Svibanjska ažuriranja zakrpa u utorak čine hitno krpanje obaveznim

Prošlog tjedna Patch Tuesday započeo je sa 73 ažuriranja, ali je završio (do sada) s tri revizije i kasnim dodatkom (CVE-2022-30138) za ukupno 77 ranjivosti riješenih ovaj mjesec. U usporedbi sa širokim skupom ažuriranja objavljenih u travnju, vidimo veću hitnost u krpanju Windowsa — posebno s tri nula dana i nekoliko vrlo ozbiljnih nedostataka u ključnim područjima poslužitelja i autentifikacije. Razmjena će zahtijevati pozornost, također, zbog nova tehnologija ažuriranja poslužitelja.

Ovaj mjesec nije bilo ažuriranja za Microsoft preglednike i Adobe Reader. I Windows 10 20H2 (jedva smo vas poznavali) sada više nije podržan.

Više informacija o rizicima implementacije ovih ažuriranja Patch Tuesday možete pronaći u ovu korisnu infografiku, a MSRC Center objavio je dobar pregled načina na koji postupa sa sigurnosnim ažuriranjima ovdje.

Ključni scenariji testiranja

S obzirom na veliki broj promjena uključenih u ovaj svibanjski ciklus zakrpa, scenarije testiranja podijelio sam u visokorizične i standardnorizične skupine:

Visokog rizika: Te će promjene vjerojatno uključivati ​​promjene funkcionalnosti, mogu obustaviti postojeće funkcije i vjerojatno će zahtijevati izradu novih planova testiranja:

• Testirajte svoje poslovne CA certifikate (i nove i obnovljene). Poslužitelj vaše domene KDC automatski će potvrditi nova proširenja uključena u ovo ažuriranje. Potražite neuspjele provjere!
• Ovo ažuriranje uključuje promjenu potpisa upravljačkog programa koji sada uključuje i provjeru vremenske oznake potpisi autentičnog koda. Potpisani upravljački programi bi se trebali učitati. Nepotpisani upravljački programi ne bi trebali. Provjerite svoje testne pokretanja aplikacije za neuspjela učitavanja upravljačkog programa. Uključite i provjere potpisanih EXE-ova i DLL-ova.

Sljedeće promjene nisu dokumentirane kao da uključuju funkcionalne promjene, ali će i dalje zahtijevati najmanje "ispitivanje dima” prije općeg postavljanja svibanjskih zakrpa:

• Testirajte svoje VPN klijente prilikom korištenja RRAS poslužitelji: uključi povezivanje, odspajanje (koristeći sve protokole: PPP/PPTP/SSTP/IKEv2).
• Provjerite otvaraju li se vaše EMF datoteke prema očekivanjima.
• Testirajte svoj Windows adresar (WAB) ovisnosti o aplikaciji.
• Testirajte BitLocker: pokrenite/zaustavite svoje strojeve BitLocker omogućeno, a zatim onemogućeno.
• Provjerite jesu li vaše vjerodajnice dostupne putem VPN-a (pogledajte Microsoftov upravitelj vjerodajnica).
• Testirajte svoj V4 upravljački programi za pisač (pogotovo kasnijim dolaskom CVE-2022-30138). 

Ovomjesečno testiranje zahtijevat će nekoliko ponovnih pokretanja vaših resursa za testiranje i trebalo bi uključivati ​​(BIOS/UEFI) virtualna i fizička računala.

Poznati problemi

Microsoft uključuje popis poznatih problema koji utječu na operativni sustav i platforme uključene u ovaj ciklus ažuriranja:

• Nakon instaliranja ažuriranja ovog mjeseca, uređaji sa sustavom Windows koji koriste određene GPU-ove mogu uzrokovati apps za neočekivano zatvaranje ili generiranje koda iznimke (0xc0000094 u modulu d3d9on12.dll) u apps koristeći Direct3D verziju 9. Microsoft je objavio a KIR ažuriranje pravila grupe za rješavanje ovog problema sa sljedećim GPO postavkama: Preuzmite za Windows 10, verzija 2004, Windows 10, verzija 20H2, Windows 10, verzija 21H1 i Windows 10, verzija 21H2.
• Nakon instaliranja ažuriranja objavljenih 11. siječnja 2022. ili kasnije, apps koji koriste Microsoft .NET Framework za dobivanje ili postavljanje informacija o povjerenju šume Active Directory možda neće uspjeti ili generirati pogrešku kršenja pristupa (0xc0000005). Čini se da aplikacije koje ovise o System.DirectoryServices API su pogođeni.

Microsoft je stvarno unaprijedio svoju igru ​​kada je raspravljao o nedavnim popravcima i ažuriranjima za ovo izdanje s korisnim ažuriraj istaknute stavke video.

Velike revizije

Iako je ovaj mjesec znatno smanjen popis zakrpa u usporedbi s travnjem, Microsoft je objavio tri revizije uključujući:

• CVE-2022-1096: Chromium: CVE-2022-1096 Zabuna tipa u V8. Ova zakrpa od ožujka ažurirana je kako bi uključila podršku za najnoviju verziju Visual Studio (2022) kako bi se omogućilo ažurirano prikazivanje webview2 sadržaja. Nije potrebna nikakva daljnja radnja.
• CVE-2022-24513: Ranjivost Visual Studio Elevation of Privilege. Ova travanjska zakrpa je ažurirana kako bi uključila SVE podržane verzije Visual Studija (15.9 do 17.1). Nažalost, ovo ažuriranje može zahtijevati testiranje aplikacije za vaš razvojni tim jer utječe na način na koji se webview2 sadržaj prikazuje.
• CVE-2022-30138: Windows Print Spooler Elevation of Privilege Ranjivost. Ovo je samo informativna promjena. Nije potrebna nikakva daljnja radnja.

Ublažavanja i zaobilazna rješenja

Za svibanj je Microsoft objavio jedno ključno ublažavanje ozbiljne ranjivosti Windows mrežnog sustava datoteka:

• CVE-2022-26937: Ranjivost daljinskog izvođenja koda Windows mrežnog sustava datoteka. Napad možete ublažiti onemogućavanjem NFSV2 i NFSV3. Sljedeća naredba PowerShell onemogućit će te verzije: “PS C:Set-NfsServerConfiguration -EnableNFSV2 $false -EnableNFSV3 $false.” Jednom gotovo. morat ćete ponovno pokrenuti svoj NFS poslužitelj (ili po mogućnosti ponovno pokrenuti stroj). Da biste potvrdili da je NFS poslužitelj ispravno ažuriran, upotrijebite PowerShell naredbu “PS C:Get-NfsServerConfiguration.”

Svaki mjesec ciklus ažuriranja rastavljamo na obitelji proizvoda (kako ih je definirao Microsoft) sa sljedećim osnovnim grupama: 

• Preglednici (Microsoft IE i Edge);
• Microsoft Windows (i desktop i server);
• Microsoft Office;
• Microsoft Exchange;
• Microsoft razvojne platforme ( ASP.NET Core, .NET Core i Chakra Core);
• Adobe (u mirovini???, možda iduće godine).

Preglednici

Microsoft ovog mjeseca nije izdao nikakva ažuriranja ni za naslijeđene (IE) ni za Chromium (Edge) preglednike. Vidimo silazni trend broja kritičnih problema koji su mučili Microsoft u proteklom desetljeću. Moj osjećaj je da je prelazak na projekt Chromium definitivno "super plus-plus win-win" i za razvojni tim i za korisnike.

Govoreći o naslijeđenim preglednicima, moramo se pripremiti za umirovljenje IE dolazi sredinom lipnja. Pod "pripremom" mislim na slavlje - nakon što smo, naravno, osigurali to nasljeđe apps nemaju eksplicitne ovisnosti o starom IE motoru za prikazivanje. Dodajte "Proslavite odlazak IE-a u mirovinu" u svoj raspored postavljanja preglednika. Vaši će korisnici razumjeti.

Windows

Windows platforma ovog mjeseca dobiva šest kritičnih ažuriranja i 56 zakrpa ocijenjenih važnima. Nažalost, imamo i tri eksploatacije nultog dana:

• CVE-2022-22713: Ova javno objavljena ranjivost u Microsoftovoj platformi za virtualizaciju Hyper-V zahtijevat će od napadača da uspješno iskoristi stanje interne utrke kako bi dovelo do potencijalnog scenarija uskraćivanja usluge. To je ozbiljna ranjivost, ali zahtijeva lančano povezivanje nekoliko ranjivosti da bi uspjelo.
• CVE-2022-26925: Oba javno objavljena i prijavljena kao iskorištavana u divljini, ovo Problem LSA autentifikacije je prava briga. Bit će ga lako zakrpati, ali profil testiranja je velik, što ga čini teškim za brzo postavljanje. Osim testiranja provjere autentičnosti vaše domene, provjerite rade li funkcije sigurnosnog kopiranja (i vraćanja) prema očekivanjima. Toplo preporučujemo da provjerite najnovije Bilješke za Microsoftovu podršku na ovo tekući problem.
• CVE-2022-29972: Ova javno objavljena ranjivost u Crvenomshift ODBC upravljački program prilično je specifičan za Synapse aplikacije. Ali ako ste izloženi bilo kojem od Azure Synapse RBAC uloga, implementacija ovog ažuriranja je glavni prioritet.

Uz ove probleme nultog dana, postoje još tri problema na koje morate obratiti pozornost:

• CVE-2022-26923: ova ranjivost u autentifikaciji Active Directory nije baš “crvljiv”, ali ga je tako lako iskoristiti da me ne bi iznenadilo da ga se aktivno napada soon. Nakon što je ugrožena, ova će ranjivost omogućiti pristup cijeloj vašoj domeni. Ulozi su veliki s ovim.
• CVE-2022-26937: Ova greška sustava mrežnih datoteka ima ocjenu 9.8 – jednu od najviših prijavljenih ove godine. NFS nije omogućen prema zadanim postavkama, ali ako imate Linux ili Unix na mreži, vjerojatno ga koristite. Zakrpite ovaj problem, ali također preporučujemo nadogradnju na NFSv4.1 as soon što je više moguće.
• CVE-2022-30138: Ova je zakrpa objavljena nakon zakrpe u utorak. Ovaj problem s usmjerivačem ispisa utječe samo na starije sustave (Windows 8 i Server 2012), ali će zahtijevati značajno testiranje prije implementacije. To nije super kritičan sigurnosni problem, ali potencijal za probleme temeljene na pisaču je velik. Uzmite si vremena prije implementacije ovog.

S obzirom na broj ozbiljnih eksploatacija i tri nula dana u svibnju, dodajte ovomjesečno ažuriranje Windowsa svom rasporedu “Patch Now”.

Microsoft Office

Microsoft je objavio samo četiri ažuriranja za platformu Microsoft Office (Excel, SharePoint) od kojih su sva ocijenjena važnima. Sva ova ažuriranja teško je iskoristiti (zahtijevaju i interakciju korisnika i lokalni pristup ciljnom sustavu) i utječu samo na 32-bitne platforme. Dodajte ova niskoprofilna i niskorizična ažuriranja sustava Office svom standardnom rasporedu izdavanja.

Microsoft Exchange Server

Microsoft je izdao jedno ažuriranje za Exchange Server (CVE-2022-21978) koji je ocijenjen važnim i čini se prilično teškim za iskorištavanje. Ova ranjivost povećanja privilegija zahtijeva potpuno autentificirani pristup poslužitelju, a do sada nije bilo nikakvih izvješća o javnom otkrivanju ili iskorištavanju u prirodi.

Što je još važnije, Microsoft je ovog mjeseca predstavio novi metoda za ažuriranje Microsoft Exchange poslužitelja koji sada uključuje:

• Windows Installer datoteka zakrpe (.MSP), koja najbolje funkcionira za automatizirane instalacije.
• Samoraspakirajući program za instalaciju s automatskim podizanjem (.exe), koji najbolje funkcionira za ručne instalacije.

Ovo je pokušaj rješavanja problema Exchange administratora koji ažuriraju svoje poslužiteljske sustave unutar konteksta koji nije administrator, što rezultira lošim stanjem poslužitelja. Novi EXE format omogućuje instalacije naredbenog retka i bolje bilježenje instalacije. Microsoft je korisno objavio sljedeći primjer EXE naredbenog retka:

“Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains”

Napomena, Microsoft preporučuje da imate varijablu okruženja %Temp% prije korištenja novog EXE instalacijskog formata. Ako slijedite novu metodu korištenja EXE-a za ažuriranje Exchangea, zapamtite da ćete i dalje morati (odvojeno) implementirati mjesečni SSU ažurirajte kako biste bili sigurni da su vaši poslužitelji ažurni. Dodajte ovo ažuriranje (ili EXE) svom standardnom rasporedu izdavanja, osiguravajući potpuno ponovno pokretanje nakon završetka svih ažuriranja.

Microsoftove razvojne platforme

Microsoft je objavio pet ažuriranja ocijenjenih važnima i jednu zakrpu s niskom ocjenom. Sve te zakrpe utječu na Visual Studio i .NET framework. Budući da ćete ažurirati svoje Visual Studio instance kako biste riješili ove prijavljene ranjivosti, preporučujemo da pročitate Vodič za ažuriranje Visual Studija u travnju.

Kako biste saznali više o specifičnim problemima koji se rješavaju iz sigurnosne perspektive, Svibanj 2022. .NET ažuriranje bloga bit će korisno. Konstatirajući da .NET 5.0 sada je došao do kraja podrške i prije nadogradnje na .NET 7, možda bi bilo vrijedno provjeriti neke od kompatibilnosti ili "razbijanje promjena” kojima se treba pozabaviti. Dodajte ova ažuriranja srednjeg rizika svom standardnom rasporedu ažuriranja.

Adobe (zaista samo Reader)

Mislio sam da možda vidimo trend. Nema ažuriranja Adobe Readera za ovaj mjesec. Uz to, Adobe je izdao brojna ažuriranja za druge proizvode koji se nalaze ovdje: APSB22-21. Da vidimo što će se dogoditi u lipnju — možda se možemo povući oboje Adobe Reader i IE.