Las actualizaciones de May's Patch Tuesday hacen que los parches urgentes sean una necesidad

El martes de parches de la semana pasada comenzó con 73 actualizaciones, pero terminó (hasta ahora) con tres revisiones y una adición tardía (CVE-2022-30138) para un total de 77 vulnerabilidades abordadas este mes. En comparación con el amplio conjunto de actualizaciones lanzadas en abril, vemos una mayor urgencia en parchear Windows, especialmente con tres días cero y varias fallas muy graves en el servidor clave y las áreas de autenticación. El intercambio también requerirá atención, debido a nueva tecnología de actualización del servidor.

No hubo actualizaciones este mes para los navegadores de Microsoft y Adobe Reader. Y Windows 10 20H2 (apenas te conocíamos) ya no tiene soporte.

Puede encontrar más información sobre los riesgos de implementar estas actualizaciones de Patch Tuesday en esta útil infografía, y el Centro MSRC ha publicado una buena descripción general de cómo maneja las actualizaciones de seguridad esta página.

Escenarios de prueba clave

Dada la gran cantidad de cambios incluidos con este ciclo de parches de mayo, he dividido los escenarios de prueba en grupos de alto riesgo y riesgo estándar:

Alto riesgo: Es probable que estos cambios incluyan cambios de funcionalidad, que dejen de usar funciones existentes y probablemente requieran la creación de nuevos planes de prueba:

• Pruebe los certificados de CA de su empresa (tanto nuevos como renovados). Su servidor de dominio KDC validará automáticamente las nuevas extensiones incluidas en esta actualización. ¡Busque validaciones fallidas!
• Esta actualización incluye un cambio en las firmas de los controladores que ahora incluyen verificación de marca de tiempo, así como firmas de código de autenticación. Los controladores firmados deberían cargarse. Los controladores no firmados no deberían. Verifique las ejecuciones de prueba de su aplicación en busca de cargas de controladores fallidas. Incluya cheques para EXE y DLL firmados también.

Los siguientes cambios no están documentados como cambios funcionales, pero aún requerirán al menos "prueba de humo” antes del despliegue general de los parches de May:

• Pruebe sus clientes VPN al usar RRAS servidores: incluye conectar, desconectar (usando todos los protocolos: PPP/PPTP/SSTP/IKEv2).
• Pruebe que sus archivos EMF se abren como se esperaba.
• Pruebe su libreta de direcciones de Windows (WAB) dependencias de la aplicación.
• Pruebe BitLocker: inicie/detenga sus máquinas con BitLocker habilitado y luego deshabilitado.
• Valide que sus credenciales sean accesibles a través de VPN (ver Administrador de credenciales de Microsoft).
• Pon a prueba tu Controladores de impresora V4 (sobre todo con la posterior llegada de CVE-2022-30138). 

Las pruebas de este mes requerirán varios reinicios de sus recursos de prueba y deben incluir máquinas físicas y virtuales (BIOS/UEFI).

Problemas conocidos

Microsoft incluye una lista de problemas conocidos que afectan el sistema operativo y las plataformas incluidas en este ciclo de actualización:

• Después de instalar la actualización de este mes, los dispositivos Windows que usan ciertas GPU pueden causar apps cerrarse inesperadamente o generar un código de excepción (0xc0000094 en el módulo d3d9on12.dll) en apps usando Direct3D Versión 9. Microsoft ha publicado un KIR actualización de la política de grupo para resolver este problema con la siguiente configuración de GPO: Descargar para Windows 10, versión 2004, Windows 10, versión 20H2, Windows 10, versión 21H1 y Windows 10, versión 21H2.
• Después de instalar las actualizaciones lanzadas el 11 de enero de 2022 o posterior, apps que utilizan Microsoft .NET Framework para adquirir o configurar Active Directory Forest Trust Information puede fallar o generar un error de infracción de acceso (0xc0000005). Parece que las aplicaciones que dependen del API de System.DirectoryServices Son afectados.

Microsoft realmente ha mejorado su juego al discutir las correcciones y actualizaciones recientes para esta versión con un útil actualizar destacados vídeo.

Revisiones importantes

Aunque hay una lista muy reducida de parches este mes en comparación con abril, Microsoft ha lanzado tres revisiones que incluyen:

• CVE-2022-1096: Chromium: CVE-2022-1096 Confusión de tipo en V8. Este parche de marzo se actualizó para incluir soporte para la última versión de Visual Studio (2022) para permitir la representación actualizada del contenido webview2. No se requiere ninguna acción adicional.
• CVE-2022-24513: Vulnerabilidad de elevación de privilegios de Visual Studio. Este parche de abril se actualizó para incluir TODAS las versiones compatibles de Visual Studio (15.9 a 17.1). Desafortunadamente, esta actualización puede requerir algunas pruebas de aplicaciones para su equipo de desarrollo, ya que afecta la forma en que se representa el contenido de webview2.
• CVE-2022-30138: Vulnerabilidad de elevación de privilegios de la cola de impresión de Windows. Este es un cambio informativo únicamente. No se requiere ninguna acción adicional.

Mitigaciones y soluciones

Para mayo, Microsoft ha publicado una mitigación clave para una vulnerabilidad grave del sistema de archivos de red de Windows:

• CVE-2022-26937: Vulnerabilidad de ejecución remota de código del sistema de archivos de red de Windows. Puede mitigar un ataque deshabilitando NFSV2 y NFSV3. El siguiente comando de PowerShell deshabilitará esas versiones: "PS C:Set-NfsServerConfiguration -EnableNFSV2 $false -EnableNFSV3 $false". Una vez hecho. necesitará reiniciar su servidor NFS (o preferiblemente reiniciar la máquina). Y para confirmar que el servidor NFS se ha actualizado correctamente, utilice el comando de PowerShell "PS C:Get-NfsServerConfiguration".

Cada mes, desglosamos el ciclo de actualización en familias de productos (según lo define Microsoft) con las siguientes agrupaciones básicas: 

• Navegadores (Microsoft IE y Edge);
• Microsoft Windows (tanto de escritorio como de servidor);
• oficina de microsoft;
• intercambio de Microsoft;
• Plataformas de desarrollo de Microsoft ( ASP.NET Core, .NET Core y Chakra Core);
• Adobe (retirado???, tal vez el próximo año).

Navegadores

Microsoft no ha lanzado ninguna actualización para sus navegadores heredados (IE) o Chromium (Edge) este mes. Estamos viendo una tendencia a la baja en la cantidad de problemas críticos que han afectado a Microsoft durante la última década. Mi sensación es que pasar al proyecto Chromium ha sido definitivamente un "super plus-plus win-win" tanto para el equipo de desarrollo como para los usuarios.

Hablando de navegadores heredados, debemos prepararnos para el jubilación de IE llegando a mediados de junio. Por "preparar" me refiero a celebrar, después de que, por supuesto, nos hayamos asegurado de que el legado apps no tiene dependencias explícitas en el antiguo motor de renderizado de IE. Agregue "Celebrar la jubilación de IE" al cronograma de implementación de su navegador. Tus usuarios lo entenderán.

Windows

La plataforma Windows recibe seis actualizaciones críticas este mes y 56 parches calificados como importantes. Desafortunadamente, también tenemos tres exploits de día cero:

• CVE-2022-22713: esta vulnerabilidad divulgada públicamente en la plataforma de virtualización Hyper-V de Microsoft requerirá que un atacante explote con éxito una condición de carrera interna para conducir a un posible escenario de denegación de servicio. Es una vulnerabilidad grave, pero requiere encadenar varias vulnerabilidades para tener éxito.
• CVE-2022-26925: Ambos divulgados públicamente y reportados como explotados en la naturaleza, este Problema de autenticación LSA es una preocupación real. Será fácil parchearlo, pero el perfil de prueba es grande, lo que dificulta su implementación rápida. Además de probar la autenticación de su dominio, asegúrese de que las funciones de copia de seguridad (y restauración) funcionen como se esperaba. Recomendamos encarecidamente consultar las últimas Notas de soporte de Microsoft en esto problema en curso.
• CVE-2022-29972: Esta vulnerabilidad divulgada públicamente en Redshift ODBC El controlador es bastante específico para las aplicaciones de Synapse. Pero si tiene exposición a cualquiera de los RBAC de sinapsis de Azure funciones, la implementación de esta actualización es una prioridad.

Además de estos problemas de día cero, hay otros tres problemas que requieren su atención:

• CVE-2022-26923: esta vulnerabilidad en la autenticación de Active Directory no es del todo “gusano” pero es tan fácil de explotar que no me sorprendería verlo atacado activamente soon. Una vez comprometida, esta vulnerabilidad proporcionará acceso a todo su dominio. Hay mucho en juego con este.
• CVE-2022-26937: Este error del sistema de archivos de red tiene una calificación de 9.8, una de las más altas reportadas este año. NFS no está habilitado de forma predeterminada, pero si tiene Linux o Unix en su red, es probable que lo esté usando. Parche este problema, pero también recomendamos actualizar a NFSv4.1 as soon como sea posible.
• CVE-2022-30138: Este parche se lanzó después del martes de parches. Este problema de la cola de impresión solo afecta a los sistemas más antiguos (Windows 8 y Server 2012), pero requerirá pruebas significativas antes de la implementación. No es un problema de seguridad súper crítico, pero el potencial de problemas relacionados con la impresora es grande. Tómese su tiempo antes de implementar este.

Dada la cantidad de vulnerabilidades graves y los tres días cero en mayo, agregue la actualización de Windows de este mes a su programa "Parchear ahora".

Microsoft Office

Microsoft lanzó solo cuatro actualizaciones para la plataforma de Microsoft Office (Excel, SharePoint), todas las cuales se consideran importantes. Todas estas actualizaciones son difíciles de explotar (requieren tanto la interacción del usuario como el acceso local al sistema de destino) y solo afectan a las plataformas de 32 bits. Agregue estas actualizaciones de Office de bajo perfil y bajo riesgo a su programa de lanzamiento estándar.

Microsoft Exchange Server

Microsoft lanzó una única actualización para Exchange Server (CVE-2022-21978) que se considera importante y parece bastante difícil de explotar. Esta vulnerabilidad de elevación de privilegios requiere un acceso totalmente autenticado al servidor, y hasta ahora no ha habido ningún informe de divulgación pública o explotación en la naturaleza.

Más importante aún, este mes, Microsoft presentó un nuevo método para actualizar los servidores de Microsoft Exchange que ahora incluye:

• Archivo de parche de Windows Installer (.MSP), que funciona mejor para instalaciones automatizadas.
• Instalador autoextraíble y autoelevador (.exe), que funciona mejor para instalaciones manuales.

Este es un intento de resolver el problema de los administradores de Exchange que actualizan sus sistemas de servidor dentro de un contexto no administrativo, lo que resulta en un mal estado del servidor. El nuevo formato EXE permite instalaciones de línea de comandos y un mejor registro de instalación. Microsoft ha publicado útilmente el siguiente ejemplo de línea de comando EXE:

"Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains"

Tenga en cuenta que Microsoft recomienda tener la variable de entorno %Temp% antes de usar el nuevo formato de instalación EXE. Si sigue el nuevo método de usar EXE para actualizar Exchange, recuerde que todavía tendrá que implementar (por separado) el SSU actualice para asegurarse de que sus servidores estén actualizados. Agregue esta actualización (o EXE) a su programa de lanzamiento estándar, asegurándose de que se realice un reinicio completo cuando se completen todas las actualizaciones.

Plataformas de desarrollo de Microsoft

Microsoft ha lanzado cinco actualizaciones calificadas como importantes y un solo parche con una calificación baja. Todos estos parches afectan a Visual Studio y .NET framework. Dado que actualizará sus instancias de Visual Studio para abordar estas vulnerabilidades informadas, le recomendamos que lea el Guía de actualización de abril de Visual Studio.

Para obtener más información sobre los temas específicos abordados desde una perspectiva de seguridad, el Publicación de blog de actualización de .NET de mayo de 2022 será útil. Señalando que .NET 5.0 ahora ha llegado al final del soporte y antes de actualizar a .NET 7, puede valer la pena verificar algo de la compatibilidad o "cambios de última hora” que deben abordarse. Agregue estas actualizaciones de riesgo medio a su programación de actualizaciones estándar.

Adobe (realmente solo Reader)

Pensé que podríamos estar viendo una tendencia. No hay actualizaciones de Adobe Reader para este mes. Dicho esto, Adobe ha lanzado una serie de actualizaciones para otros productos que se encuentran aquí: APSB22-21. Veamos qué pasa en junio, tal vez podamos retirarnos. ambas Adobe Reader e IE.