עדכוני ה-Patch Tuesday של מאי הופכים תיקון דחוף לחובה

התיקון של השבוע האחרון התחיל עם 73 עדכונים, אבל הסתיים (עד כה) עם שלושה תיקונים ותוספת מאוחרת (CVE-2022-30138) עבור סך של 77 נקודות תורפה שטופלו החודש. בהשוואה למערך העדכונים הרחב שפורסמו באפריל, אנו רואים דחיפות רבה יותר בתיקון Windows - במיוחד עם שלושה ימים אפס ומספר פגמים חמורים מאוד באזורי שרת מפתח ואימות. החלפה תדרוש תשומת לב, גם בשל טכנולוגיית עדכון שרת חדשה.

לא היו עדכונים החודש עבור דפדפני Microsoft ו-Adobe Reader. ו-Windows 10 20H2 (בקושי הכרנו אותך) חסרה כעת תמיכה.

תוכל למצוא מידע נוסף על הסיכונים בפריסת עדכוני ה-Patch Tuesday ב האינפוגרפיקה המועילה הזו, ו-MSRC Center פרסם סקירה טובה של האופן שבו הוא מטפל בעדכוני אבטחה כאן.

תרחישי בדיקה מרכזיים

בהתחשב במספר הגדול של השינויים הכלולים במחזור התיקון הזה של מאי, פירקתי את תרחישי הבדיקה לקבוצות בעלות סיכון גבוה וסיכון סטנדרטי:

סיכון גבוה: שינויים אלה עשויים לכלול שינויים בפונקציונליות, עשויים לבטל פונקציות קיימות וככל הנראה ידרשו יצירת תוכניות בדיקה חדשות:

• בדוק את אישורי ה-CA הארגוניים שלך (חדשים ומחודשים כאחד). שרת הדומיין שלך KDC יאמת אוטומטית את ההרחבות החדשות הכלולים בעדכון זה. חפש אימותים כושלים!
• עדכון זה כולל שינוי בחתימות מנהלי התקנים הכוללות כעת גם בדיקת חותמת זמן חתימות קוד אותנטי. מנהלי התקנים חתומים צריכים לטעון. נהגים לא חתומים לא צריכים. בדוק את ריצות בדיקת היישום שלך לאיתור טעינות מנהלי התקנים כושלות. כלול גם בדיקות עבור EXE חתומים ו-DLLs.

השינויים הבאים אינם מתועדים ככוללים שינויים פונקציונליים, אך עדיין ידרשו לפחות "בדיקת עשן" לפני פריסה כללית של התיקונים של מאי:

• בדוק את לקוחות ה-VPN שלך בעת השימוש RRAS שרתים: כוללים חיבור, ניתוק (באמצעות כל הפרוטוקולים: PPP/PPTP/SSTP/IKEv2).
• בדוק שקובצי ה-EMF שלך נפתחים כצפוי.
• בדוק את פנקס הכתובות של Windows (WAB) תלות באפליקציות.
• בדוק את BitLocker: הפעל/עצור את המכונות שלך עם BitLocker מופעל ולאחר מכן מושבת.
• ודא שהאישורים שלך נגישים באמצעות VPN (ראה מנהל אישורי Microsoft).
• בדוק את שלך מנהלי מדפסת V4 (במיוחד עם ההגעה המאוחרת של CVE-2022-30138). 

הבדיקה של החודש תדרוש מספר אתחולים של משאבי הבדיקה שלך וצריכה לכלול גם (BIOS/UEFI) מכונות וירטואליות וגם פיזיות.

בעיות ידועות

Microsoft כוללת רשימה של בעיות ידועות המשפיעות על מערכת ההפעלה והפלטפורמות הכלולות במחזור העדכון הזה:

• לאחר התקנת העדכון של החודש, התקני Windows המשתמשים במעבדי GPU מסוימים עלולים לגרום apps לסגור באופן בלתי צפוי, או ליצור קוד חריג (0xc0000094 במודול d3d9on12.dll) ב- apps באמצעות Direct3D גרסה 9. Microsoft פרסמה א קיר ' עדכון מדיניות קבוצתית כדי לפתור בעיה זו עם הגדרות GPO הבאות: הורדה עבור Windows 10, גרסה 2004, Windows 10, גרסה 20H2, Windows 10, גרסה 21H1, ו-Windows 10, גרסה 21H2.
• לאחר התקנת עדכונים שפורסמו ב-11 בינואר 2022 ואילך, apps המשתמשים ב-Microsoft .NET Framework כדי לרכוש או להגדיר מידע על אמון של Active Directory Forest עלולים להיכשל או ליצור שגיאת הפרת גישה (0xc0000005). נראה שיישומים התלויים ב System.DirectoryServices API מושפעים.

מיקרוסופט באמת הגדילה את המשחק שלה כשדנה בתיקונים ועדכונים אחרונים עבור מהדורה זו עם שימושי עדכן את הדגשים וִידֵאוֹ.

תיקונים גדולים

למרות שיש רשימה מצומצמת בהרבה של תיקונים החודש בהשוואה לאפריל, מיקרוסופט פרסמה שלושה גרסאות כולל:

• CVE-2022-1096: Chromium: CVE-2022-1096 סוג בלבול ב-V8. תיקון זה של מרץ עודכן וכולל תמיכה בגרסה האחרונה של Visual Studio (2022) כדי לאפשר עיבוד מעודכן של תוכן webview2. אין צורך בפעולה נוספת.
• CVE-2022-24513: נקודת התורפה של Visual Studio בנושא העלאת הרשאות. תיקון זה באפריל עודכן כך שיכלול את כל הגרסאות הנתמכות של Visual Studio (15.9 עד 17.1). למרבה הצער, עדכון זה עשוי לדרוש בדיקות יישומים מסוימות עבור צוות הפיתוח שלך, מכיוון שהוא משפיע על אופן העיבוד של תוכן webview2.
• CVE-2022-30138: פגיעות העלאת הרשאות של Windows Print Spooler. זהו שינוי מידע בלבד. אין צורך בפעולה נוספת.

תקלות ועקיפות

בחודש מאי, מיקרוסופט פרסמה תרופה אחת מרכזית לפגיעות רצינית של מערכת הקבצים ברשת Windows:

• CVE-2022-26937: פגיעות של ביצוע קוד מרחוק של מערכת הקבצים ברשת Windows. אתה יכול למתן התקפה על ידי השבתה NFSV2 ו NFSV3. הפקודה הבאה של PowerShell תשבית את הגרסאות הללו: "PS C:Set-NfsServerConfiguration -EnableNFSV2 $false -EnableNFSV3 $false." לאחר שנעשה. תצטרך להפעיל מחדש את שרת ה-NFS שלך (או רצוי לאתחל את המחשב). וכדי לאשר ששרת NFS עודכן כהלכה, השתמש בפקודה PowerShell "PS C:Get-NfsServerConfiguration."

בכל חודש, אנו מפרקים את מחזור העדכון למשפחות מוצרים (כפי שהוגדרו על ידי Microsoft) עם הקבוצות הבסיסיות הבאות: 

• דפדפנים (Microsoft IE ו-Edge);
• Microsoft Windows (גם שולחן העבודה וגם השרת);
• מיקרוסופט אופיס;
• החלפת מיקרוסופט;
• פלטפורמות פיתוח של מיקרוסופט ( ASP.NET Core, .NET Core ו-Chakra Core);
• אדובי (בדימוס???, אולי בשנה הבאה).

דפדפנים

מיקרוסופט לא פרסמה עדכונים כלשהם לדפדפנים הישנים שלה (IE) או Chromium (Edge) החודש. אנו רואים מגמת ירידה במספר הבעיות הקריטיות שפקדו את מיקרוסופט בעשור האחרון. התחושה שלי היא שהמעבר לפרויקט Chromium היה "סופר פלוס פלוס win-win" מובהק הן לצוות הפיתוח והן למשתמשים.

אם כבר מדברים על דפדפנים מדור קודם, אנחנו צריכים להתכונן לקראת פרישה של IE מגיע באמצע יוני. ב"להכין" אני מתכוון לחגוג - לאחר, כמובן, הבטחנו את המורשת הזו apps אין תלות מפורשת במנוע העיבוד הישן של IE. אנא הוסף את "חגוג את פרישה של IE" ללוח הזמנים של פריסת הדפדפן שלך. המשתמשים שלך יבינו.

Windows

פלטפורמת Windows מקבלת החודש שישה עדכונים קריטיים ו-56 תיקונים שדורגו כחשובים. לרוע המזל, יש לנו גם שלושה ניצולים של יום אפס:

• CVE-2022-22713: פגיעות זו שנחשפה בפומבי בפלטפורמת הוירטואליזציה Hyper-V של מיקרוסופט תחייב את התוקף לנצל בהצלחה מצב מירוץ פנימי כדי להוביל לתרחיש פוטנציאלי של מניעת שירות. זוהי פגיעות רצינית, אך דורשת שרשרת מספר נקודות תורפה כדי להצליח.
• CVE-2022-26925: גם נחשפו בפומבי וגם דווחו כמנוצלים בטבע, זה בעיית אימות LSA מהווה דאגה אמיתית. זה יהיה קל לתיקון, אבל פרופיל הבדיקה גדול, מה שהופך אותו לקשה לפריסה מהירה. בנוסף לבדיקת אימות הדומיין שלך, ודא שפונקציות הגיבוי (והשחזור) פועלות כצפוי. אנו ממליצים בחום לבדוק את העדכניים ביותר הערות תמיכה של מיקרוסופט על זה נושא מתמשך.
• CVE-2022-29972: פגיעות זו שנחשפה בפומבי באדוםshift ODBC מנהל ההתקן די ספציפי ליישומי Synapse. אבל אם יש לך חשיפה לאחד מה תכלת סינפסה RBAC תפקידים, פריסת עדכון זה היא בעדיפות עליונה.

בנוסף לנושאים של יום אפס אלה, יש עוד שלוש בעיות שדורשות את תשומת לבך:

• CVE-2022-26923: הפגיעות הזו באימות Active Directory לא ממש "בלתי ניתנת לטיפולאבל הוא כל כך קל לניצול, שלא אתפלא לראות אותו מותקף באופן פעיל soon. לאחר פגיעה, הפגיעות הזו תספק גישה לכל הדומיין שלך. ההימור גבוה עם זה.
• CVE-2022-26937: באג מערכת הקבצים ברשת יש דירוג של 9.8 - אחד מהגבוהים שדווחו השנה. NFS אינו מופעל כברירת מחדל, אך אם יש לך לינוקס או יוניקס ברשת, סביר להניח שאתה משתמש בהם. תקן בעיה זו, אך אנו ממליצים גם לשדרג ל NFSv4.1 as soon ככל האפשר.
• CVE-2022-30138: תיקון זה שוחרר לאחר התיקון ביום שלישי. בעיית הדפסה ברקע זו משפיעה רק על מערכות ישנות יותר (Windows 8 ו-Server 2012), אך תדרוש בדיקות משמעותיות לפני הפריסה. זו לא בעיית אבטחה קריטית במיוחד, אבל הפוטנציאל לבעיות מבוססות מדפסות גדול. קח את הזמן שלך לפני פריסת זה.

בהתחשב במספר הניצול הרציני ושלושת ימי האפס בחודש מאי, הוסף את עדכון Windows של החודש ללוח הזמנים שלך "תיקון עכשיו".

של Microsoft Office

מיקרוסופט פרסמה רק ארבעה עדכונים לפלטפורמת Microsoft Office (Excel, SharePoint) שכולם מדורגים כחשובים. כל העדכונים הללו קשים לניצול (דורשים גם אינטראקציה של משתמש וגם גישה מקומית למערכת היעד) ומשפיעים רק על פלטפורמות 32 סיביות. הוסף את עדכוני Office בפרופיל נמוך ובסיכון נמוך ללוח הזמנים הסטנדרטי שלך להפצה.

Microsoft Exchange Server

מיקרוסופט פרסמה עדכון יחיד לשרת Exchange (CVE-2022-21978) שדורג כחשוב ונראה די קשה לניצול. פגיעות זו של העלאת הרשאות דורשת גישה מאומתת מלאה לשרת, ועד כה לא היו דיווחים על חשיפה או ניצול לציבור בטבע.

חשוב יותר החודש, מיקרוסופט הציגה חדש שיטה לעדכון שרתי Microsoft Exchange שכולל כעת:

• קובץ התיקון של Windows Installer (.MSP), שעובד בצורה הטובה ביותר עבור התקנות אוטומטיות.
• מתקין לחילוץ עצמי, הרמה אוטומטית (.exe), שעובד הכי טוב עבור התקנות ידניות.

זהו ניסיון לפתור את הבעיה של מנהלי Exchange מעדכנים את מערכות השרת שלהם בהקשר שאינו מנהל, וכתוצאה מכך מצב שרת גרוע. פורמט ה-EXE החדש מאפשר התקנות שורת פקודה ורישום התקנה טוב יותר. מיקרוסופט פרסמה באופן מועיל את הדוגמה הבאה של שורת הפקודה EXE:

"Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains"

הערה, Microsoft ממליצה להחזיק במשתנה הסביבה %Temp% לפני השימוש בפורמט ההתקנה החדש של EXE. אם תפעל לפי השיטה החדשה של שימוש ב-EXE כדי לעדכן את Exchange, זכור שעדיין תצטרך (בנפרד) לפרוס את החודשי SSU עדכן כדי לוודא שהשרתים שלך מעודכנים. הוסף עדכון זה (או EXE) ללוח הזמנים של השחרור הסטנדרטי שלך, וודא שאתחול מלא יבוצע לאחר השלמת כל העדכונים.

פלטפורמות פיתוח של מיקרוסופט

מיקרוסופט פרסמה חמישה עדכונים שדורגו כחשובים ותיקון יחיד עם דירוג נמוך. כל התיקונים הללו משפיעים על Visual Studio ועל מסגרת NET. מכיוון שתעדכן את מופעי Visual Studio שלך כדי לטפל בפגיעויות המדווחות הללו, אנו ממליצים לקרוא את מדריך העדכון של Visual Studio לאפריל.

למידע נוסף על הנושאים הספציפיים המטופלים מנקודת מבט אבטחה, ה פרסום בבלוג של עדכון .NET מאי 2022 יהיה שימושי. מציין ש .NET 5.0 הגיעה כעת לסוף התמיכה ולפני שתשדרג ל-.NET 7, אולי כדאי לבדוק חלק מהתאימות או "שבירת שינויים" שצריך לטפל בהם. הוסף את העדכונים האלה בסיכון בינוני ללוח הזמנים של העדכונים הרגיל שלך.

אדובי (באמת רק Reader)

חשבתי שאולי אנחנו רואים מגמה. אין עדכונים של Adobe Reader לחודש זה. עם זאת, Adobe פרסמה מספר עדכונים למוצרים אחרים שנמצאו כאן: APSB22-21. בוא נראה מה יקרה ביוני - אולי נוכל לפרוש שניהם Adobe Reader ו-IE.