Maikuu plaastri teisipäeva värskendused muudavad kiire lappimise kohustuslikuks

Eelmise nädala Patch Teisipäev algas 73 värskendusega, kuid lõppes (seni) kolme redaktsiooni ja hilise lisamisega (CVE-2022-30138) kokku 77 haavatavusega, mida sel kuul käsitleti. Võrreldes aprillis välja antud suure hulga värskendustega, näeme Windowsi lappimise kiireloomulisust – eriti kolme nullpäeva ja mitmete väga tõsiste vigade puhul võtmeserveri ja autentimise valdkondades. Tähelepanu nõuab ka vahetus, kuna uus serveri värskendamise tehnoloogia.

Microsofti brauserite ja Adobe Readeri jaoks sel kuul värskendusi ei tehtud. Ja Windows 10 20H2 (me vaevalt teadsime teid) on nüüdseks enam toetatud.

Lisateavet nende Patch Teisipäeva värskenduste juurutamise riskide kohta leiate aadressilt see kasulik infograafik, ja MSRC keskus on postitanud hea ülevaate sellest, kuidas ta turvavärskendusi käsitleb siin.

Peamised testimise stsenaariumid

Arvestades selle maikuu plaastritsükliga kaasnevate muudatuste suurt hulka, jagasin testimise stsenaariumid kõrge riskiga ja standardse riskiga rühmadesse:

Kõrge riskiga: Need muudatused hõlmavad tõenäoliselt funktsionaalsuse muudatusi, võivad olemasolevad funktsioonid aeguda ja tõenäoliselt tuleb luua uued testimisplaanid.

• Testige oma ettevõtte CA-sertifikaate (nii uusi kui ka uuendatud). Teie domeeniserver KDC kinnitab selle värskendusega kaasatud uued laiendused automaatselt. Otsige ebaõnnestunud kinnitusi!
• See värskendus sisaldab draiveri signatuuride muudatust, mis hõlmab nüüd ka ajatempli kontrollimist autentivad allkirjad. Signeeritud draiverid peaksid laadima. Signeerimata draiverid ei tohiks seda teha. Kontrollige oma rakenduse testkäitamist draiveri ebaõnnestunud laadimise suhtes. Kaasake ka allkirjastatud EXE-de ja DLL-ide kontrollid.

Järgmised muudatused ei ole dokumenteeritud funktsionaalseid muudatusi sisaldavatena, kuid nõuavad siiski vähemalt "suitsu testimine” enne maikuu plaastrite üldist kasutuselevõttu:

• Kasutades testige oma VPN-i kliente RRAS serverid: hõlmavad ühendamist, katkestamist (kasutades kõiki protokolle: PPP/PPTP/SSTP/IKEv2).
• Kontrollige, kas teie EMF-failid avanevad ootuspäraselt.
• Testige oma Windowsi aadressiraamatut (WAB) rakenduste sõltuvused.
• Testige BitLockerit: käivitage/peatage oma masinaid BitLocker lubatud ja seejärel keelatud.
• Kontrollige, kas teie mandaadid on VPN-i kaudu juurdepääsetavad (vt Microsofti mandaadihaldur).
• Testi oma V4 printeridraiverid (eriti hilisema saabumisega CVE-2022-30138). 

Selle kuu testimine nõuab teie testimisressursside mitut taaskäivitamist ja peaks hõlmama nii (BIOS/UEFI) virtuaalseid kui ka füüsilisi masinaid.

Teadaolevad probleemid

Microsoft sisaldab loendit teadaolevatest probleemidest, mis mõjutavad sellesse värskendustsüklisse kaasatud operatsioonisüsteemi ja platvorme.

• Pärast selle kuu värskenduse installimist võivad teatud GPU-sid kasutavad Windowsi seadmed põhjustada apps ootamatult sulgemiseks või erandikoodi genereerimiseks (0xc0000094 moodulis d3d9on12.dll) apps kasutades Direct3D versiooni 9. Microsoft on avaldanud a KIR rühmapoliitika värskendus selle probleemi lahendamiseks järgmiste GPO seadetega: Laadige alla operatsioonisüsteemile Windows 10, versioon 2004, Windows 10, versioon 20H2, Windows 10, versioon 21H1 ja Windows 10, versioon 21H2.
• Pärast 11. jaanuaril 2022 või hiljem välja antud värskenduste installimist apps mis kasutavad Microsoft .NET Frameworki Active Directory Forest Trust Information hankimiseks või seadistamiseks, võivad ebaõnnestuda või tekitada juurdepääsu rikkumise (0xc0000005) vea. Näib, et rakendused, mis sõltuvad System.DirectoryServices API on mõjutatud.

Microsoft on selle versiooni hiljutisi parandusi ja värskendusi käsitledes oma mängu tõeliselt täiustanud värskenduste esiletõstmised video.

Suured revisjonid

Kuigi sellel kuul on aprilliga võrreldes palju väiksem plaastrite loend, on Microsoft välja andnud kolm versiooni, sealhulgas:

• CVE-2022-1096: Chromium: CVE-2022-1096 Tüüpide segadus V8-s. Seda märtsikuu plaastrit on värskendatud, et see hõlmaks Visual Studio (2022) uusima versiooni tuge, et võimaldada Webview2 sisu värskendatud renderdamist. Edasised toimingud pole vajalikud.
• CVE-2022-24513: Visual Studio Elevation of Privilege Vulnerability. Seda aprilli plaastrit on värskendatud, et see hõlmaks KÕIKI Visual Studio toetatud versioone (15.9 kuni 17.1). Kahjuks võib see värskendus nõuda teie arendusmeeskonna jaoks rakenduste testimist, kuna see mõjutab seda, kuidas Webview2 sisu renderdatakse.
• CVE-2022-30138: Windowsi prindispuuleri privileegide tõstmise haavatavus. See on ainult informatiivne muudatus. Edasised toimingud pole vajalikud.

Leevendused ja lahendused

Maikuuks on Microsoft avaldanud ühe olulise leevendusvahendi Windowsi võrgu failisüsteemi tõsise haavatavuse jaoks:

• CVE-2022-26937: Windowsi võrgu failisüsteemi koodi kaugkäitamise haavatavus. Saate rünnakut leevendada keelates NFSV2 ja NFSV3. Järgmine PowerShelli käsk keelab need versioonid: "PS C:Set-NfsServerConfiguration -EnableNFSV2 $false -EnableNFSV3 $false." Kord tehtud. peate oma NFS-serveri taaskäivitama (või eelistatavalt taaskäivitama masina). Ja kinnitamaks, et NFS-server on õigesti värskendatud, kasutage PowerShelli käsku "PS C:Get-NfsServerConfiguration".

Iga kuu jaotame värskendustsükli tooteperekondadeks (nagu Microsoft on määratlenud) järgmiste põhirühmadega. 

• brauserid (Microsoft IE ja Edge);
• Microsoft Windows (nii lauaarvuti kui ka server);
• Microsoft Office;
• Microsoft Exchange;
• Microsofti arendusplatvormid ( ASP.NET Core, .NET Core ja Chakra Core);
• Adobe (pensionil???, võib-olla järgmisel aastal).

Brauserid

Microsoft ei ole sel kuul välja andnud ühtegi värskendust ei oma pärand- (IE) ega Chromiumi (Edge) brauseritele. Näeme Microsofti viimase kümnendi jooksul vaevanud kriitiliste probleemide arvu langustrendi. Minu tunne on, et Chromiumi projektile üleminek on olnud nii arendusmeeskonnale kui ka kasutajatele kindel "super pluss pluss win-win".

Pärandbrauseritest rääkides peame valmistuma IE pensionile jäämine tuleb juuni keskel. "Valmistamise" all pean silmas tähistamist – pärast seda, kui oleme selle pärandi muidugi taganud apps neil pole selgeid sõltuvusi vanast IE renderdusmootorist. Lisage oma brauseri juurutamise ajakavasse "Tähistage IE pensionile jäämist". Teie kasutajad mõistavad.

Windows

Windowsi platvorm saab sel kuul kuus kriitilist värskendust ja 56 oluliseks hinnatud plaastrit. Kahjuks on meil ka kolm nullpäeva rünnakut:

• CVE-2022-22713: see Microsofti Hyper-V virtualiseerimisplatvormi avalikult avaldatud haavatavus nõuab, et ründaja kasutaks edukalt ära sisemise võistluse tingimust, et viia võimaliku teenuse keelamise stsenaariumini. See on tõsine haavatavus, kuid edu saavutamiseks on vaja mitut haavatavust aheldada.
• CVE-2022-26925: Nii avalikult avalikustatud kui ka looduses ärakasutatuna teatatud LSA autentimise probleem on tõsine murekoht. Seda on lihtne parandada, kuid testimisprofiil on suur, mistõttu on selle kiire juurutamine raske. Lisaks domeeni autentimise testimisele veenduge, et varundamise (ja taastamise) funktsioonid töötaksid ootuspäraselt. Soovitame tungivalt vaadata viimast Microsofti tugimärkmed sellel käimasolev probleem.
• CVE-2022-29972: see punases avalikult avalikustatud haavatavusshift ODBC draiver on Synapse'i rakendustele üsna spetsiifiline. Kuid kui teil on kokkupuude mõnega Azure Synapse RBAC rollid, on selle värskenduse juurutamine esmatähtis.

Lisaks nendele nullpäeva probleemidele on veel kolm probleemi, mis nõuavad teie tähelepanu.

• CVE-2022-26923: see Active Directory autentimise haavatavus ei ole päris "ussitavad“, kuid seda on nii lihtne ära kasutada, et ma ei oleks üllatunud, kui seda aktiivselt rünnatakse soon. Kui see haavatavus on ohustatud, annab see juurdepääsu kogu teie domeenile. Sellega on panused kõrged.
• CVE-2022-26937: Selle võrgufailisüsteemi vea reiting on 9.8 – üks kõrgemaid sel aastal teatatud. NFS ei ole vaikimisi lubatud, kuid kui teie võrgus on Linux või Unix, kasutate seda tõenäoliselt. Parandage see probleem, kuid soovitame ka versioonile üle minna NFSv4.1 as soon kui võimalik.
• CVE-2022-30138: See plaaster ilmus pärast paiga teisipäeva. See prindispuuleri probleem mõjutab ainult vanemaid süsteeme (Windows 8 ja Server 2012), kuid nõuab enne juurutamist olulist testimist. See ei ole ülikriitiline turbeprobleem, kuid printeripõhiste probleemide potentsiaal on suur. Võtke enne selle kasutuselevõttu aega.

Arvestades tõsiste ärakasutamiste arvu ja kolme nullpäeva mais, lisage selle kuu Windowsi värskendus oma "Patch Now" ajakavasse.

Microsoft Office

Microsoft andis Microsoft Office'i platvormi jaoks välja vaid neli värskendust (Excel, SharePoint), mis kõik on hinnatud oluliseks. Kõiki neid värskendusi on raske kasutada (nõuab nii kasutaja sekkumist kui ka kohalikku juurdepääsu sihtsüsteemile) ja need mõjutavad ainult 32-bitiseid platvorme. Lisage need madala profiiliga ja madala riskitasemega Office'i värskendused oma standardsesse väljalaskegraafikusse.

Microsoft Exchange Server

Microsoft andis Exchange Serverile välja ühe värskenduse (CVE-2022-21978), mis on hinnatud oluliseks ja tundub olevat üsna raske ära kasutada. See privileegide tõstmise haavatavus nõuab täielikult autentitud juurdepääsu serverile ja siiani ei ole teateid avalikustamise või looduses kasutamise kohta.

Veelgi olulisem sel kuul tutvustas Microsoft uut meetod Microsoft Exchange'i serverite värskendamiseks mis sisaldab nüüd järgmist:

• Windows Installeri paigafail (.MSP), mis töötab automatiseeritud installide jaoks kõige paremini.
• Iseavanev, automaatselt tõstev installer (.exe), mis töötab kõige paremini käsitsi installimisel.

See on katse lahendada probleem, mis tuleneb sellest, et Exchange'i administraatorid värskendavad oma serverisüsteeme mitte-administraatori kontekstis, mille tulemuseks on halb serveri olek. Uus EXE-vorming võimaldab käsurea installimist ja paremat installilogimist. Microsoft on kasulikult avaldanud järgmise EXE käsurea näite:

"Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains"

Märkus. Microsoft soovitab enne uue EXE installivormingu kasutamist kasutada keskkonnamuutujat %Temp%. Kui järgite Exchange'i värskendamiseks uut EXE-i kasutamise meetodit, pidage meeles, et peate ikkagi (eraldi) juurutama igakuise SSU värskendage, et teie serverid oleksid ajakohased. Lisage see värskendus (või EXE) oma standardsesse väljalaskegraafikusse, tagades, et pärast kõigi värskenduste lõpetamist toimub täielik taaskäivitamine.

Microsofti arendusplatvormid

Microsoft on välja andnud viis oluliseks hinnatud värskendust ja ühe madala reitinguga paiga. Kõik need paigad mõjutavad Visual Studiot ja .NET-i raamistikku. Kuna värskendate oma Visual Studio eksemplare nende teatatud haavatavuste kõrvaldamiseks, soovitame teil lugeda Visual Studio aprilli värskendusjuhend.

Turvalisuse seisukohast käsitletavate konkreetsete probleemide kohta lisateabe saamiseks Mai 2022 .NET-i värskenduse ajaveebi postitus tuleb kasuks. Märkides seda.NET 5.0 tugi on nüüdseks lõppenud ja enne versioonile .NET 7 üleminekut tasub kontrollida mõnda ühilduvust võimurrangulised muutused”, millega tuleb tegeleda. Lisage need keskmise riskiga värskendused oma standardsesse värskenduste ajakavasse.

Adobe (tegelikult lihtsalt Reader)

Arvasin, et võime näha trendi. Sellel kuul pole Adobe Readeri värskendusi. Sellegipoolest on Adobe välja andnud mitmeid värskendusi teistele siintoodud toodetele: APSB22-21. Vaatame, mis juunis saab – ehk saame pensionile mõlemad Adobe Reader ja IE.