پچ سهشنبه هفته گذشته با ۷۳ بهروزرسانی آغاز شد، اما (تاکنون) با سه ویرایش و یک اضافه شدن دیرهنگام به پایان رسید.CVE-2022-30138) در مجموع 77 آسیب پذیری در این ماه برطرف شده است. در مقایسه با مجموعه گستردهای از بهروزرسانیهای منتشر شده در ماه آوریل، ما شاهد فوریت بیشتری در وصله کردن ویندوز هستیم – به خصوص با سه روز صفر و چندین نقص بسیار جدی در سرورهای کلیدی و بخشهای احراز هویت. تبادل نیز به توجه نیاز دارد فناوری جدید به روز رسانی سرور.
در این ماه هیچ به روز رسانی برای مرورگرهای مایکروسافت و Adobe Reader وجود نداشت. و ویندوز 10 20H2 (ما به سختی شما را می شناختیم) اکنون پشتیبانی نمی شود.
میتوانید اطلاعات بیشتری درباره خطرات استقرار این بهروزرسانیهای Patch Tuesday در اینجا پیدا کنید این اینفوگرافیک مفید, و مرکز MSRC یک نمای کلی از نحوه مدیریت به روز رسانی های امنیتی ارسال کرده است اینجا کلیک نمایید.
سناریوهای کلیدی تست
با توجه به تعداد زیاد تغییراتی که در این چرخه وصله ماه مه وجود دارد، سناریوهای آزمایش را به گروه های پرخطر و استاندارد تقسیم کرده ام:
ریسک بالا: این تغییرات احتمالاً شامل تغییرات عملکردی میشوند، ممکن است عملکردهای موجود را منسوخ کنند و احتمالاً نیاز به ایجاد برنامههای آزمایشی جدید دارند:
- گواهینامه های CA شرکتی (هم جدید و هم تمدید شده) را آزمایش کنید. سرور دامنه شما KDC به طور خودکار افزونه های جدید موجود در این به روز رسانی را تأیید می کند. به دنبال تاییدیه های ناموفق باشید!
- این بهروزرسانی شامل تغییری در امضای راننده میشود که اکنون شامل بررسی مهر زمان و نیز میشود امضاهای احراز هویت. درایورهای امضا شده باید بارگیری شوند. درایورهای بدون امضا نباید. آزمایش برنامه خود را برای بارگیری ناموفق درایور بررسی کنید. چک هایی برای EXE ها و DLL های امضا شده نیز اضافه کنید.
تغییرات زیر بهعنوان تغییرات عملکردی مستند نشدهاند، اما همچنان حداقل به «تست دود” قبل از استقرار کلی وصله های می:
- مشتریان VPN خود را هنگام استفاده آزمایش کنید RRAS سرورها: شامل اتصال، قطع اتصال (با استفاده از همه پروتکل ها: PPP/PPTP/SSTP/IKEv2).
- تست کنید که فایل های EMF شما همانطور که انتظار می رود باز شوند.
- کتاب آدرس ویندوز خود را تست کنید (WAB) وابستگی های برنامه.
- تست BitLocker: ماشین های خود را با آن راه اندازی/توقف کنید از BitLocker فعال و سپس غیرفعال می شود.
- تأیید کنید که اعتبار شما از طریق VPN قابل دسترسی است (نگاه کنید به مدیر اعتبار مایکروسافت).
- خود را آزمایش کنید درایورهای چاپگر V4 (مخصوصاً با آمدن دیرتر CVE-2022-30138).
آزمایش این ماه به چندین راهاندازی مجدد برای منابع آزمایشی شما نیاز دارد و باید شامل ماشینهای مجازی و فیزیکی (BIOS/UEFI) باشد.
مشکلات شناخته شده
مایکروسافت لیستی از مشکلات شناخته شده ای را که بر سیستم عامل و پلتفرم های موجود در این چرخه به روز رسانی تاثیر می گذارد شامل می شود:
- پس از نصب بهروزرسانی این ماه، دستگاههای ویندوزی که از پردازندههای گرافیکی خاصی استفاده میکنند ممکن است باعث ایجاد مشکل شوند apps برای بستن غیرمنتظره، یا ایجاد یک کد استثنا (0xc0000094 در ماژول d3d9on12.dll) در apps با استفاده از Direct3D نسخه 9. مایکروسافت منتشر کرده است KIR به روز رسانی خط مشی گروه برای حل این مشکل با تنظیمات GPO زیر: دانلود برای ویندوز 10، نسخه 2004، ویندوز 10، نسخه 20H2، ویندوز 10، نسخه 21H1 و ویندوز 10، نسخه 21H2.
- پس از نصب بهروزرسانیهای منتشر شده در 11 ژانویه 2022 یا بالاتر، apps که از Microsoft .NET Framework برای به دست آوردن یا تنظیم Active Directory Forest Trust Information استفاده می کنند، ممکن است شکست بخورند یا خطای نقض دسترسی (0xc0000005) ایجاد کنند. به نظر می رسد که برنامه های کاربردی که به API System.DirectoryServices تحت تأثیر قرار می گیرند
مایکروسافت واقعاً بازی خود را در هنگام بحث در مورد اصلاحات و به روز رسانی های اخیر برای این نسخه با یک نسخه مفید ارتقا داده است نکات برجسته به روز رسانی ویدیو.
بازنگری های عمده
اگرچه لیستی از وصلههای این ماه نسبت به آوریل بسیار کاهش یافته است، مایکروسافت سه ویرایش از جمله:
- CVE-2022-1096: Chromium: CVE-2022-1096 Type Confusion در V8. این وصله مارس بهروزرسانی شده است تا از آخرین نسخه ویژوال استودیو (2022) پشتیبانی کند تا امکان ارائه بهروزرسانی محتوای webview2 را فراهم کند. هیچ اقدام دیگری لازم نیست.
- CVE-2022-24513: Visual Studio Elevation of Privilege Vulnerability. این وصله آوریل به روز شده است تا شامل تمام نسخه های پشتیبانی شده ویژوال استودیو (15.9 تا 17.1) باشد. متأسفانه، این بهروزرسانی ممکن است به آزمایشهای برنامهای برای تیم توسعهدهنده شما نیاز داشته باشد، زیرا بر نحوه ارائه محتوای webview2 تأثیر میگذارد.
- CVE-2022-30138: Windows Print Spooler Elevation of Privilege Vulnerability. این فقط یک تغییر اطلاعاتی است. هیچ اقدام دیگری لازم نیست.
کاهش و راه حل
برای ماه می، مایکروسافت یک کاهش کلیدی برای آسیبپذیری جدی سیستم فایل شبکه ویندوز منتشر کرده است:
- CVE-2022-26937: آسیب پذیری اجرای کد از راه دور سیستم فایل شبکه ویندوز. می توانید با غیرفعال کردن یک حمله را کاهش دهید NFSV2 و NFSV3. دستور PowerShell زیر آن نسخه ها را غیرفعال می کند: "PS C:Set-NfsServerConfiguration -EnableNFSV2 $false -EnableNFSV3 $false." یک بار انجام شد. شما باید سرور NFS خود را مجددا راه اندازی کنید (یا ترجیحا دستگاه را راه اندازی مجدد کنید). و برای تأیید اینکه سرور NFS به درستی به روز شده است، از دستور PowerShell "PS C: Get-NfsServerConfiguration" استفاده کنید.
هر ماه، چرخه بهروزرسانی را به خانوادههای محصول (همانطور که مایکروسافت تعریف کرده است) با گروهبندیهای اساسی زیر تقسیم میکنیم:
- مرورگرها (Microsoft IE و Edge)؛
- مایکروسافت ویندوز (هم دسکتاپ و هم سرور)؛
- Microsoft Office؛
- Microsoft Exchange ؛
- پلتفرم های توسعه مایکروسافت ( ASP.NET هسته، هسته دات نت و هسته چاکرا)؛
- Adobe (بازنشسته؟؟؟، شاید سال آینده).
مرورگرها
مایکروسافت در این ماه هیچ بهروزرسانی برای مرورگرهای قدیمی خود (IE) یا Chromium (Edge) منتشر نکرده است. ما شاهد روند کاهشی تعداد مسائل مهمی هستیم که در دهه گذشته مایکروسافت را آزار داده است. احساس من این است که انتقال به پروژه Chromium یک "بدون برنده فوق العاده مثبت" برای تیم توسعه و کاربران بوده است.
در مورد مرورگرهای قدیمی صحبت می کنیم، باید برای آن آماده شویم بازنشستگی IE در اواسط ژوئن می آید. منظورم از "آماده کردن" جشن گرفتن است - البته پس از آن که از این میراث اطمینان حاصل کردیم apps وابستگی صریح به موتور رندر IE قدیمی ندارند. لطفاً "جشن بازنشستگی IE" را به برنامه استقرار مرورگر خود اضافه کنید. کاربران شما متوجه خواهند شد.
ویندوز
پلتفرم ویندوز در این ماه شش به روز رسانی حیاتی و 56 وصله مهم را دریافت می کند. متأسفانه ما سه اکسپلویت روز صفر نیز داریم:
- CVE-2022-22713: این آسیبپذیری آشکار در پلتفرم مجازیسازی Hyper-V مایکروسافت به مهاجم نیاز دارد تا با موفقیت از شرایط مسابقه داخلی برای منتهی به سناریوی انکار سرویس بالقوه سوء استفاده کند. این یک آسیب پذیری جدی است، اما برای موفقیت به چندین آسیب پذیری زنجیره ای نیاز دارد.
- CVE-2022-26925این مشکل احراز هویت LSA یک نگرانی واقعی است وصله کردن آن آسان خواهد بود، اما نمایه آزمایشی آن بزرگ است، و استقرار سریع آن را دشوار می کند. علاوه بر آزمایش احراز هویت دامنه خود، اطمینان حاصل کنید که عملکردهای پشتیبان (و بازیابی) همانطور که انتظار می رود کار می کنند. ما به شدت توصیه می کنیم جدیدترین ها را بررسی کنید یادداشت های پشتیبانی مایکروسافت در این موضوع در حال انجام.
- CVE-2022-29972: این آسیب پذیری آشکار در قرمزshift ODBC درایور بسیار خاص برنامه های Synapse است. اما اگر در معرض هر یک از این موارد هستید Azure Synapse RBAC نقش ها، استقرار این به روز رسانی یک اولویت است.
علاوه بر این مسائل روز صفر، سه موضوع دیگر وجود دارد که توجه شما را می طلبد:
- CVE-2022-26923: این آسیبپذیری در احراز هویت Active Directory کاملاً نیست.کرم پذیراما بهره برداری از آن بسیار آسان است، اگر ببینم که به طور فعال مورد حمله قرار می گیرد، تعجب نمی کنم soon. پس از به خطر افتادن، این آسیب پذیری دسترسی به کل دامنه شما را فراهم می کند. ریسک با این یکی زیاد است.
- CVE-2022-26937: این باگ سیستم فایل شبکه دارای امتیاز 9.8 است که یکی از بالاترین موارد گزارش شده در سال جاری است. NFS به طور پیش فرض فعال نیست، اما اگر لینوکس یا یونیکس در شبکه خود دارید، احتمالاً از آن استفاده می کنید. این مشکل را اصلاح کنید، اما توصیه میکنیم به آن نیز ارتقا دهید NFSv4.1 as soon تا جایی که ممکن است.
- CVE-2022-30138: این پچ پس از پچ سه شنبه منتشر شد. این مشکل اسپولر چاپ فقط بر سیستمهای قدیمیتر (ویندوز 8 و سرور 2012) تأثیر میگذارد، اما قبل از استقرار به آزمایش قابل توجهی نیاز دارد. این یک مشکل امنیتی فوق العاده حیاتی نیست، اما پتانسیل مشکلات مبتنی بر چاپگر زیاد است. قبل از استقرار این یکی وقت بگذارید.
با توجه به تعداد سوء استفادههای جدی و سه روز صفر در ماه می، بهروزرسانی ویندوز این ماه را به برنامه «Patch Now» خود اضافه کنید.
دفتر مایکروسافت
مایکروسافت تنها چهار بهروزرسانی را برای پلتفرم آفیس (اکسل، شیرپوینت) منتشر کرد که همه آنها مهم ارزیابی میشوند. بهره برداری از همه این به روز رسانی ها دشوار است (هم به تعامل کاربر و هم دسترسی محلی به سیستم هدف نیاز دارد) و فقط بر پلتفرم های 32 بیتی تأثیر می گذارد. این بهروزرسانیهای کمخطر و کم خطر آفیس را به برنامه انتشار استاندارد خود اضافه کنید.
مایکروسافت اکسچنج سرور
مایکروسافت یک به روز رسانی واحد برای Exchange Server (CVE-2022-21978) که مهم رتبه بندی می شود و بهره برداری از آن بسیار دشوار به نظر می رسد. این آسیبپذیری بالاتر از امتیاز مستلزم دسترسی کاملاً تأیید شده به سرور است و تاکنون هیچ گزارشی مبنی بر افشای عمومی یا بهرهبرداری در طبیعت گزارش نشده است.
مهمتر از همه در این ماه، مایکروسافت یک محصول جدید معرفی کرد روشی برای به روز رسانی سرورهای Microsoft Exchange که اکنون شامل:
- فایل وصله Windows Installer (MSP) که برای نصب خودکار بهترین کار را دارد.
- نصبکننده خود استخراجشونده و بلندکننده خودکار (exe.)، که برای نصبهای دستی بهترین کار را دارد.
این تلاشی برای حل مشکل ادمین های Exchange است که سیستم های سرور خود را در یک زمینه غیر مدیریتی به روز می کنند و در نتیجه وضعیت سرور بد است. فرمت جدید EXE امکان نصب خط فرمان و ثبت بهتر نصب را فراهم می کند. مایکروسافت به طور مفید مثال خط فرمان EXE زیر را منتشر کرده است:
"Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains"
توجه داشته باشید، مایکروسافت توصیه می کند قبل از استفاده از فرمت جدید نصب EXE، متغیر محیطی %Temp% را داشته باشید. اگر از روش جدید استفاده از EXE برای به روز رسانی Exchange پیروی می کنید، به یاد داشته باشید که همچنان باید (به طور جداگانه) ماهانه را مستقر کنید. S.S.U. به روز رسانی کنید تا مطمئن شوید سرورهای شما به روز هستند. این بهروزرسانی (یا EXE) را به برنامه انتشار استاندارد خود اضافه کنید، و اطمینان حاصل کنید که پس از تکمیل همه بهروزرسانیها، راهاندازی مجدد کامل انجام میشود.
پلتفرم های توسعه مایکروسافت
مایکروسافت پنج بهروزرسانی با رتبه مهم و یک پچ با رتبه پایین منتشر کرده است. همه این وصله ها بر ویژوال استودیو و فریمورک دات نت تاثیر می گذارند. از آنجایی که نمونه های ویژوال استودیو خود را برای رفع این آسیب پذیری های گزارش شده به روز می کنید، توصیه می کنیم راهنمای به روز رسانی ویژوال استودیو در آوریل.
برای کسب اطلاعات بیشتر در مورد مسائل خاصی که از منظر امنیتی به آنها پرداخته شده است، مه 2022 ارسال وبلاگ به روز رسانی دات نت مفید خواهد بود. با توجه به اینکه .NET 5.0 اکنون به پایان پشتیبانی رسیده است و قبل از اینکه به .NET 7 ارتقا دهید، ممکن است ارزش بررسی برخی از سازگاری یا «تغییرات شکنی” که باید مورد توجه قرار گیرد. این بهروزرسانیهای با ریسک متوسط را به برنامه بهروزرسانی استاندارد خود اضافه کنید.
Adobe (واقعا فقط Reader)
من فکر کردم که ممکن است شاهد یک روند باشیم. هیچ به روز رسانی Adobe Reader برای این ماه وجود ندارد. با این حال، Adobe تعدادی به روز رسانی را برای سایر محصولات موجود در اینجا منتشر کرده است: APSB22-21. بیایید ببینیم در ژوئن چه اتفاقی می افتد - شاید بتوانیم بازنشسته شویم هر دو Adobe Reader و IE.