به‌روزرسانی‌های پچ سه‌شنبه ماه می، وصله فوری را یک ضرورت می‌سازد

پچ سه‌شنبه هفته گذشته با ۷۳ به‌روزرسانی آغاز شد، اما (تاکنون) با سه ویرایش و یک اضافه شدن دیرهنگام به پایان رسید.CVE-2022-30138) در مجموع 77 آسیب پذیری در این ماه برطرف شده است. در مقایسه با مجموعه گسترده‌ای از به‌روزرسانی‌های منتشر شده در ماه آوریل، ما شاهد فوریت بیشتری در وصله کردن ویندوز هستیم – به خصوص با سه روز صفر و چندین نقص بسیار جدی در سرورهای کلیدی و بخش‌های احراز هویت. تبادل نیز به توجه نیاز دارد فناوری جدید به روز رسانی سرور.

در این ماه هیچ به روز رسانی برای مرورگرهای مایکروسافت و Adobe Reader وجود نداشت. و ویندوز 10 20H2 (ما به سختی شما را می شناختیم) اکنون پشتیبانی نمی شود.

می‌توانید اطلاعات بیشتری درباره خطرات استقرار این به‌روزرسانی‌های Patch Tuesday در اینجا پیدا کنید این اینفوگرافیک مفید, و مرکز MSRC یک نمای کلی از نحوه مدیریت به روز رسانی های امنیتی ارسال کرده است اینجا کلیک نمایید.

سناریوهای کلیدی تست

با توجه به تعداد زیاد تغییراتی که در این چرخه وصله ماه مه وجود دارد، سناریوهای آزمایش را به گروه های پرخطر و استاندارد تقسیم کرده ام:

ریسک بالا: این تغییرات احتمالاً شامل تغییرات عملکردی می‌شوند، ممکن است عملکردهای موجود را منسوخ کنند و احتمالاً نیاز به ایجاد برنامه‌های آزمایشی جدید دارند:

• گواهینامه های CA شرکتی (هم جدید و هم تمدید شده) را آزمایش کنید. سرور دامنه شما KDC به طور خودکار افزونه های جدید موجود در این به روز رسانی را تأیید می کند. به دنبال تاییدیه های ناموفق باشید!
• این به‌روزرسانی شامل تغییری در امضای راننده می‌شود که اکنون شامل بررسی مهر زمان و نیز می‌شود امضاهای احراز هویت. درایورهای امضا شده باید بارگیری شوند. درایورهای بدون امضا نباید. آزمایش برنامه خود را برای بارگیری ناموفق درایور بررسی کنید. چک هایی برای EXE ها و DLL های امضا شده نیز اضافه کنید.

تغییرات زیر به‌عنوان تغییرات عملکردی مستند نشده‌اند، اما همچنان حداقل به «تست دود” قبل از استقرار کلی وصله های می:

• مشتریان VPN خود را هنگام استفاده آزمایش کنید RRAS سرورها: شامل اتصال، قطع اتصال (با استفاده از همه پروتکل ها: PPP/PPTP/SSTP/IKEv2).
• تست کنید که فایل های EMF شما همانطور که انتظار می رود باز شوند.
• کتاب آدرس ویندوز خود را تست کنید (WAB) وابستگی های برنامه.
• تست BitLocker: ماشین های خود را با آن راه اندازی/توقف کنید از BitLocker فعال و سپس غیرفعال می شود.
• تأیید کنید که اعتبار شما از طریق VPN قابل دسترسی است (نگاه کنید به مدیر اعتبار مایکروسافت).
• خود را آزمایش کنید درایورهای چاپگر V4 (مخصوصاً با آمدن دیرتر CVE-2022-30138). 

آزمایش این ماه به چندین راه‌اندازی مجدد برای منابع آزمایشی شما نیاز دارد و باید شامل ماشین‌های مجازی و فیزیکی (BIOS/UEFI) باشد.

مشکلات شناخته شده

مایکروسافت لیستی از مشکلات شناخته شده ای را که بر سیستم عامل و پلتفرم های موجود در این چرخه به روز رسانی تاثیر می گذارد شامل می شود:

• پس از نصب به‌روزرسانی این ماه، دستگاه‌های ویندوزی که از پردازنده‌های گرافیکی خاصی استفاده می‌کنند ممکن است باعث ایجاد مشکل شوند apps برای بستن غیرمنتظره، یا ایجاد یک کد استثنا (0xc0000094 در ماژول d3d9on12.dll) در apps با استفاده از Direct3D نسخه 9. مایکروسافت منتشر کرده است KIR به روز رسانی خط مشی گروه برای حل این مشکل با تنظیمات GPO زیر: دانلود برای ویندوز 10، نسخه 2004، ویندوز 10، نسخه 20H2، ویندوز 10، نسخه 21H1 و ویندوز 10، نسخه 21H2.
• پس از نصب به‌روزرسانی‌های منتشر شده در 11 ژانویه 2022 یا بالاتر، apps که از Microsoft .NET Framework برای به دست آوردن یا تنظیم Active Directory Forest Trust Information استفاده می کنند، ممکن است شکست بخورند یا خطای نقض دسترسی (0xc0000005) ایجاد کنند. به نظر می رسد که برنامه های کاربردی که به API System.DirectoryServices تحت تأثیر قرار می گیرند

مایکروسافت واقعاً بازی خود را در هنگام بحث در مورد اصلاحات و به روز رسانی های اخیر برای این نسخه با یک نسخه مفید ارتقا داده است نکات برجسته به روز رسانی ویدیو.

بازنگری های عمده

اگرچه لیستی از وصله‌های این ماه نسبت به آوریل بسیار کاهش یافته است، مایکروسافت سه ویرایش از جمله:

• CVE-2022-1096: Chromium: CVE-2022-1096 Type Confusion در V8. این وصله مارس به‌روزرسانی شده است تا از آخرین نسخه ویژوال استودیو (2022) پشتیبانی کند تا امکان ارائه به‌روزرسانی محتوای webview2 را فراهم کند. هیچ اقدام دیگری لازم نیست.
• CVE-2022-24513: Visual Studio Elevation of Privilege Vulnerability. این وصله آوریل به روز شده است تا شامل تمام نسخه های پشتیبانی شده ویژوال استودیو (15.9 تا 17.1) باشد. متأسفانه، این به‌روزرسانی ممکن است به آزمایش‌های برنامه‌ای برای تیم توسعه‌دهنده شما نیاز داشته باشد، زیرا بر نحوه ارائه محتوای webview2 تأثیر می‌گذارد.
• CVE-2022-30138: Windows Print Spooler Elevation of Privilege Vulnerability. این فقط یک تغییر اطلاعاتی است. هیچ اقدام دیگری لازم نیست.

کاهش و راه حل

برای ماه می، مایکروسافت یک کاهش کلیدی برای آسیب‌پذیری جدی سیستم فایل شبکه ویندوز منتشر کرده است:

• CVE-2022-26937: آسیب پذیری اجرای کد از راه دور سیستم فایل شبکه ویندوز. می توانید با غیرفعال کردن یک حمله را کاهش دهید NFSV2 و NFSV3. دستور PowerShell زیر آن نسخه ها را غیرفعال می کند: "PS C:Set-NfsServerConfiguration -EnableNFSV2 $false -EnableNFSV3 $false." یک بار انجام شد. شما باید سرور NFS خود را مجددا راه اندازی کنید (یا ترجیحا دستگاه را راه اندازی مجدد کنید). و برای تأیید اینکه سرور NFS به درستی به روز شده است، از دستور PowerShell "PS C: Get-NfsServerConfiguration" استفاده کنید.

هر ماه، چرخه به‌روزرسانی را به خانواده‌های محصول (همانطور که مایکروسافت تعریف کرده است) با گروه‌بندی‌های اساسی زیر تقسیم می‌کنیم: 

• مرورگرها (Microsoft IE و Edge)؛
• مایکروسافت ویندوز (هم دسکتاپ و هم سرور)؛
• Microsoft Office؛
• Microsoft Exchange ؛
• پلتفرم های توسعه مایکروسافت ( ASP.NET هسته، هسته دات نت و هسته چاکرا)؛
• Adobe (بازنشسته؟؟؟، شاید سال آینده).

مرورگرها

مایکروسافت در این ماه هیچ به‌روزرسانی برای مرورگرهای قدیمی خود (IE) یا Chromium (Edge) منتشر نکرده است. ما شاهد روند کاهشی تعداد مسائل مهمی هستیم که در دهه گذشته مایکروسافت را آزار داده است. احساس من این است که انتقال به پروژه Chromium یک "بدون برنده فوق العاده مثبت" برای تیم توسعه و کاربران بوده است.

در مورد مرورگرهای قدیمی صحبت می کنیم، باید برای آن آماده شویم بازنشستگی IE در اواسط ژوئن می آید. منظورم از "آماده کردن" جشن گرفتن است - البته پس از آن که از این میراث اطمینان حاصل کردیم apps وابستگی صریح به موتور رندر IE قدیمی ندارند. لطفاً "جشن بازنشستگی IE" را به برنامه استقرار مرورگر خود اضافه کنید. کاربران شما متوجه خواهند شد.

ویندوز

پلتفرم ویندوز در این ماه شش به روز رسانی حیاتی و 56 وصله مهم را دریافت می کند. متأسفانه ما سه اکسپلویت روز صفر نیز داریم:

• CVE-2022-22713: این آسیب‌پذیری آشکار در پلت‌فرم مجازی‌سازی Hyper-V مایکروسافت به مهاجم نیاز دارد تا با موفقیت از شرایط مسابقه داخلی برای منتهی به سناریوی انکار سرویس بالقوه سوء استفاده کند. این یک آسیب پذیری جدی است، اما برای موفقیت به چندین آسیب پذیری زنجیره ای نیاز دارد.
• CVE-2022-26925این مشکل احراز هویت LSA یک نگرانی واقعی است وصله کردن آن آسان خواهد بود، اما نمایه آزمایشی آن بزرگ است، و استقرار سریع آن را دشوار می کند. علاوه بر آزمایش احراز هویت دامنه خود، اطمینان حاصل کنید که عملکردهای پشتیبان (و بازیابی) همانطور که انتظار می رود کار می کنند. ما به شدت توصیه می کنیم جدیدترین ها را بررسی کنید یادداشت های پشتیبانی مایکروسافت در این موضوع در حال انجام.
• CVE-2022-29972: این آسیب پذیری آشکار در قرمزshift ODBC درایور بسیار خاص برنامه های Synapse است. اما اگر در معرض هر یک از این موارد هستید Azure Synapse RBAC نقش ها، استقرار این به روز رسانی یک اولویت است.

علاوه بر این مسائل روز صفر، سه موضوع دیگر وجود دارد که توجه شما را می طلبد:

• CVE-2022-26923: این آسیب‌پذیری در احراز هویت Active Directory کاملاً نیست.کرم پذیراما بهره برداری از آن بسیار آسان است، اگر ببینم که به طور فعال مورد حمله قرار می گیرد، تعجب نمی کنم soon. پس از به خطر افتادن، این آسیب پذیری دسترسی به کل دامنه شما را فراهم می کند. ریسک با این یکی زیاد است.
• CVE-2022-26937: این باگ سیستم فایل شبکه دارای امتیاز 9.8 است که یکی از بالاترین موارد گزارش شده در سال جاری است. NFS به طور پیش فرض فعال نیست، اما اگر لینوکس یا یونیکس در شبکه خود دارید، احتمالاً از آن استفاده می کنید. این مشکل را اصلاح کنید، اما توصیه می‌کنیم به آن نیز ارتقا دهید NFSv4.1 as soon تا جایی که ممکن است.
• CVE-2022-30138: این پچ پس از پچ سه شنبه منتشر شد. این مشکل اسپولر چاپ فقط بر سیستم‌های قدیمی‌تر (ویندوز 8 و سرور 2012) تأثیر می‌گذارد، اما قبل از استقرار به آزمایش قابل توجهی نیاز دارد. این یک مشکل امنیتی فوق العاده حیاتی نیست، اما پتانسیل مشکلات مبتنی بر چاپگر زیاد است. قبل از استقرار این یکی وقت بگذارید.

با توجه به تعداد سوء استفاده‌های جدی و سه روز صفر در ماه می، به‌روزرسانی ویندوز این ماه را به برنامه «Patch Now» خود اضافه کنید.

دفتر مایکروسافت

مایکروسافت تنها چهار به‌روزرسانی را برای پلتفرم آفیس (اکسل، شیرپوینت) منتشر کرد که همه آنها مهم ارزیابی می‌شوند. بهره برداری از همه این به روز رسانی ها دشوار است (هم به تعامل کاربر و هم دسترسی محلی به سیستم هدف نیاز دارد) و فقط بر پلتفرم های 32 بیتی تأثیر می گذارد. این به‌روزرسانی‌های کم‌خطر و کم خطر آفیس را به برنامه انتشار استاندارد خود اضافه کنید.

مایکروسافت اکسچنج سرور

مایکروسافت یک به روز رسانی واحد برای Exchange Server (CVE-2022-21978) که مهم رتبه بندی می شود و بهره برداری از آن بسیار دشوار به نظر می رسد. این آسیب‌پذیری بالاتر از امتیاز مستلزم دسترسی کاملاً تأیید شده به سرور است و تاکنون هیچ گزارشی مبنی بر افشای عمومی یا بهره‌برداری در طبیعت گزارش نشده است.

مهمتر از همه در این ماه، مایکروسافت یک محصول جدید معرفی کرد روشی برای به روز رسانی سرورهای Microsoft Exchange که اکنون شامل:

• فایل وصله Windows Installer (MSP) که برای نصب خودکار بهترین کار را دارد.
• نصب‌کننده خود استخراج‌شونده و بلندکننده خودکار (exe.)، که برای نصب‌های دستی بهترین کار را دارد.

این تلاشی برای حل مشکل ادمین های Exchange است که سیستم های سرور خود را در یک زمینه غیر مدیریتی به روز می کنند و در نتیجه وضعیت سرور بد است. فرمت جدید EXE امکان نصب خط فرمان و ثبت بهتر نصب را فراهم می کند. مایکروسافت به طور مفید مثال خط فرمان EXE زیر را منتشر کرده است:

"Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains"

توجه داشته باشید، مایکروسافت توصیه می کند قبل از استفاده از فرمت جدید نصب EXE، متغیر محیطی %Temp% را داشته باشید. اگر از روش جدید استفاده از EXE برای به روز رسانی Exchange پیروی می کنید، به یاد داشته باشید که همچنان باید (به طور جداگانه) ماهانه را مستقر کنید. S.S.U. به روز رسانی کنید تا مطمئن شوید سرورهای شما به روز هستند. این به‌روزرسانی (یا EXE) را به برنامه انتشار استاندارد خود اضافه کنید، و اطمینان حاصل کنید که پس از تکمیل همه به‌روزرسانی‌ها، راه‌اندازی مجدد کامل انجام می‌شود.

پلتفرم های توسعه مایکروسافت

مایکروسافت پنج به‌روزرسانی با رتبه مهم و یک پچ با رتبه پایین منتشر کرده است. همه این وصله ها بر ویژوال استودیو و فریمورک دات نت تاثیر می گذارند. از آنجایی که نمونه های ویژوال استودیو خود را برای رفع این آسیب پذیری های گزارش شده به روز می کنید، توصیه می کنیم راهنمای به روز رسانی ویژوال استودیو در آوریل.

برای کسب اطلاعات بیشتر در مورد مسائل خاصی که از منظر امنیتی به آنها پرداخته شده است، مه 2022 ارسال وبلاگ به روز رسانی دات نت مفید خواهد بود. با توجه به اینکه .NET 5.0 اکنون به پایان پشتیبانی رسیده است و قبل از اینکه به .NET 7 ارتقا دهید، ممکن است ارزش بررسی برخی از سازگاری یا «تغییرات شکنی” که باید مورد توجه قرار گیرد. این به‌روزرسانی‌های با ریسک متوسط ​​را به برنامه به‌روزرسانی استاندارد خود اضافه کنید.

Adobe (واقعا فقط Reader)

من فکر کردم که ممکن است شاهد یک روند باشیم. هیچ به روز رسانی Adobe Reader برای این ماه وجود ندارد. با این حال، Adobe تعدادی به روز رسانی را برای سایر محصولات موجود در اینجا منتشر کرده است: APSB22-21. بیایید ببینیم در ژوئن چه اتفاقی می افتد - شاید بتوانیم بازنشسته شویم هر دو Adobe Reader و IE.