Toukokuun päivitystiistain päivitykset tekevät kiireellisestä korjauksesta pakollisen

Kuluneen viikon korjaustiistai alkoi 73 päivityksellä, mutta päätyi (toistaiseksi) kolmeen versioon ja myöhäiseen lisäykseen (CVE-2022-30138) yhteensä 77 haavoittuvuutta, jotka on korjattu tässä kuussa. Huhtikuussa julkaistuihin päivityksiin verrattuna näemme, että Windowsin korjaus on kiireellisempi – varsinkin kun on kolme nollapäivää ja useita erittäin vakavia puutteita keskeisillä palvelin- ja todennusalueilla. Vaihto vaatii huomiota myös, koska uusi palvelinpäivitystekniikka.

Microsoft-selaimille ja Adobe Readerille ei ollut tässä kuussa päivityksiä. Ja Windows 10 20H2 (emme tuskin tienneet sinua) on nyt poissa tuesta.

Löydät lisätietoja näiden korjauspäivitysten käyttöönoton riskeistä osoitteesta tämä hyödyllinen infografiikka, ja MSRC Center on julkaissut hyvän yleiskatsauksen siitä, kuinka se käsittelee tietoturvapäivityksiä tätä.

Tärkeimmät testausskenaariot

Koska tähän toukokuun korjausjaksoon sisältyy suuri määrä muutoksia, olen jakanut testausskenaariot korkean riskin ja vakioriskin ryhmiin:

Suuri riski: Nämä muutokset sisältävät todennäköisesti toiminnallisia muutoksia, voivat vanhentua olemassa olevista toiminnoista ja edellyttävät todennäköisesti uusien testaussuunnitelmien luomista:

• Testaa yrityksesi CA-varmenteita (sekä uudet että uusitut). Verkkotunnuksesi palvelin KDC vahvistaa automaattisesti tähän päivitykseen sisältyvät uudet laajennukset. Etsi epäonnistuneita vahvistuksia!
• Tämä päivitys sisältää muutoksen ajurin allekirjoituksiin, jotka sisältävät nyt aikaleiman tarkistuksen sekä autentikoidut allekirjoitukset. Allekirjoitetut ohjaimet pitäisi latautua. Allekirjoittamattomien ohjainten ei pitäisi. Tarkista sovelluksesi testiajoista epäonnistuneiden ohjainlatausten varalta. Sisällytä myös allekirjoitettujen EXE- ja DLL-tiedostojen tarkistukset.

Seuraavien muutosten ei ole dokumentoitu sisältäneen toiminnallisia muutoksia, mutta ne edellyttävät silti vähintään "savutestaus” ennen toukokuun korjaustiedostojen yleistä käyttöönottoa:

• Testaa VPN-asiakkaasi käytön aikana RRAS palvelimet: sisällytä yhteys, katkaise yhteys (kaikki protokollat: PPP/PPTP/SSTP/IKEv2).
• Testaa, että EMF-tiedostosi avautuvat odotetulla tavalla.
• Testaa Windowsin osoitekirjaasi (WAB) sovellusriippuvuudet.
• Testaa BitLockeria: käynnistä/pysäytä koneet BitLocker otettu käyttöön ja sitten poistettu käytöstä.
• Varmista, että kirjautumistietosi ovat käytettävissä VPN:n kautta (katso Microsoft Credential Manager).
• Testaa V4 tulostinohjaimet (varsinkin kun CVE-2022-30138). 

Tämän kuun testaus vaatii useita testausresurssien uudelleenkäynnistystä, ja sen tulisi sisältää sekä (BIOS/UEFI) virtuaalisia että fyysisiä koneita.

Tunnetut ongelmat

Microsoft sisältää luettelon tunnetuista ongelmista, jotka vaikuttavat tähän päivitysjaksoon sisältyvään käyttöjärjestelmään ja alustoihin:

• Tämän kuun päivityksen asentamisen jälkeen tiettyjä grafiikkasuorituksia käyttävät Windows-laitteet voivat aiheuttaa apps sulkeaksesi odottamatta tai luoda poikkeuskoodin (0xc0000094 moduulissa d3d9on12.dll) apps käyttäen Direct3D-versiota 9. Microsoft on julkaissut a KIR ryhmäkäytännön päivitys tämän ongelman ratkaisemiseksi seuraavilla GPO-asetuksilla: Lataa Windows 10:lle, versio 2004, Windows 10, versio 20H2, Windows 10, versio 21H1 ja Windows 10, versio 21H2.
• Kun olet asentanut 11. tammikuuta 2022 tai myöhemmin julkaistut päivitykset, apps jotka käyttävät Microsoft .NET Frameworkia Active Directory Forest Trust Information -tietojen hankkimiseen tai asettamiseen, saattavat epäonnistua tai aiheuttaa käyttöoikeusrikkomusvirheen (0xc0000005). Näyttää siltä, ​​että sovellukset, jotka riippuvat System.DirectoryServices API ovat vaikuttaneet.

Microsoft on todella parantanut peliään keskusteltuaan tämän julkaisun viimeaikaisista korjauksista ja päivityksistä hyödyllisellä päivitä kohokohdat video.

Suuret tarkistukset

Vaikka korjauspäivitysten luettelo on tässä kuussa huomattavasti pienempi kuin huhtikuussa, Microsoft on julkaissut kolme versiota, mukaan lukien:

• CVE-2022-1096: Kromi: CVE-2022-1096 Tyyppihäiriö V8:ssa. Tämä maaliskuun korjaustiedosto on päivitetty sisältämään tuen Visual Studion (2022) uusimmalle versiolle, mikä mahdollistaa webview2-sisällön päivitetyn renderöinnin. Lisätoimia ei tarvita.
• CVE-2022-24513: Visual Studio Elevation of Privilege -haavoittuvuus. Tämä huhtikuun korjaustiedosto on päivitetty sisältämään KAIKKI tuetut Visual Studion versiot (15.9–17.1). Valitettavasti tämä päivitys saattaa edellyttää sovellustestausta kehitystiimiltäsi, koska se vaikuttaa webview2-sisällön hahmontamiseen.
• CVE-2022-30138: Windowsin taustatulostus Elevation of Privilege -haavoittuvuus. Tämä on vain tiedollinen muutos. Lisätoimia ei tarvita.

Lievennykset ja kiertotavat

Microsoft on julkaissut toukokuussa yhden tärkeän kevennyskeinon vakavaan Windows-verkkotiedostojärjestelmän haavoittuvuuteen:

• CVE-2022-26937: Windowsin verkkotiedostojärjestelmän koodin etäsuorittamisen haavoittuvuus. Voit lieventää hyökkäystä poistamalla sen käytöstä NFSV2 ja NFSV3. Seuraava PowerShell-komento poistaa nämä versiot käytöstä: "PS C:Set-NfsServerConfiguration -EnableNFSV2 $false -EnableNFSV3 $false." Kerran tehty. sinun on käynnistettävä NFS-palvelin uudelleen (tai mieluiten käynnistettävä kone uudelleen). Ja varmistaaksesi, että NFS-palvelin on päivitetty oikein, käytä PowerShell-komentoa "PS C:Get-NfsServerConfiguration".

Jaotamme päivitysjakson kuukausittain tuoteperheisiin (Microsoftin määrittelemällä tavalla) seuraaviin perusryhmiin: 

• Selaimet (Microsoft IE ja Edge);
• Microsoft Windows (sekä työpöytä että palvelin);
• Microsoft Office;
• Microsoft Exchange;
• Microsoftin kehitysympäristöt ( ASP.NET Core, .NET Core ja Chakra Core);
• Adobe (eläkkeellä???, ehkä ensi vuonna).

Selaimet

Microsoft ei ole julkaissut päivityksiä vanhoihin (IE) tai Chromium (Edge) -selaimiinsa tässä kuussa. Näemme Microsoftia viimeisen vuosikymmenen ajan vaivanneiden kriittisten ongelmien määrän laskevan. Minusta tuntuu, että siirtyminen Chromium-projektiin on ollut selvä "super plus plus win-win" sekä kehitystiimille että käyttäjille.

Vanhoista selaimista puhuttaessa meidän on valmistauduttava IE:n eläkkeelle jääminen tulossa kesäkuun puolivälissä. "Valmistautumalla" tarkoitan juhlia – sen jälkeen, kun olemme tietysti varmistaneet tuon perinnön apps niillä ei ole nimenomaisia ​​riippuvuuksia vanhasta IE-renderöintimoottorista. Lisää selaimesi käyttöönottoaikatauluun "Celebrate the Retirement of IE". Käyttäjäsi ymmärtävät.

Windows

Windows-alusta saa kuusi tärkeää päivitystä tässä kuussa ja 56 tärkeäksi arvioitua korjaustiedostoa. Valitettavasti meillä on myös kolme nollapäivän hyväksikäyttöä:

• CVE-2022-22713: Tämä Microsoftin Hyper-V-virtualisointialustan julkisesti paljastettu haavoittuvuus edellyttää, että hyökkääjä hyödyntää onnistuneesti sisäistä kilpailutilannetta johtaen mahdolliseen palvelunesto-skenaarioon. Se on vakava haavoittuvuus, mutta edellyttää useiden haavoittuvuuksien ketjuttamista onnistuakseen.
• CVE-2022-26925: Sekä julkisesti paljastettu että luonnossa hyväksikäytetyksi ilmoitettu LSA-todennusongelma on todellinen huolenaihe. Se on helppo korjata, mutta testausprofiili on suuri, joten sen nopea käyttöönotto on vaikeaa. Varmista verkkotunnuksen todennuksen testaamisen lisäksi, että varmuuskopiointi (ja palautus) toimii odotetulla tavalla. Suosittelemme tarkistamaan uusimmat Microsoftin tukitiedot Tällä meneillään oleva asia.
• CVE-2022-29972: Tämä Redin julkisesti paljastettu haavoittuvuusshift ODBC ohjain on melko ominainen Synapse-sovelluksille. Mutta jos olet altistunut jollekin Azure Synapse RBAC rooleja, tämän päivityksen käyttöönotto on ensisijainen tavoite.

Näiden nollapäiväongelmien lisäksi on kolme muuta asiaa, joihin sinun on kiinnitettävä huomiota:

• CVE-2022-26923: tämä Active Directory -todennuksen haavoittuvuus ei ole aivan "madottava”, mutta sitä on niin helppo hyödyntää, en olisi yllättynyt nähdessäni sen aktiivisen hyökkäyksen soon. Kun tämä haavoittuvuus on vaarantunut, se tarjoaa pääsyn koko verkkotunnukseesi. Panokset ovat korkealla tämän kanssa.
• CVE-2022-26937: Tämän verkkotiedostojärjestelmän virheen arvosana on 9.8 – yksi tämän vuoden korkeimmista raportoiduista. NFS ei ole oletuksena käytössä, mutta jos verkossasi on Linux tai Unix, käytät sitä todennäköisesti. Korjaa tämä ongelma, mutta suosittelemme myös päivittämistä NFSv4.1 as soon kuin mahdollista.
• CVE-2022-30138: Tämä korjaustiedosto julkaistiin korjaustiedoston tiistain jälkeen. Tämä taustatulostusongelma koskee vain vanhempia järjestelmiä (Windows 8 ja Server 2012), mutta vaatii huomattavan testauksen ennen käyttöönottoa. Se ei ole erittäin kriittinen tietoturvaongelma, mutta tulostinpohjaisten ongelmien mahdollisuus on suuri. Ota aikaa ennen kuin otat tämän käyttöön.

Kun otetaan huomioon vakavien hyväksikäyttöjen määrä ja kolme nollapäivää toukokuussa, lisää tämän kuun Windows-päivitys "Patch Now" -aikatauluusi.

Microsoft Office

Microsoft julkaisi vain neljä päivitystä Microsoft Office -alustaan ​​(Excel, SharePoint), jotka kaikki ovat tärkeitä. Kaikkia näitä päivityksiä on vaikea hyödyntää (edellyttää sekä käyttäjän toimia että paikallista pääsyä kohdejärjestelmään) ja ne vaikuttavat vain 32-bittisiin alustoihin. Lisää nämä matalan profiilin, vähäriskiset Office-päivitykset vakiojulkaisuaikatauluusi.

Microsoft Exchange Server

Microsoft julkaisi yhden päivityksen Exchange Serveriin (CVE-2022-21978), joka on luokiteltu tärkeäksi ja näyttää melko vaikealta hyödyntää. Tämä käyttöoikeuksien korottamisen haavoittuvuus edellyttää täysin todennettua pääsyä palvelimelle, eikä tähän mennessä ole raportoitu julkisuudesta tai hyväksikäytöstä luonnossa.

Vielä tärkeämpää tässä kuussa, Microsoft esitteli uuden tapa päivittää Microsoft Exchange -palvelimet joka sisältää nyt:

• Windows Installer -korjaustiedosto (.MSP), joka toimii parhaiten automaattisissa asennuksissa.
• Itsepurkautuva, automaattisesti nouseva asennusohjelma (.exe), joka toimii parhaiten manuaalisissa asennuksissa.

Tämä on yritys ratkaista ongelma, jossa Exchange-järjestelmänvalvojat päivittävät palvelinjärjestelmiään muussa kuin järjestelmänvalvojan kontekstissa, mikä johtaa huonoon palvelimen tilaan. Uusi EXE-muoto mahdollistaa komentoriviasennukset ja paremman asennuksen kirjaamisen. Microsoft on julkaissut seuraavan EXE-komentoriviesimerkin:

"Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains"

Huomaa, että Microsoft suosittelee, että sinulla on %Temp% ympäristömuuttuja ennen uuden EXE-asennusmuodon käyttöä. Jos noudatat uutta tapaa käyttää EXE:tä Exchangen päivittämiseen, muista, että sinun on silti otettava (erikseen) käyttöön kuukausittainen SSU päivitä varmistaaksesi, että palvelimesi ovat ajan tasalla. Lisää tämä päivitys (tai EXE) vakiojulkaisuaikatauluusi varmistaaksesi, että täydellinen uudelleenkäynnistys suoritetaan, kun kaikki päivitykset on suoritettu.

Microsoftin kehitysalustat

Microsoft on julkaissut viisi tärkeäksi luokiteltua päivitystä ja yhden korjaustiedoston, jolla on alhainen arvosana. Kaikki nämä korjaukset vaikuttavat Visual Studioon ja .NET-kehykseen. Kun päivität Visual Studio -esiintymiäsi korjataksesi nämä raportoidut haavoittuvuudet, suosittelemme, että luet Visual Studio huhtikuun päivitysopas.

Saadaksesi lisätietoja tietoturvanäkökulmasta käsitellyistä ongelmista, Toukokuu 2022 .NET-päivitysblogi on hyödyllistä. Huomioi, että.NET 5.0:n tuki on nyt päättynyt ja ennen kuin päivität .NET 7:ään, saattaa olla syytä tarkistaa yhteensopivuus tai "rikkomatta muutoksia", joihin on puututtava. Lisää nämä keskiriskin päivitykset vakiopäivitysaikatauluusi.

Adobe (todella vain Reader)

Ajattelin, että voimme nähdä trendin. Ei Adobe Reader -päivityksiä tässä kuussa. Adobe on kuitenkin julkaissut useita päivityksiä muihin täältä löytyviin tuotteisiin: APSB22-21. Katsotaan mitä tapahtuu kesäkuussa – ehkä voimme jäädä eläkkeelle sekä Adobe Reader ja IE.