Pembaruan Patch Selasa bulan Mei membuat penambalan yang mendesak menjadi suatu keharusan

Patch Selasa minggu lalu ini dimulai dengan 73 pembaruan, tetapi berakhir (sejauh ini) dengan tiga revisi dan tambahan yang terlambat (CVE-2022-30138) untuk total 77 kerentanan yang ditangani bulan ini. Dibandingkan dengan serangkaian pembaruan yang dirilis pada bulan April, kami melihat urgensi yang lebih besar dalam menambal Windows — terutama dengan tiga zero-days dan beberapa kelemahan yang sangat serius di server utama dan area otentikasi. Pertukaran akan membutuhkan perhatian juga, karena teknologi pembaruan server baru.

Tidak ada pembaruan bulan ini untuk browser Microsoft dan Adobe Reader. Dan Windows 10 20H2 (kami hampir tidak tahu Anda) sekarang tidak didukung.

Anda dapat menemukan informasi lebih lanjut tentang risiko penerapan pembaruan Patch Tuesday ini di infografis yang bermanfaat ini, dan Pusat MSRC telah memposting ikhtisar yang bagus tentang bagaimana menangani pembaruan keamanan di sini.

Skenario pengujian utama

Mengingat banyaknya perubahan yang disertakan dengan siklus patch bulan Mei ini, saya telah memecah skenario pengujian menjadi kelompok berisiko tinggi dan risiko standar:

Berisiko tinggi: Perubahan ini kemungkinan akan mencakup perubahan fungsionalitas, dapat menghentikan fungsi yang ada, dan kemungkinan akan memerlukan pembuatan rencana pengujian baru:

• Uji sertifikat CA perusahaan Anda (baru dan diperpanjang). Server domain Anda KDC akan secara otomatis memvalidasi ekstensi baru yang disertakan dalam pembaruan ini. Cari validasi yang gagal!
• Pembaruan ini mencakup perubahan pada tanda tangan driver yang sekarang mencakup pemeriksaan stempel waktu serta tanda tangan kode otentik. Driver yang ditandatangani harus dimuat. Driver yang tidak ditandatangani seharusnya tidak. Periksa uji coba aplikasi Anda untuk beban driver yang gagal. Sertakan cek untuk EXE dan DLL yang ditandatangani juga.

Perubahan berikut tidak didokumentasikan sebagai termasuk perubahan fungsional, tetapi masih memerlukan setidaknya "pengujian asap” sebelum penerapan umum tambalan bulan Mei:

• Uji klien VPN Anda saat menggunakan RRA server: include connect, disconnect (menggunakan semua protokol: PPP/PPTP/SSTP/IKEv2).
• Uji apakah file EMF Anda terbuka seperti yang diharapkan.
• Uji Buku Alamat Windows Anda (WAB) ketergantungan aplikasi.
• Uji BitLocker: mulai/hentikan mesin Anda dengan BitLocker diaktifkan dan kemudian dinonaktifkan.
• Validasi bahwa kredensial Anda dapat diakses melalui VPN (lihat Manajer Kredensial Microsoft).
• Uji Anda Driver pencetak V4 (terutama dengan kedatangan CVE-2022-30138). 

Pengujian bulan ini akan memerlukan beberapa boot ulang ke sumber daya pengujian Anda dan harus menyertakan mesin virtual dan fisik (BIOS/UEFI).

Masalah Dikenal

Microsoft menyertakan daftar masalah yang diketahui yang memengaruhi sistem operasi dan platform yang disertakan dalam siklus pembaruan ini:

• Setelah menginstal pembaruan bulan ini, perangkat Windows yang menggunakan GPU tertentu dapat menyebabkan apps untuk menutup tiba-tiba, atau menghasilkan kode pengecualian (0xc0000094 dalam modul d3d9on12.dll) di apps menggunakan Direct3D Versi 9. Microsoft telah menerbitkan a KIR pembaruan kebijakan grup untuk mengatasi masalah ini dengan pengaturan GPO berikut: Unduh untuk Windows 10, versi 2004, Windows 10, versi 20H2, Windows 10, versi 21H1, dan Windows 10, versi 21H2.
• Setelah menginstal pembaruan yang dirilis 11 Januari 2022 atau lebih baru, apps yang menggunakan Microsoft .NET Framework untuk memperoleh atau mengatur informasi kepercayaan hutan direktori aktif mungkin gagal atau menghasilkan kesalahan pelanggaran akses (0xc0000005). Tampaknya aplikasi yang bergantung pada System.DirectoryServices API terpengaruh.

Microsoft telah benar-benar meningkatkan permainannya ketika membahas perbaikan dan pembaruan terbaru untuk rilis ini dengan yang bermanfaat perbarui sorotan video.

Revisi besar

Meskipun ada daftar tambalan yang jauh berkurang bulan ini dibandingkan dengan April, Microsoft telah merilis tiga revisi termasuk:

• CVE-2022-1096: Chromium: CVE-2022-1096 Jenis Kebingungan di V8. Patch Maret ini telah diperbarui untuk menyertakan dukungan untuk versi terbaru Visual Studio (2022) untuk memungkinkan rendering konten webview2 yang diperbarui. Tidak diperlukan tindakan lebih lanjut.
• CVE-2022-24513: Peningkatan Kerentanan Hak Istimewa Visual Studio. Patch April ini telah diperbarui untuk menyertakan SEMUA versi Visual Studio yang didukung (15.9 hingga 17.1). Sayangnya, pembaruan ini mungkin memerlukan beberapa pengujian aplikasi untuk tim pengembangan Anda, karena ini memengaruhi cara konten webview2 dirender.
• CVE-2022-30138: Windows Print Spooler Peningkatan Kerentanan Hak Istimewa. Ini hanya perubahan informasi. Tidak diperlukan tindakan lebih lanjut.

Mitigasi dan solusi

Untuk bulan Mei, Microsoft telah menerbitkan satu mitigasi utama untuk kerentanan sistem file jaringan Windows yang serius:

• CVE-2022-26937: Kerentanan Eksekusi Kode Jarak Jauh Sistem File Jaringan Windows. Anda dapat mengurangi serangan dengan menonaktifkan NFSV2 dan NFSV3. Perintah PowerShell berikut akan menonaktifkan versi tersebut: "PS C:Set-NfsServerConfiguration -EnableNFSV2 $false -EnableNFSV3 $false." Setelah selesai. Anda perlu me-restart server NFS Anda (atau sebaiknya reboot mesin). Dan untuk mengonfirmasi bahwa server NFS telah diperbarui dengan benar, gunakan perintah PowerShell “PS C:Get-NfsServerConfiguration.”

Setiap bulan, kami memecah siklus pembaruan menjadi keluarga produk (sebagaimana didefinisikan oleh Microsoft) dengan pengelompokan dasar berikut: 

• Browser (Microsoft IE dan Edge);
• Microsoft Windows (desktop dan server);
• Microsoft Office;
• Microsoft Pertukaran;
• Platform Pengembangan Microsoft ( ASP.NET Inti, .NET Inti dan Inti Chakra);
• Adobe (pensiun???, mungkin tahun depan).

Browser

Microsoft belum merilis pembaruan apa pun untuk browser lawas (IE) atau Chromium (Edge) bulan ini. Kami melihat tren penurunan jumlah masalah kritis yang melanda Microsoft selama dekade terakhir. Perasaan saya adalah bahwa pindah ke proyek Chromium telah menjadi "super plus-plus win-win" yang pasti untuk tim pengembangan dan pengguna.

Berbicara tentang browser lawas, kita perlu bersiap untuk pensiun IE datang pada pertengahan Juni. Dengan "mempersiapkan" maksud saya merayakan — setelah, tentu saja, kami telah memastikan warisan itu apps tidak memiliki ketergantungan eksplisit pada mesin rendering IE lama. Harap tambahkan "Rayakan penghentian IE" ke jadwal penerapan browser Anda. Pengguna Anda akan mengerti.

Windows

Platform Windows menerima enam pembaruan penting bulan ini dan 56 tambalan dinilai penting. Sayangnya, kami juga memiliki tiga eksploitasi zero-day:

• CVE-2022-22713: Kerentanan yang diungkapkan secara publik di platform virtualisasi Hyper-V Microsoft ini akan mengharuskan penyerang untuk berhasil mengeksploitasi kondisi balapan internal untuk mengarah ke skenario penolakan layanan potensial. Ini adalah kerentanan yang serius, tetapi membutuhkan rantai beberapa kerentanan untuk berhasil.
• CVE-2022-26925: Baik diungkapkan kepada publik dan dilaporkan sebagai dieksploitasi di alam liar, ini Masalah otentikasi LSA merupakan keprihatinan yang nyata. Ini akan mudah untuk ditambal, tetapi profil pengujiannya besar, membuatnya sulit untuk digunakan dengan cepat. Selain menguji autentikasi domain Anda, pastikan bahwa fungsi pencadangan (dan pemulihan) berfungsi seperti yang diharapkan. Kami sangat merekomendasikan memeriksa yang terbaru Catatan dukungan Microsoft hal ini masalah yang sedang berlangsung.
• CVE-2022-29972: Kerentanan yang diungkapkan secara publik di Redshift ODBC driver cukup spesifik untuk aplikasi Synapse. Tetapi jika Anda memiliki paparan salah satu dari Sinapsis Azure RBAC peran, menyebarkan pembaruan ini adalah prioritas utama.

Selain masalah zero-day ini, ada tiga masalah lain yang memerlukan perhatian Anda:

• CVE-2022-26923: kerentanan ini dalam otentikasi Direktori Aktif tidak cukup “cacing” tetapi sangat mudah untuk dieksploitasi, saya tidak akan terkejut melihatnya secara aktif diserang soon. Setelah disusupi, kerentanan ini akan memberikan akses ke seluruh domain Anda. Taruhannya tinggi dengan yang satu ini.
• CVE-2022-26937: Bug Sistem File Jaringan ini memiliki peringkat 9.8 – salah satu yang tertinggi yang dilaporkan tahun ini. NFS tidak diaktifkan secara default, tetapi jika Anda memiliki Linux atau Unix di jaringan Anda, kemungkinan besar Anda akan menggunakannya. Patch masalah ini, tetapi kami juga menyarankan untuk meningkatkan ke NFSv4.1 as soon mungkin.
• CVE-2022-30138: Patch ini dirilis setelah Patch Selasa. Masalah spooler cetak ini hanya memengaruhi sistem yang lebih lama (Windows 8 dan Server 2012) tetapi akan memerlukan pengujian yang signifikan sebelum penerapan. Ini bukan masalah keamanan yang sangat kritis, tetapi potensi masalah berbasis printer sangat besar. Luangkan waktu Anda sebelum menyebarkan yang satu ini.

Mengingat jumlah eksploitasi serius dan tiga hari nol di bulan Mei, tambahkan pembaruan Windows bulan ini ke jadwal "Patch Now" Anda.

Microsoft Office

Microsoft merilis hanya empat pembaruan untuk platform Microsoft Office (Excel, SharePoint) yang semuanya dinilai penting. Semua pembaruan ini sulit untuk dieksploitasi (membutuhkan interaksi pengguna dan akses lokal ke sistem target) dan hanya memengaruhi platform 32-bit. Tambahkan pembaruan Office profil rendah dan berisiko rendah ini ke jadwal rilis standar Anda.

Microsoft Exchange Server

Microsoft merilis satu pembaruan untuk Exchange Server (CVE-2022-21978) yang dinilai penting dan tampaknya cukup sulit untuk dieksploitasi. Kerentanan elevasi-of-privilege ini memerlukan akses yang sepenuhnya diautentikasi ke server, dan sejauh ini belum ada laporan pengungkapan publik atau eksploitasi di alam liar.

Lebih penting lagi bulan ini, Microsoft memperkenalkan yang baru metode untuk memperbarui server Microsoft Exchange yang sekarang meliputi:

• File tambalan Penginstal Windows (.MSP), yang berfungsi paling baik untuk instalasi otomatis.
• Penginstal self-extracting, auto-elevating (.exe), yang berfungsi paling baik untuk instalasi manual.

Ini adalah upaya untuk memecahkan masalah admin Exchange yang memperbarui sistem server mereka dalam konteks non-admin, yang mengakibatkan status server yang buruk. Format EXE baru memungkinkan untuk instalasi baris perintah dan logging instalasi yang lebih baik. Microsoft telah membantu menerbitkan contoh baris perintah EXE berikut:

“Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains”

Catatan, Microsoft menyarankan Anda memiliki variabel lingkungan %Temp% sebelum menggunakan format penginstalan EXE yang baru. Jika Anda mengikuti metode baru menggunakan EXE untuk memperbarui Exchange, ingat Anda masih harus (secara terpisah) menyebarkan bulanan S.S.U. perbarui untuk memastikan server Anda mutakhir. Tambahkan pembaruan ini (atau EXE) ke jadwal rilis standar Anda, memastikan bahwa reboot penuh dilakukan ketika semua pembaruan selesai.

Platform pengembangan Microsoft

Microsoft telah merilis lima pembaruan yang dinilai penting dan satu tambalan dengan peringkat rendah. Semua tambalan ini memengaruhi Visual Studio dan kerangka kerja .NET. Karena Anda akan memperbarui instans Visual Studio Anda untuk mengatasi kerentanan yang dilaporkan ini, kami sarankan Anda membaca: Panduan pembaruan Visual Studio April.

Untuk mengetahui lebih lanjut tentang isu-isu spesifik yang ditangani dari perspektif keamanan, the Mei 2022 .NET memperbarui posting blog akan berguna. Memperhatikan itu.NET 5.0 kini telah mencapai akhir dukungan dan sebelum Anda meningkatkan ke .NET 7, mungkin ada baiknya memeriksa beberapa kompatibilitas atau "melanggar perubahan” yang perlu disikapi. Tambahkan pembaruan berisiko sedang ini ke jadwal pembaruan standar Anda.

Adobe (benar-benar hanya Pembaca)

Saya pikir kita mungkin melihat tren. Tidak ada pembaruan Adobe Reader untuk bulan ini. Yang mengatakan, Adobe telah merilis sejumlah pembaruan untuk produk lain yang ditemukan di sini: APSB22-21. Mari kita lihat apa yang terjadi di bulan Juni — mungkin kita bisa pensiun kedua Adobe Reader dan IE.