, které sužovaly Microsoft v posledním desetiletí. Mám pocit, že přechod na projekt Chromium byl jednoznačným „super plus plus plus win-win“ pro vývojový tým i uživatele.

Když už mluvíme o starších prohlížečích, musíme se připravit na odchod do důchodu IE přijde v polovině června. Slovem „připravit“ mám na mysli oslavu – samozřejmě poté, co jsme zajistili toto dědictví apps nemají explicitní závislosti na starém vykreslovacím enginu IE. Přidejte prosím „Oslavte ukončení IE“ do plánu nasazení prohlížeče. Vaši uživatelé to pochopí.

Windows

Platforma Windows obdržela tento měsíc šest kritických aktualizací a 56 oprav hodnocených jako důležité. Bohužel máme také tři zero-day exploity:

• CVE-2022-22713: Tato veřejně odhalená chyba zabezpečení ve virtualizační platformě Hyper-V společnosti Microsoft bude vyžadovat, aby útočník úspěšně zneužil vnitřní spor, což povede k potenciálnímu scénáři odmítnutí služby. Je to závažná zranitelnost, ale k úspěchu vyžaduje řetězení několika zranitelností.
• CVE-2022-26925: Jak veřejně zveřejněno, tak hlášeno jako využívané ve volné přírodě, toto Problém s ověřením LSA je skutečným problémem. Bude snadné jej opravit, ale testovací profil je velký, takže jeho rychlé nasazení je obtížné. Kromě testování ověřování domény se ujistěte, že funkce zálohování (a obnovy) fungují podle očekávání. Důrazně doporučujeme zkontrolovat nejnovější Poznámky podpory společnosti Microsoft Na toto probíhající problém.
• CVE-2022-29972: Tato veřejně odhalená zranitelnost v červených číslechshift ODBC ovladač je docela specifický pro aplikace Synapse. Ale pokud jste vystaveni některému z Azure Synapse RBAC role, nasazení této aktualizace je nejvyšší prioritou.

Kromě těchto problémů nultého dne existují tři další problémy, které vyžadují vaši pozornost:

• CVE-2022-26923: tato chyba zabezpečení v ověřování Active Directory není tak docela „červivý“, ale je tak snadné jej zneužít, nepřekvapilo by mě, kdyby byl aktivně napaden soon. Jakmile bude tato chyba zabezpečení kompromitována, poskytne přístup k celé vaší doméně. Sázky jsou vysoké.
• CVE-2022-26937: Tato chyba Network File System má hodnocení 9.8 – jedno z nejvyšších hlášených v tomto roce. NFS není ve výchozím nastavení povoleno, ale pokud máte ve své síti Linux nebo Unix, pravděpodobně jej používáte. Opravte tento problém, ale také doporučujeme upgradovat na NFSv4.1 as soon jak je to možné.
• CVE-2022-30138: Tato oprava byla vydána v úterý po opravě. Tento problém se zařazováním tisku se týká pouze starších systémů (Windows 8 a Server 2012), ale před nasazením bude vyžadovat značné testování. Nejedná se o mimořádně kritický problém se zabezpečením, ale potenciál problémů souvisejících s tiskárnou je velký. Udělejte si čas před nasazením tohoto.

Vzhledem k počtu vážných exploitů a třem nultým dnům v květnu přidejte aktualizaci Windows pro tento měsíc do svého plánu „Patch Now“.

Microsoft Office

Společnost Microsoft vydala pouze čtyři aktualizace pro platformu Microsoft Office (Excel, SharePoint), z nichž všechny jsou hodnoceny jako důležité. Všechny tyto aktualizace je obtížné zneužít (vyžadují interakci uživatele i místní přístup k cílovému systému) a ovlivňují pouze 32bitové platformy. Přidejte tyto nízkoprofilové aktualizace Office s nízkým rizikem do svého standardního plánu vydávání.

Microsoft Exchange Server

Společnost Microsoft vydala jedinou aktualizaci pro Exchange Server (CVE-2022-21978), který je hodnocen jako důležitý a zdá se, že je docela obtížné jej využít. Tato zranitelnost týkající se zvýšení oprávnění vyžaduje plně ověřený přístup k serveru a dosud nebyly hlášeny žádné zprávy o zveřejnění nebo zneužití ve volné přírodě.

Ještě důležitější je, že tento měsíc Microsoft představil novinku způsob aktualizace serverů Microsoft Exchange která nyní zahrnuje:

• Opravný soubor Instalační služby systému Windows (.MSP), který funguje nejlépe pro automatické instalace.
• Samorozbalovací, automaticky se zvyšující instalační program (.exe), který funguje nejlépe pro ruční instalace.

Toto je pokus o vyřešení problému správců Exchange, kteří aktualizují své serverové systémy v kontextu bez správce, což má za následek špatný stav serveru. Nový formát EXE umožňuje instalace z příkazového řádku a lepší protokolování instalace. Společnost Microsoft užitečně zveřejnila následující příklad příkazového řádku EXE:

"Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains"

Poznámka: Společnost Microsoft doporučuje, abyste před použitím nového instalačního formátu EXE měli proměnnou prostředí %Temp%. Pokud se budete řídit novou metodou používání EXE k aktualizaci Exchange, nezapomeňte, že budete muset (samostatně) nasadit měsíční S.S.U. aktualizujte, abyste zajistili, že vaše servery jsou aktuální. Přidejte tuto aktualizaci (nebo EXE) do svého standardního plánu vydání a zajistěte, aby po dokončení všech aktualizací došlo k úplnému restartu.

Vývojové platformy Microsoft

Společnost Microsoft vydala pět aktualizací hodnocených jako důležité a jednu opravu s nízkým hodnocením. Všechny tyto opravy ovlivňují Visual Studio a .NET framework. Vzhledem k tomu, že budete aktualizovat své instance sady Visual Studio, abyste řešili tyto hlášené chyby zabezpečení, doporučujeme vám přečíst si Průvodce aktualizací Visual Studio dubna.

Chcete-li se dozvědět více o konkrétních problémech řešených z hlediska bezpečnosti, Aktualizace blogu .NET z května 2022 bude užitečné. S vědomím toho .NET 5.0 nyní dosáhla konce podpory a než upgradujete na .NET 7, možná by stálo za to zkontrolovat některé kompatibility nebo „lámání změn“, které je třeba řešit. Přidejte tyto středně rizikové aktualizace do standardního plánu aktualizací.

Adobe (opravdu jen Reader)

Myslel jsem, že můžeme vidět trend. Žádné aktualizace Adobe Readeru pro tento měsíc. To znamená, že společnost Adobe vydala řadu aktualizací pro další produkty, které najdete zde: APSB22-21. Uvidíme, co se stane v červnu – možná půjdeme do důchodu oba Adobe Reader a IE.