Mays Patch Tuesday-opdateringer gør akut patching et must

Denne sidste uges Patch Tuesday startede med 73 opdateringer, men endte (indtil videre) med tre revisioner og en sen tilføjelse (CVE-2022-30138) for i alt 77 sårbarheder behandlet i denne måned. Sammenlignet med det brede sæt af opdateringer, der blev udgivet i april, ser vi, at det haster mere med at patche Windows – især med tre nul-dage og adskillige meget alvorlige fejl i nøgleserver- og autentificeringsområder. Udveksling vil kræve opmærksomhed, også pga ny serveropdateringsteknologi.

Der var ingen opdateringer denne måned til Microsoft-browsere og Adobe Reader. Og Windows 10 20H2 (vi kendte jer næsten ikke) er nu ude af support.

Du kan finde flere oplysninger om risiciene ved at implementere disse Patch Tuesday-opdateringer i denne nyttige infografik, og MSRC Centeret har lagt et godt overblik over, hvordan det håndterer sikkerhedsopdateringer link..

Nøgle testscenarier

I betragtning af det store antal ændringer, der er inkluderet i denne patch-cyklus i maj, har jeg opdelt testscenarierne i højrisiko- og standardrisikogrupper:

Høj risiko: Disse ændringer omfatter sandsynligvis funktionalitetsændringer, kan forælde eksisterende funktioner og vil sandsynligvis kræve oprettelse af nye testplaner:

• Test dine virksomheds CA-certifikater (både nye og fornyede). Din domæneserver KDC vil automatisk validere de nye udvidelser inkluderet i denne opdatering. Se efter mislykkede valideringer!
• Denne opdatering inkluderer en ændring af driversignaturer, der nu inkluderer tidsstempelkontrol samt autentikode signaturer. Signerede drivere skal indlæses. Usignerede drivere bør ikke. Tjek dine applikationstestkørsler for mislykkede driverindlæsninger. Inkluder også kontroller for signerede EXE'er og DLL'er.

Følgende ændringer er ikke dokumenteret som inkluderende funktionelle ændringer, men vil stadig kræve mindst "røgtest” før generel implementering af Mays patches:

• Test dine VPN-klienter, når du bruger RRAS servere: inkluderer tilslut, afbryd (ved brug af alle protokoller: PPP/PPTP/SSTP/IKEv2).
• Test at dine EMF filer åbner som forventet.
• Test din Windows-adressebog (WAB) applikationsafhængigheder.
• Test BitLocker: start/stop dine maskiner med BitLocker aktiveret og derefter deaktiveret.
• Bekræft, at dine legitimationsoplysninger er tilgængelige via VPN (se Microsoft Credential Manager).
• Test din V4 printerdrivere (især med den senere ankomst af CVE-2022-30138). 

Denne måneds test vil kræve flere genstarter af dine testressourcer og bør omfatte både (BIOS/UEFI) virtuelle og fysiske maskiner.

Kendte problemer

Microsoft inkluderer en liste over kendte problemer, der påvirker operativsystemet og platforme inkluderet i denne opdateringscyklus:

• Efter installation af denne måneds opdatering kan Windows-enheder, der bruger visse GPU'er, forårsage apps for at lukke uventet eller generere en undtagelseskode (0xc0000094 i modulet d3d9on12.dll) i apps bruger Direct3D Version 9. Microsoft har udgivet en KIR gruppepolitikopdatering for at løse dette problem med følgende GPO-indstillinger: Download til Windows 10, version 2004, Windows 10, version 20H2, Windows 10, version 21H1 og Windows 10, version 21H2.
• Efter installation af opdateringer udgivet 11. januar 2022 eller senere, apps der bruger Microsoft .NET Framework til at erhverve eller indstille Active Directory Forest Trust Information, kan mislykkes eller generere en adgangsfejl (0xc0000005). Det ser ud til, at applikationer, der afhænger af System.DirectoryServices API er berørt.

Microsoft har virkelig forbedret sit spil, når vi diskuterer de seneste rettelser og opdateringer til denne udgivelse med en nyttig opdatere højdepunkter video.

Større revisioner

Selvom der er en meget reduceret liste over patches i denne måned sammenlignet med april, har Microsoft udgivet tre revisioner, herunder:

• CVE-2022-1096: Chrom: CVE-2022-1096 Typeforvirring i V8. Denne patch til marts er blevet opdateret til at omfatte understøttelse af den seneste version af Visual Studio (2022) for at tillade opdateret gengivelse af webview2-indhold. Der kræves ingen yderligere handling.
• CVE-2022-24513: Visual Studio Elevation of Privilege sårbarhed. Denne patch til april er blevet opdateret til at inkludere ALLE understøttede versioner af Visual Studio (15.9 til 17.1). Desværre kan denne opdatering kræve nogle applikationstests for dit udviklingsteam, da det påvirker, hvordan webview2-indhold gengives.
• CVE-2022-30138: Sårbarhed i Windows Print Spooler Elevation of Privilege. Dette er kun en informationsændring. Der kræves ingen yderligere handling.

Afbødninger og løsninger

Til maj har Microsoft offentliggjort en vigtig afhjælpning af en alvorlig sårbarhed i Windows-netværksfilsystemet:

• CVE-2022-26937: Sårbarhed for fjernudførelse af kode i Windows-netværksfilsystem. Du kan afbøde et angreb ved at deaktivere NFSV2 , NFSV3. Følgende PowerShell-kommando vil deaktivere disse versioner: "PS C:Set-NfsServerConfiguration -EnableNFSV2 $false -EnableNFSV3 $false." Når det er gjort. du skal genstarte din NFS-server (eller helst genstarte maskinen). Og for at bekræfte, at NFS-serveren er blevet opdateret korrekt, skal du bruge PowerShell-kommandoen "PS C:Get-NfsServerConfiguration."

Hver måned opdeler vi opdateringscyklussen i produktfamilier (som defineret af Microsoft) med følgende grundlæggende grupperinger: 

• Browsere (Microsoft IE og Edge);
• Microsoft Windows (både desktop og server);
• Microsoft Office
• Microsoft Exchange;
• Microsoft udviklingsplatforme ( ASP.NET Core, .NET Core og Chakra Core);
• Adobe (pensioneret???, måske næste år).

Browsere

Microsoft har ikke udgivet nogen opdateringer til hverken sine ældre (IE) eller Chromium (Edge) browsere denne måned. Vi ser en nedadgående tendens i antallet af kritiske problemer, der har plaget Microsoft i det sidste årti. Min fornemmelse er, at flytning til Chromium-projektet har været en klar "super plus-plus win-win" for både udviklingsteamet og brugerne.

Når vi taler om ældre browsere, skal vi forberede os på pensionering af IE kommer i midten af ​​juni. Med "forbered" mener jeg fejre - efter at vi selvfølgelig har sikret den arv apps har ikke eksplicitte afhængigheder af den gamle IE-gengivelsesmotor. Tilføj venligst "Fejr pensioneringen af ​​IE" til din browserimplementeringsplan. Dine brugere vil forstå.

Windows

Windows-platformen modtager seks kritiske opdateringer denne måned og 56 patches vurderet som vigtige. Desværre har vi også tre zero-day exploits:

• CVE-2022-22713: Denne offentligt offentliggjorte sårbarhed i Microsofts Hyper-V-virtualiseringsplatform vil kræve, at en angriber med succes udnytter en intern race-tilstand for at føre til et potentielt lammelsesangreb. Det er en alvorlig sårbarhed, men det kræver at sammenkæde flere sårbarheder for at lykkes.
• CVE-2022-26925: Både offentligt afsløret og rapporteret som udnyttet i naturen, dette LSA-godkendelsesproblem er en reel bekymring. Det vil være nemt at lappe, men testprofilen er stor, hvilket gør det svært at implementere hurtigt. Ud over at teste din domænegodkendelse, skal du sikre dig, at funktionerne til sikkerhedskopiering (og gendannelse) fungerer som forventet. Vi anbefaler stærkt at tjekke det seneste Microsoft supportnoter På dette igangværende problem.
• CVE-2022-29972: Denne offentligt offentliggjorte sårbarhed i rødtshift ODBC driveren er ret specifik for Synapse-applikationer. Men hvis du har eksponering for nogen af ​​de Azure Synapse RBAC roller, er implementering af denne opdatering en topprioritet.

Ud over disse nuldagsproblemer er der tre andre problemer, der kræver din opmærksomhed:

• CVE-2022-26923: denne sårbarhed i Active Directory-godkendelse er ikke helt "ormelig” men er så let at udnytte, at jeg ikke ville blive overrasket over at se den aktivt angrebet soon. Når først den er kompromitteret, vil denne sårbarhed give adgang til hele dit domæne. Indsatsen er høj med denne.
• CVE-2022-26937: Denne fejl i netværksfilsystemet har en rating på 9.8 – en af ​​de højeste rapporterede i år. NFS er ikke aktiveret som standard, men hvis du har Linux eller Unix på dit netværk, bruger du det sandsynligvis. Patch dette problem, men vi anbefaler også at opgradere til NFSv4.1 as soon som muligt.
• CVE-2022-30138: Denne patch blev udgivet efter Patch Tuesday. Dette printspooler-problem påvirker kun ældre systemer (Windows 8 og Server 2012), men vil kræve omfattende tests før implementering. Det er ikke et superkritisk sikkerhedsproblem, men potentialet for printerbaserede problemer er stort. Tag dig god tid, før du implementerer denne.

I betragtning af antallet af seriøse udnyttelser og de tre nul-dage i maj, kan du tilføje denne måneds Windows-opdatering til din "Patch Now" tidsplan.

Microsoft Office

Microsoft udgav kun fire opdateringer til Microsoft Office-platformen (Excel, SharePoint), som alle er vurderet som vigtige. Alle disse opdateringer er svære at udnytte (kræver både brugerinteraktion og lokal adgang til målsystemet) og påvirker kun 32-bit platforme. Tilføj disse lavprofilerede Office-opdateringer med lav risiko til din standardudgivelsesplan.

Microsoft Exchange Server

Microsoft udgav en enkelt opdatering til Exchange Server (CVE-2022-21978), der er vurderet som vigtigt og ser ud til at være ret vanskeligt at udnytte. Denne sårbarhed med udvidelse af privilegier kræver fuldt autentificeret adgang til serveren, og indtil videre har der ikke været rapporter om offentlig offentliggørelse eller udnyttelse i naturen.

Endnu vigtigere denne måned introducerede Microsoft en ny metode til at opdatere Microsoft Exchange-servere der nu inkluderer:

• Windows Installer-patch-fil (.MSP), som fungerer bedst til automatiserede installationer.
• Selvudpakkende, auto-elevating installationsprogram (.exe), som fungerer bedst til manuelle installationer.

Dette er et forsøg på at løse problemet med Exchange-administratorer, der opdaterer deres serversystemer i en ikke-administratorkontekst, hvilket resulterer i en dårlig servertilstand. Det nye EXE-format giver mulighed for kommandolinjeinstallationer og bedre installationslogning. Microsoft har hjælpsomt udgivet følgende EXE-kommandolinjeeksempel:

"Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains"

Bemærk, Microsoft anbefaler, at du har miljøvariablen %Temp%, før du bruger det nye EXE-installationsformat. Hvis du følger den nye metode til at bruge EXE til at opdatere Exchange, skal du huske, at du stadig skal (separat) installere den månedlige SSU opdatering for at sikre, at dine servere er opdaterede. Tilføj denne opdatering (eller EXE) til din standardudgivelsesplan, og sørg for, at en fuld genstart udføres, når alle opdateringer er gennemført.

Microsoft udviklingsplatforme

Microsoft har udgivet fem opdateringer vurderet som vigtige og en enkelt patch med en lav vurdering. Alle disse patches påvirker Visual Studio og .NET frameworket. Da du vil opdatere dine Visual Studio-instanser for at løse disse rapporterede sårbarheder, anbefaler vi, at du læser Visual Studio April opdateringsvejledning.

For at finde ud af mere om de specifikke problemer, der behandles ud fra et sikkerhedsperspektiv, kan du Maj 2022 .NET opdatering blogindlæg vil være nyttigt. Bemærker det.NET 5.0 har nu nået slutningen af ​​support og før du opgraderer til .NET 7, kan det være værd at tjekke noget af kompatibiliteten eller "bryde ændringer", der skal løses. Tilføj disse opdateringer med middel risiko til din standardopdateringsplan.

Adobe (egentlig kun Reader)

Jeg tænkte, at vi kunne se en tendens. Ingen Adobe Reader-opdateringer for denne måned. Når det er sagt, har Adobe udgivet en række opdateringer til andre produkter, der findes her: APSB22-21. Lad os se, hvad der sker i juni - måske kan vi gå på pension både Adobe Reader og IE.