Die Patchday-Updates im Mai machen dringendes Patchen zu einem Muss

Der Patch-Dienstag der vergangenen Woche begann mit 73 Updates, endete aber (bisher) mit drei Revisionen und einer späten Ergänzung (CVE-2022-30138) für insgesamt 77 Schwachstellen, die diesen Monat behoben wurden. Verglichen mit der breiten Palette an Updates, die im April veröffentlicht wurden, sehen wir eine größere Dringlichkeit beim Patchen von Windows – insbesondere angesichts dreier Zero-Days und mehrerer sehr schwerwiegender Mängel in wichtigen Server- und Authentifizierungsbereichen. Auch der Austausch erfordert Aufmerksamkeit neue Server-Update-Technologie.

Für Microsoft-Browser und Adobe Reader gab es diesen Monat keine Updates. Und Windows 10 20H2 (wir wussten es kaum) wird jetzt nicht mehr unterstützt.

Weitere Informationen zu den Risiken der Bereitstellung dieser Patch-Tuesday-Updates finden Sie unter diese hilfreiche Infografik, und das MSRC Center hat einen guten Überblick darüber veröffentlicht, wie es mit Sicherheitsupdates umgeht hier.

Wichtige Testszenarien

Angesichts der großen Anzahl an Änderungen, die in diesem Mai-Patchzyklus enthalten sind, habe ich die Testszenarien in Gruppen mit hohem Risiko und Standardrisiko unterteilt:

Hohes Risiko: Diese Änderungen beinhalten wahrscheinlich Funktionsänderungen, können bestehende Funktionen veraltet machen und erfordern wahrscheinlich die Erstellung neuer Testpläne:

• Testen Sie die CA-Zertifikate Ihres Unternehmens (sowohl neue als auch erneuerte). Ihr Domainserver KDC validiert automatisch die neuen Erweiterungen, die in diesem Update enthalten sind. Suchen Sie nach fehlgeschlagenen Validierungen!
• Dieses Update beinhaltet eine Änderung der Treibersignaturen, die jetzt auch eine Zeitstempelprüfung umfassen Authenticode-Signaturen. Signierte Treiber sollten geladen werden. Nicht signierte Treiber sollten dies nicht tun. Überprüfen Sie Ihre Anwendungstestläufe auf fehlgeschlagene Treiberladevorgänge. Fügen Sie auch Prüfungen für signierte EXE- und DLL-Dateien hinzu.

Die folgenden Änderungen sind nicht als funktionale Änderungen dokumentiert, erfordern aber dennoch mindestens „Rauchprüfung” vor der allgemeinen Bereitstellung der May-Patches:

• Testen Sie Ihre VPN-Clients bei der Verwendung RRAS Server: einschließlich Verbinden, Trennen (unter Verwendung aller Protokolle: PPP/PPTP/SSTP/IKEv2).
• Testen Sie, ob Ihre EMF-Dateien wie erwartet geöffnet werden.
• Testen Sie Ihr Windows-Adressbuch (WAB) Anwendungsabhängigkeiten.
• Testen Sie BitLocker: Starten/stoppen Sie Ihre Maschinen mit BitLocker aktiviert und dann deaktiviert.
• Überprüfen Sie, ob Ihre Anmeldeinformationen über VPN zugänglich sind (siehe Microsoft-Anmeldeinformationsmanager).
• Testen Sie Ihre V4-Druckertreiber (insbesondere mit der späteren Ankunft von CVE-2022-30138). 

Die Tests in diesem Monat erfordern mehrere Neustarts Ihrer Testressourcen und sollten sowohl virtuelle (BIOS/UEFI) als auch physische Maschinen umfassen.

Bekannte Probleme

Microsoft stellt eine Liste bekannter Probleme bereit, die sich auf das in diesem Update-Zyklus enthaltene Betriebssystem und die Plattformen auswirken:

• Nach der Installation des Updates dieses Monats kann es bei Windows-Geräten, die bestimmte GPUs verwenden, zu Problemen kommen apps unerwartet schließen oder einen Ausnahmecode (0xc0000094 im Modul d3d9on12.dll) generieren apps unter Verwendung von Direct3D Version 9. Microsoft hat eine veröffentlicht KIR Aktualisieren Sie die Gruppenrichtlinie, um dieses Problem mit den folgenden GPO-Einstellungen zu beheben: Download für Windows 10, Version 2004, Windows 10, Version 20H2, Windows 10, Version 21H1 und Windows 10, Version 21H2.
• Nach der Installation von Updates, die am 11. Januar 2022 oder später veröffentlicht wurden, apps die das Microsoft .NET Framework verwenden, um Active Directory-Gesamtstruktur-Vertrauensinformationen abzurufen oder festzulegen, schlagen möglicherweise fehl oder erzeugen einen Zugriffsverletzungsfehler (0xc0000005). Es scheint, dass Anwendungen, die davon abhängen System.DirectoryServices-API sind betroffen.

Microsoft hat sich bei der Erörterung aktueller Fixes und Updates für diese Version mit einem nützlichen Beitrag noch einmal richtig ins Zeug gelegt Update-Highlights Video.

Wichtige Überarbeitungen

Obwohl die Liste der Patches diesen Monat im Vergleich zum April deutlich reduziert ist, hat Microsoft drei Revisionen veröffentlicht, darunter:

• CVE-2022-1096: Chrom: CVE-2022-1096 Typverwirrung in V8. Dieser März-Patch wurde aktualisiert und bietet nun Unterstützung für die neueste Version von Visual Studio (2022), um die aktualisierte Darstellung von Webview2-Inhalten zu ermöglichen. Sind keine weiteren Maßnahmen erforderlich.
• CVE-2022-24513: Sicherheitslücke in Visual Studio bezüglich der Erhöhung von Berechtigungen. Dieser April-Patch wurde aktualisiert und umfasst ALLE unterstützten Versionen von Visual Studio (15.9 bis 17.1). Leider erfordert dieses Update möglicherweise einige Anwendungstests für Ihr Entwicklungsteam, da es Auswirkungen darauf hat, wie Webview2-Inhalte gerendert werden.
• CVE-2022-30138: Sicherheitslücke im Windows-Druckspooler bezüglich der Erhöhung von Berechtigungen. Dies ist nur eine Informationsänderung. Sind keine weiteren Maßnahmen erforderlich.

Schadensbegrenzungen und Problemumgehungen

Für Mai hat Microsoft eine wichtige Abhilfemaßnahme für eine schwerwiegende Sicherheitslücke im Windows-Netzwerkdateisystem veröffentlicht:

• CVE-2022-26937: Sicherheitslücke im Windows-Netzwerkdateisystem bezüglich Remotecodeausführung. Sie können einen Angriff durch Deaktivieren abschwächen NFSV2 machen NFSV3. Der folgende PowerShell-Befehl deaktiviert diese Versionen: „PS C:Set-NfsServerConfiguration -EnableNFSV2 $false -EnableNFSV3 $false.“ Einmal getan. Sie müssen Ihren NFS-Server neu starten (oder vorzugsweise den Computer neu starten). Und um zu bestätigen, dass der NFS-Server korrekt aktualisiert wurde, verwenden Sie den PowerShell-Befehl „PS C:Get-NfsServerConfiguration“.

Jeden Monat unterteilen wir den Aktualisierungszyklus in Produktfamilien (wie von Microsoft definiert) mit den folgenden grundlegenden Gruppierungen: 

• Browser (Microsoft IE und Edge);
• Microsoft Windows (sowohl Desktop als auch Server);
• Microsoft Office;
• Microsoft Exchange;
• Microsoft-Entwicklungsplattformen ( ASP.NET Core, .NET Core und Chakra Core);
• Adobe (im Ruhestand???, vielleicht nächstes Jahr).

Browser

Microsoft hat diesen Monat keine Updates für seine älteren Browser (IE) oder Chromium (Edge) veröffentlicht. Wir sehen einen rückläufigen Trend bei der Anzahl kritischer Probleme, die Microsoft im letzten Jahrzehnt geplagt haben. Ich habe das Gefühl, dass der Wechsel zum Chromium-Projekt sowohl für das Entwicklungsteam als auch für die Benutzer definitiv eine „Super-Plus-Plus-Win-Win-Situation“ war.

Apropos ältere Browser: Wir müssen uns darauf vorbereiten Ruhestand von IE kommt Mitte Juni. Mit „vorbereiten“ meine ich feiern – natürlich erst, nachdem wir dieses Erbe sichergestellt haben apps haben keine expliziten Abhängigkeiten von der alten IE-Rendering-Engine. Bitte fügen Sie „Feiern Sie den Ruhestand des IE“ zu Ihrem Browser-Bereitstellungsplan hinzu. Ihre Benutzer werden es verstehen.

Windows

Die Windows-Plattform erhält diesen Monat sechs wichtige Updates und 56 als wichtig eingestufte Patches. Leider haben wir auch drei Zero-Day-Exploits:

• CVE-2022-22713: Diese öffentlich bekannte Schwachstelle in der Hyper-V-Virtualisierungsplattform von Microsoft erfordert, dass ein Angreifer eine interne Race-Bedingung erfolgreich ausnutzt, um ein potenzielles Denial-of-Service-Szenario auszulösen. Es handelt sich um eine schwerwiegende Schwachstelle, für deren Erfolg jedoch die Verkettung mehrerer Schwachstellen erforderlich ist.
• CVE-2022-26925: Dies wurde sowohl öffentlich bekannt gegeben als auch als in freier Wildbahn ausgebeutet gemeldet Problem mit der LSA-Authentifizierung ist ein echtes Anliegen. Es lässt sich leicht patchen, aber das Testprofil ist umfangreich, was eine schnelle Bereitstellung schwierig macht. Stellen Sie zusätzlich zum Testen Ihrer Domänenauthentifizierung sicher, dass die Sicherungs- (und Wiederherstellungsfunktionen) wie erwartet funktionieren. Wir empfehlen dringend, sich die neuesten Informationen anzusehen Microsoft-Supporthinweise hierauf laufendes Problem.
• CVE-2022-29972: Diese öffentlich bekannt gegebene Schwachstelle in den roten Zahlenshift ODBC Der Treiber ist ziemlich spezifisch für Synapse-Anwendungen. Aber wenn Sie einem davon ausgesetzt sind Azure Synapse RBAC Für alle Rollen hat die Bereitstellung dieses Updates höchste Priorität.

Zusätzlich zu diesen Zero-Day-Problemen gibt es drei weitere Probleme, die Ihre Aufmerksamkeit erfordern:

• CVE-2022-26923: Diese Schwachstelle in der Active Directory-Authentifizierung ist nicht ganz „WurmbarAber es ist so einfach auszunutzen, dass es mich nicht wundern würde, wenn es aktiv angegriffen würde soon. Sobald diese Sicherheitslücke kompromittiert ist, erhalten Sie Zugriff auf Ihre gesamte Domain. Bei diesem steht viel auf dem Spiel.
• CVE-2022-26937: Dieser Fehler im Netzwerkdateisystem hat eine Bewertung von 9.8 – eine der höchsten in diesem Jahr gemeldeten. NFS ist standardmäßig nicht aktiviert, aber wenn Sie Linux oder Unix in Ihrem Netzwerk haben, verwenden Sie es wahrscheinlich. Beheben Sie dieses Problem, wir empfehlen jedoch auch ein Upgrade auf NFSv4.1 as soon wie möglich.
• CVE-2022-30138: Dieser Patch wurde nach dem Patch-Dienstag veröffentlicht. Dieses Druckspoolerproblem betrifft nur ältere Systeme (Windows 8 und Server 2012), erfordert jedoch vor der Bereitstellung umfangreiche Tests. Es handelt sich nicht um ein besonders kritisches Sicherheitsproblem, aber das Potenzial für druckerbasierte Probleme ist groß. Nehmen Sie sich Zeit, bevor Sie dieses bereitstellen.

Angesichts der Anzahl schwerwiegender Exploits und der drei Zero-Days im Mai sollten Sie das Windows-Update dieses Monats zu Ihrem „Patch Now“-Plan hinzufügen.

Microsoft Office

Microsoft hat gerade einmal vier Updates für die Microsoft Office-Plattform (Excel, SharePoint) veröffentlicht, die alle als wichtig eingestuft werden. Alle diese Updates sind schwer auszunutzen (sie erfordern sowohl Benutzerinteraktion als auch lokalen Zugriff auf das Zielsystem) und betreffen nur 32-Bit-Plattformen. Fügen Sie diese unauffälligen Office-Updates mit geringem Risiko zu Ihrem Standard-Veröffentlichungsplan hinzu.

Microsoft Exchange Server

Microsoft hat ein einzelnes Update für Exchange Server veröffentlicht (CVE-2022-21978), das als wichtig eingestuft wird und ziemlich schwer auszunutzen scheint. Diese Sicherheitslücke zur Erhöhung von Berechtigungen erfordert einen vollständig authentifizierten Zugriff auf den Server, und bisher gab es keine Berichte über eine öffentliche Offenlegung oder Ausnutzung in freier Wildbahn.

Noch wichtiger ist, dass Microsoft diesen Monat eine neue Version eingeführt hat Methode zum Aktualisieren von Microsoft Exchange-Servern Dazu gehört nun:

• Windows Installer-Patchdatei (.MSP), die am besten für automatisierte Installationen geeignet ist.
• Selbstextrahierendes Installationsprogramm mit automatischer Erweiterung (.exe), das sich am besten für manuelle Installationen eignet.

Dies ist ein Versuch, das Problem zu lösen, dass Exchange-Administratoren ihre Serversysteme in einem Nicht-Administrator-Kontext aktualisieren, was zu einem schlechten Serverstatus führt. Das neue EXE-Format ermöglicht Befehlszeileninstallationen und eine bessere Installationsprotokollierung. Microsoft hat hilfreicherweise das folgende EXE-Befehlszeilenbeispiel veröffentlicht:

„Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains“

Beachten Sie, dass Microsoft empfiehlt, dass Sie über die Umgebungsvariable %Temp% verfügen, bevor Sie das neue EXE-Installationsformat verwenden. Wenn Sie die neue Methode zur Verwendung der EXE-Datei zum Aktualisieren von Exchange verwenden, denken Sie daran, dass Sie die monatliche Datei weiterhin (separat) bereitstellen müssen SSU Aktualisieren Sie, um sicherzustellen, dass Ihre Server auf dem neuesten Stand sind. Fügen Sie dieses Update (oder EXE) zu Ihrem Standard-Release-Zeitplan hinzu und stellen Sie sicher, dass nach Abschluss aller Updates ein vollständiger Neustart durchgeführt wird.

Microsoft-Entwicklungsplattformen

Microsoft hat fünf als wichtig eingestufte Updates und einen einzelnen Patch mit niedriger Bewertung veröffentlicht. Alle diese Patches betreffen Visual Studio und das .NET Framework. Da Sie Ihre Visual Studio-Instanzen aktualisieren, um diese gemeldeten Schwachstellen zu beheben, empfehlen wir Ihnen, die zu lesen Visual Studio-Aktualisierungshandbuch für April.

Um mehr über die spezifischen Probleme zu erfahren, die aus sicherheitstechnischer Sicht angesprochen werden, finden Sie hier: Blogbeitrag zum .NET-Update vom Mai 2022 wird nützlich sein. Bemerken, dass .NET 5.0 hat nun das Ende des Supports erreicht Und bevor Sie auf .NET 7 aktualisieren, lohnt es sich möglicherweise, die Kompatibilität zu überprüfen oder „Veränderungen brechen“, die angegangen werden müssen. Fügen Sie diese Updates mit mittlerem Risiko zu Ihrem Standard-Update-Zeitplan hinzu.

Adobe (eigentlich nur Reader)

Ich dachte, dass wir vielleicht einen Trend sehen. Für diesen Monat gibt es keine Adobe Reader-Updates. Allerdings hat Adobe eine Reihe von Updates für andere Produkte veröffentlicht, die Sie hier finden: APSB22-21. Mal sehen, was im Juni passiert – vielleicht können wir uns zurückziehen beide Adobe Reader und IE.