Gli aggiornamenti del Patch Tuesday di maggio rendono imperdibili le patch urgenti

Il Patch Tuesday della scorsa settimana è iniziato con 73 aggiornamenti, ma si è concluso (finora) con tre revisioni e un'aggiunta tardiva (CVE-2022-30138) per un totale di 77 vulnerabilità risolte questo mese. Rispetto all’ampia serie di aggiornamenti rilasciati ad aprile, notiamo una maggiore urgenza nell’applicare patch a Windows, in particolare con tre zero-day e diversi difetti molto gravi nelle aree chiave del server e dell’autenticazione. Anche lo scambio richiederà attenzione a causa di nuova tecnologia di aggiornamento del server.

Non ci sono stati aggiornamenti questo mese per i browser Microsoft e Adobe Reader. E Windows 10 20H2 (non lo sapevamo quasi) ora non è più supportato.

Puoi trovare ulteriori informazioni sui rischi derivanti dalla distribuzione di questi aggiornamenti del Patch Tuesday in questa utile infografica, e il Centro MSRC ha pubblicato una buona panoramica di come gestisce gli aggiornamenti di sicurezza qui.

Scenari di test chiave

Dato l'elevato numero di modifiche incluse in questo ciclo di patch di maggio, ho suddiviso gli scenari di test in gruppi ad alto rischio e a rischio standard:

Alto rischio: È probabile che queste modifiche includano modifiche alle funzionalità, possano deprecare le funzioni esistenti e richiederanno probabilmente la creazione di nuovi piani di test:

• Metti alla prova i tuoi certificati CA aziendali (sia nuovi che rinnovati). Il tuo server di dominio KDC convaliderà automaticamente le nuove estensioni incluse in questo aggiornamento. Cerca convalide fallite!
• Questo aggiornamento include una modifica alle firme dei driver che ora includono anche il controllo del timestamp firme di autenticazione. I driver firmati dovrebbero essere caricati. I driver non firmati non dovrebbero. Controlla le esecuzioni di test dell'applicazione per verificare la presenza di caricamenti di driver non riusciti. Include controlli anche per EXE e DLL firmati.

Le seguenti modifiche non sono documentate come comprendenti modifiche funzionali, ma richiederanno comunque almeno "test del fumo" prima dell'implementazione generale delle patch di maggio:

• Metti alla prova i tuoi client VPN durante l'utilizzo RRAS server: includono connessione, disconnessione (utilizzando tutti i protocolli: PPP/PPTP/SSTP/IKEv2).
• Verifica che i file EMF si aprano come previsto.
• Prova la tua Rubrica di Windows (WAB) dipendenze dell'applicazione.
• Prova BitLocker: avvia/arresta le tue macchine con BitLocker abilitato e poi disabilitato.
• Verifica che le tue credenziali siano accessibili tramite VPN (vedi Gestore credenziali Microsoft).
• Verifica il tuo Driver della stampante V4 (soprattutto con il successivo arrivo di CVE-2022-30138). 

I test di questo mese richiederanno diversi riavvii delle risorse di test e dovrebbero includere sia macchine virtuali che fisiche (BIOS/UEFI).

Problemi noti

Microsoft include un elenco di problemi noti che interessano il sistema operativo e le piattaforme incluse in questo ciclo di aggiornamento:

• Dopo aver installato l'aggiornamento di questo mese, i dispositivi Windows che utilizzano determinate GPU potrebbero causare apps per chiudersi inaspettatamente o generare un codice di eccezione (0xc0000094 nel modulo d3d9on12.dll) in apps utilizzando Direct3D versione 9. Microsoft ha pubblicato a KIR aggiornamento dei criteri di gruppo per risolvere questo problema con le seguenti impostazioni dell'oggetto Criteri di gruppo: Scarica per Windows 10, versione 2004, Windows 10, versione 20H2, Windows 10, versione 21H1 e Windows 10, versione 21H2.
• Dopo aver installato gli aggiornamenti rilasciati l'11 gennaio 2022 o successivo, apps che utilizzano Microsoft .NET Framework per acquisire o impostare le informazioni sul trust della foresta di Active Directory potrebbero non riuscire o generare un errore di violazione di accesso (0xc0000005). Sembra che le applicazioni che dipendono da API System.DirectoryServices sono interessati.

Microsoft ha davvero migliorato il suo gioco quando ha discusso delle correzioni e degli aggiornamenti recenti per questa versione con un utile aggiornare i punti salienti video.

Revisioni importanti

Sebbene l'elenco delle patch di questo mese sia molto ridotto rispetto ad aprile, Microsoft ha rilasciato tre revisioni, tra cui:

• CVE-2022-1096: Cromo: CVE-2022-1096 Confusione di tipi in V8. Questa patch di marzo è stata aggiornata per includere il supporto per l'ultima versione di Visual Studio (2022) per consentire il rendering aggiornato del contenuto webview2. Non è richiesta alcuna ulteriore azione.
• CVE-2022-24513: Vulnerabilità nell'elevazione dei privilegi di Visual Studio. Questa patch di aprile è stata aggiornata per includere TUTTE le versioni supportate di Visual Studio (dalla 15.9 alla 17.1). Sfortunatamente, questo aggiornamento potrebbe richiedere alcuni test dell'applicazione per il tuo team di sviluppo, poiché influisce sul modo in cui viene visualizzato il contenuto webview2.
• CVE-2022-30138: Vulnerabilità relativa all'acquisizione di privilegi più elevati nello spooler di stampa di Windows. Si tratta di una modifica solo informativa. Non è richiesta alcuna ulteriore azione.

Mitigazioni e soluzioni alternative

Per maggio, Microsoft ha pubblicato una soluzione chiave per mitigare una grave vulnerabilità del file system di rete Windows:

• CVE-2022-26937: Vulnerabilità legata all'esecuzione di codice in modalità remota nel file system di rete di Windows. Puoi mitigare un attacco disabilitandolo NFSV2 ed NFSV3. Il seguente comando di PowerShell disabiliterà tali versioni: "PS C:Set-NfsServerConfiguration -EnableNFSV2 $false -EnableNFSV3 $false". Una volta fatto. dovrai riavviare il tuo server NFS (o preferibilmente riavviare la macchina). E per confermare che il server NFS è stato aggiornato correttamente, utilizzare il comando PowerShell "PS C:Get-NfsServerConfiguration".

Ogni mese suddividiamo il ciclo di aggiornamento in famiglie di prodotti (come definite da Microsoft) con i seguenti raggruppamenti di base: 

• Browser (Microsoft IE ed Edge);
• Microsoft Windows (sia desktop che server);
• Microsoft Office;
• Scambio Microsoft;
• Piattaforme di sviluppo Microsoft ( ASP.NET Core, .NET Core e Chakra Core);
• Adobe (in pensione???, forse il prossimo anno).

Browser

Questo mese Microsoft non ha rilasciato alcun aggiornamento né per i suoi browser legacy (IE) né per Chromium (Edge). Stiamo assistendo a una tendenza al ribasso nel numero di problemi critici che hanno afflitto Microsoft negli ultimi dieci anni. La mia sensazione è che il passaggio al progetto Chromium sia stato decisamente un "super plus-plus win-win" sia per il team di sviluppo che per gli utenti.

Parlando di browser legacy, dobbiamo prepararci per il pensionamento dell'IE arrivo a metà giugno. Per “preparare” intendo celebrare, dopo, ovviamente, aver assicurato tale eredità apps non hanno dipendenze esplicite dal vecchio motore di rendering IE. Aggiungi "Festeggia il ritiro di IE" alla pianificazione della distribuzione del browser. I tuoi utenti capiranno.

Windows

La piattaforma Windows riceve sei aggiornamenti critici questo mese e 56 patch ritenute importanti. Sfortunatamente, abbiamo anche tre exploit zero-day:

• CVE-2022-22713: questa vulnerabilità divulgata pubblicamente nella piattaforma di virtualizzazione Hyper-V di Microsoft richiederà a un utente malintenzionato di sfruttare con successo una condizione di competizione interna per portare a un potenziale scenario di negazione del servizio. È una vulnerabilità seria, ma richiede il concatenamento di diverse vulnerabilità per avere successo.
• CVE-2022-26925: Sia divulgato pubblicamente che segnalato come sfruttato in natura, questo Problema di autenticazione LSA è una vera preoccupazione. Sarà facile applicare la patch, ma il profilo di test è ampio, il che lo rende difficile da implementare rapidamente. Oltre a testare l'autenticazione del tuo dominio, assicurati che le funzioni di backup (e ripristino) funzionino come previsto. Consigliamo vivamente di controllare l'ultima versione Note di supporto Microsoft su questo problema in corso.
• CVE-2022-29972: Questa vulnerabilità divulgata pubblicamente in Redshift ODBC il driver è piuttosto specifico per le applicazioni Synapse. Ma se sei esposto a uno qualsiasi dei Controllo degli accessi in base al ruolo di sinapsi di Azure ruoli, la distribuzione di questo aggiornamento è una priorità assoluta.

Oltre a questi problemi zero-day, ci sono altri tre problemi che richiedono la tua attenzione:

• CVE-2022-26923: questa vulnerabilità nell'autenticazione di Active Directory non è del tutto "wormable” ma è così facile da sfruttare che non sarei sorpreso di vederlo attaccato attivamente soon. Una volta compromessa, questa vulnerabilità fornirà l'accesso all'intero dominio. La posta in gioco è alta con questo.
• CVE-2022-26937: questo bug del file system di rete ha un punteggio di 9.8, uno dei più alti segnalati quest'anno. NFS non è abilitato per impostazione predefinita, ma se hai Linux o Unix sulla tua rete, probabilmente lo stai utilizzando. Correggi questo problema, ma ti consigliamo anche di eseguire l'aggiornamento a NFSv4.1 as soon possibile.
• CVE-2022-30138: Questa patch è stata rilasciata dopo Patch Tuesday. Questo problema dello spooler di stampa riguarda solo i sistemi meno recenti (Windows 8 e Server 2012) ma richiederà test significativi prima della distribuzione. Non si tratta di un problema di sicurezza particolarmente critico, ma il rischio di problemi legati alla stampante è elevato. Prenditi il ​​tuo tempo prima di implementare questo.

Dato il numero di exploit gravi e i tre zero-day di maggio, aggiungi l'aggiornamento Windows di questo mese alla tua pianificazione "Patch Now".

Microsoft Office

Microsoft ha rilasciato solo quattro aggiornamenti per la piattaforma Microsoft Office (Excel, SharePoint), tutti considerati importanti. Tutti questi aggiornamenti sono difficili da sfruttare (richiedono sia l'interazione dell'utente che l'accesso locale al sistema di destinazione) e interessano solo le piattaforme a 32 bit. Aggiungi questi aggiornamenti di Office a basso profilo e a basso rischio al tuo programma di rilascio standard.

Microsoft Exchange Server

Microsoft ha rilasciato un singolo aggiornamento per Exchange Server (CVE-2022-21978) che è considerato importante e sembra piuttosto difficile da sfruttare. Questa vulnerabilità di elevazione dei privilegi richiede un accesso completamente autenticato al server e finora non ci sono state segnalazioni di divulgazione pubblica o sfruttamento in natura.

Ancora più importante, questo mese Microsoft ha introdotto una novità metodo per aggiornare i server Microsoft Exchange che ora include:

• File patch di Windows Installer (.MSP), che funziona meglio per le installazioni automatizzate.
• Programma di installazione autoestraente e con elevazione automatica (.exe), che funziona meglio per le installazioni manuali.

Si tratta di un tentativo di risolvere il problema degli amministratori di Exchange che aggiornano i propri sistemi server in un contesto non amministrativo, determinando uno stato del server non valido. Il nuovo formato EXE consente installazioni dalla riga di comando e una migliore registrazione dell'installazione. Microsoft ha pubblicato il seguente esempio di riga di comando EXE:

"Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains"

Nota: Microsoft consiglia di disporre della variabile di ambiente %Temp% prima di utilizzare il nuovo formato di installazione EXE. Se segui il nuovo metodo di utilizzo dell'EXE per aggiornare Exchange, ricorda che dovrai comunque distribuire (separatamente) l'aggiornamento mensile SSU aggiorna per garantire che i tuoi server siano aggiornati. Aggiungi questo aggiornamento (o EXE) alla pianificazione del rilascio standard, assicurandoti che venga eseguito un riavvio completo una volta completati tutti gli aggiornamenti.

Piattaforme di sviluppo Microsoft

Microsoft ha rilasciato cinque aggiornamenti classificati come importanti e un'unica patch con valutazione bassa. Tutte queste patch influiscono su Visual Studio e .NET Framework. Poiché aggiornerai le tue istanze di Visual Studio per risolvere queste vulnerabilità segnalate, ti consigliamo di leggere il Guida all'aggiornamento di aprile di Visual Studio.

Per approfondire le tematiche specifiche affrontate dal punto di vista della sicurezza, il Post di blog sugli aggiornamenti di .NET di maggio 2022 sarà utile. Notandolo.NET 5.0 ha raggiunto la fine del supporto e prima di eseguire l'aggiornamento a .NET 7, potrebbe valere la pena verificare alcune compatibilità o "cambiamenti di rottura" che devono essere affrontati. Aggiungi questi aggiornamenti a medio rischio al tuo programma di aggiornamento standard.

Adobe (davvero solo Reader)

Ho pensato che potremmo vedere una tendenza. Nessun aggiornamento di Adobe Reader per questo mese. Detto questo, Adobe ha rilasciato una serie di aggiornamenti ad altri prodotti che trovi qui: APSB22-21. Vediamo cosa succede a giugno, forse possiamo ritirarci entrambi Adobe Reader e IE.