მაისის პატჩის სამშაბათის განახლებები გადაუდებელ შესწორებას აუცილებელს ხდის

გასული კვირის Patch Tuesday დაიწყო 73 განახლებით, მაგრამ დასრულდა (ჯერჯერობით) სამი გადასინჯვით და გვიან დამატებით (CVE-2022-30138) სულ 77 მოწყვლადობისთვის მოგვარებულია ამ თვეში. აპრილში გამოქვეყნებულ განახლებების ფართო კომპლექტთან შედარებით, ჩვენ ვხედავთ უფრო აქტუალურობას Windows-ის შესწორებაში – განსაკუთრებით სამი ნულოვანი დღისა და რამდენიმე ძალიან სერიოზული ხარვეზის საკვანძო სერვერისა და ავტორიზაციის სფეროებში. გაცვლა მოითხოვს ასევე ყურადღებას იმის გამო სერვერის განახლების ახალი ტექნოლოგია.

ამ თვეში არ ყოფილა განახლებები Microsoft ბრაუზერებისთვის და Adobe Reader-ისთვის. და Windows 10 20H2 (ჩვენ თითქმის არ ვიცოდით) ახლა მხარდაჭერის გარეშეა.

თქვენ შეგიძლიათ იპოვოთ მეტი ინფორმაცია ამ Patch Tuesday განახლებების რისკების შესახებ ეს სასარგებლო ინფოგრაფიკა, და MSRC ცენტრმა გამოაქვეყნა კარგი მიმოხილვა, თუ როგორ ამუშავებს უსაფრთხოების განახლებებს აქ დაწკაპუნებით.

ტესტირების ძირითადი სცენარები

მაისის პაჩის ციკლში შეტანილი ცვლილებების დიდი რაოდენობის გათვალისწინებით, მე დავყავი ტესტირების სცენარები მაღალი რისკის და სტანდარტული რისკის ჯგუფებად:

Მაღალი რისკის: ეს ცვლილებები, სავარაუდოდ, მოიცავს ფუნქციონალურ ცვლილებებს, შესაძლოა გააუქმოს არსებული ფუნქციები და სავარაუდოდ დაგჭირდებათ ახალი ტესტირების გეგმების შექმნა:

• შეამოწმეთ თქვენი საწარმოს CA სერთიფიკატები (როგორც ახალი, ასევე განახლებული). თქვენი დომენის სერვერი KDC ავტომატურად დაადასტურებს ამ განახლებაში შეტანილ ახალ გაფართოებებს. მოძებნეთ წარუმატებელი ვალიდაციები!
• ეს განახლება მოიცავს დრაივერის ხელმოწერების ცვლილებას, რომელიც ახლა მოიცავს დროის ანაბეჭდის შემოწმებას და ავთენტიკოდის ხელმოწერები. ხელმოწერილი დრაივერები უნდა იტვირთონ. ხელმოუწერელი მძღოლები არ უნდა. შეამოწმეთ თქვენი განაცხადის ტესტის გაშვება დრაივერის წარუმატებელი დატვირთვისთვის. ასევე ჩართეთ ხელმოწერილი EXE და DLL ჩეკები.

შემდეგი ცვლილებები არ არის დოკუმენტირებული, როგორც ფუნქციური ცვლილებების ჩათვლით, მაგრამ მაინც მოითხოვს მინიმუმ ”კვამლის ტესტირებამაისის პაჩების საერთო განლაგებამდე:

• შეამოწმეთ თქვენი VPN კლიენტები გამოყენებისას RRAS სერვერები: მოიცავს დაკავშირებას, გათიშვას (ყველა პროტოკოლის გამოყენებით: PPP/PPTP/SSTP/IKEv2).
• შეამოწმეთ, რომ თქვენი EMF ფაილები იხსნება, როგორც მოსალოდნელია.
• შეამოწმეთ თქვენი Windows მისამართების წიგნი (WAB) განაცხადის დამოკიდებულებები.
• ტესტი BitLocker: დაიწყეთ/გააჩერეთ თქვენი მანქანები BitLocker ჩართულია და შემდეგ გამორთულია.
• დაადასტურეთ, რომ თქვენი რწმუნებათა სიგელები ხელმისაწვდომია VPN-ის საშუალებით (იხ Microsoft-ის საკრედიტო მენეჯერი).
• გამოსცადე შენი V4 პრინტერის დრაივერები (განსაკუთრებით მოგვიანებით ჩამოსვლასთან ერთად CVE-2022-30138). 

ამ თვის ტესტირება დასჭირდება თქვენი ტესტირების რესურსების რამდენიმე გადატვირთვას და უნდა მოიცავდეს როგორც (BIOS/UEFI) ვირტუალურ და ფიზიკურ მანქანებს.

ცნობილი საკითხები

Microsoft მოიცავს ცნობილ პრობლემებს, რომლებიც გავლენას ახდენენ ოპერაციულ სისტემაზე და ამ განახლების ციკლში შემავალ პლატფორმებზე:

• ამ თვის განახლების ინსტალაციის შემდეგ, Windows მოწყობილობებმა, რომლებიც იყენებენ გარკვეულ GPU-ს, შესაძლოა გამოიწვიოს apps მოულოდნელად დახურვა ან გამონაკლისის კოდის გენერირება (0xc0000094 მოდულში d3d9on12.dll) apps Direct3D ვერსიის 9-ის გამოყენებით. Microsoft-მა გამოაქვეყნა ა KIR ჯგუფის პოლიტიკის განახლება ამ პრობლემის გადასაჭრელად შემდეგი GPO პარამეტრებით: ჩამოტვირთეთ Windows 10, ვერსია 2004, Windows 10, ვერსია 20H2, Windows 10, ვერსია 21H1 და Windows 10, ვერსია 21H2.
• განახლებების ინსტალაციის შემდეგ, რომელიც გამოვიდა 11 წლის 2022 იანვარს ან უფრო გვიან, apps რომლებიც იყენებენ Microsoft .NET Framework-ს Active Directory Forest Trust-ის ინფორმაციის მოსაპოვებლად ან დასაყენებლად, შესაძლოა ვერ მოხდეს ან წარმოქმნან წვდომის დარღვევის (0xc0000005) შეცდომა. როგორც ჩანს, აპლიკაციები, რომლებიც დამოკიდებულია System.DirectoryServices API დაზარალებულები არიან.

მაიკროსოფტმა ნამდვილად გააუმჯობესა თავისი თამაში, როდესაც განიხილავდა ამ გამოშვების ბოლო შესწორებებსა და განახლებებს სასარგებლო ვერსიით განახლების მაჩვენებლები ვიდეო.

ძირითადი გადასინჯვები

მიუხედავად იმისა, რომ ამ თვეში აპრილთან შედარებით პატჩების გაცილებით შემცირებული სიაა, Microsoft-მა გამოუშვა სამი რევიზია, მათ შორის:

• CVE-2022-1096: Chromium: CVE-2022-1096 Type Confusion V8-ში. მარტის ეს პაჩი განახლებულია Visual Studio-ს (2022) უახლესი ვერსიის მხარდაჭერისთვის, რათა მოხდეს webview2-ის კონტენტის განახლებული რენდერინგი. შემდგომი ქმედება არ არის საჭირო.
• CVE-2022-24513: ვიზუალური სტუდია პრივილეგიის მოწყვლადობის ამაღლება. აპრილის ეს პატჩი განახლებულია და მოიცავს Visual Studio-ს ყველა მხარდაჭერილ ვერსიას (15.9-დან 17.1-მდე). სამწუხაროდ, ამ განახლებამ შეიძლება მოითხოვოს აპლიკაციის გარკვეული ტესტირება თქვენი დეველოპერული გუნდისთვის, რადგან ის გავლენას ახდენს webview2 კონტენტის რენდერირებაზე.
• CVE-2022-30138: Windows Print Spooler-ის პრივილეგიის დაუცველობის ამაღლება. ეს მხოლოდ ინფორმაციული ცვლილებაა. შემდგომი ქმედება არ არის საჭირო.

შერბილებები და გამოსავალი

მაისისთვის მაიკროსოფტმა გამოაქვეყნა Windows-ის ქსელის ფაილური სისტემის სერიოზული დაუცველობის ერთი ძირითადი შერბილება:

• CVE-2022-26937: Windows ქსელის ფაილური სისტემის დისტანციური კოდის შესრულების დაუცველობა. თქვენ შეგიძლიათ შეამსუბუქოთ შეტევა გამორთვით NFSV2 მდე NFSV3. შემდეგი PowerShell ბრძანება გამორთავს ამ ვერსიებს: "PS C: Set-NfsServerConfiguration -EnableNFSV2 $false -EnableNFSV3 $false". ერთხელ გაკეთდა. თქვენ უნდა გადატვირთოთ თქვენი NFS სერვერი (ან სასურველია გადატვირთოთ მანქანა). და იმის დასადასტურებლად, რომ NFS სერვერი სწორად განახლდა, ​​გამოიყენეთ PowerShell ბრძანება „PS C: Get-NfsServerConfiguration“.

ყოველთვიურად, ჩვენ ვანაწილებთ განახლების ციკლს პროდუქტის ოჯახებად (როგორც განსაზღვრულია Microsoft-ის მიერ) შემდეგი ძირითადი დაჯგუფებებით: 

• ბრაუზერები (Microsoft IE და Edge);
• Microsoft Windows (როგორც დესკტოპის, ასევე სერვერის);
• Microsoft Office
• Microsoft Exchange;
• Microsoft-ის განვითარების პლატფორმები ( ASP.NET Core, .NET Core და Chakra Core);
• Adobe (პენსიაზე გავიდა???, შეიძლება მომავალ წელს).

ბროუზერები

მაიკროსოფტს არ გამოუქვეყნებია რაიმე განახლება არც მისი მემკვიდრეობითი (IE) და არც Chromium (Edge) ბრაუზერებისთვის ამ თვეში. ჩვენ ვხედავთ კრიტიკული საკითხების რაოდენობის შემცირებას, რომლებიც აწუხებდა მაიკროსოფტს ბოლო ათწლეულის განმავლობაში. ჩემი გრძნობაა, რომ Chromium-ის პროექტზე გადასვლა იყო გარკვეული „სუპერ პლუს პლუს მოგება“ როგორც განვითარების გუნდისთვის, ასევე მომხმარებლებისთვის.

მემკვიდრეობით ბრაუზერებზე საუბრისას, ჩვენ უნდა მოვემზადოთ IE-ს პენსიაზე გასვლა ივნისის შუა რიცხვებში მოდის. „მომზადებაში“ ვგულისხმობ აღნიშვნას - მას შემდეგ, რაც, რა თქმა უნდა, ჩვენ ეს მემკვიდრეობა დავრწმუნდით apps არ აქვთ აშკარა დამოკიდებულებები ძველ IE რენდერის ძრავზე. გთხოვთ, თქვენი ბრაუზერის განლაგების განრიგს დაამატოთ „IE-ის პენსიაზე გასვლის აღნიშვნა“. თქვენი მომხმარებლები გაიგებენ.

Windows

Windows პლატფორმა იღებს ექვს კრიტიკულ განახლებას ამ თვეში და 56 პატჩს, რომელიც შეფასებულია მნიშვნელოვანი. სამწუხაროდ, ჩვენ გვაქვს სამი ნულოვანი დღის ექსპლოიტიც:

• CVE-2022-22713: Microsoft-ის Hyper-V ვირტუალიზაციის პლატფორმის ეს საჯაროდ გამჟღავნებული დაუცველობა მოითხოვს თავდამსხმელს წარმატებით გამოიყენოს შიდა რასის მდგომარეობა, რათა გამოიწვიოს სერვისზე უარის თქმის პოტენციური სცენარი. ეს სერიოზული დაუცველობაა, მაგრამ წარმატების მისაღწევად მოითხოვს რამდენიმე დაუცველობის მიჯაჭვულობას.
• CVE-2022-26925: ორივე საჯაროდ გამჟღავნებული და მოხსენებული, როგორც ექსპლუატირებული ველურში, ეს LSA ავთენტიფიკაციის პრობლემა არის რეალური შეშფოთება. მისი დაყენება ადვილი იქნება, მაგრამ ტესტირების პროფილი დიდია, რაც რთულს ხდის მას სწრაფად განლაგებას. თქვენი დომენის ავთენტიფიკაციის ტესტირების გარდა, დარწმუნდით, რომ სარეზერვო ასლების (და აღდგენის) ფუნქციები მუშაობს ისე, როგორც მოსალოდნელია. ჩვენ გირჩევთ შეამოწმოთ უახლესი Microsoft-ის მხარდაჭერის შენიშვნები ამის შესახებ მიმდინარე საკითხი.
• CVE-2022-29972: ეს საჯაროდ გამჟღავნებული დაუცველობა წითელშიshift ODBC დრაივერი საკმაოდ სპეციფიკურია Synapse აპლიკაციებისთვის. მაგრამ თუ თქვენ გაქვთ ზემოქმედება რომელიმე Azure Synapse RBAC როლებში, ამ განახლების გამოყენება უმთავრესი პრიორიტეტია.

ამ ნულოვანი დღის საკითხების გარდა, არის კიდევ სამი საკითხი, რომელიც თქვენს ყურადღებას მოითხოვს:

• CVE-2022-26923: ეს დაუცველობა Active Directory ავთენტიფიკაციაში არ არის საკმაოდ ”ჭიებიანი”მაგრამ იმდენად ადვილი გამოსაყენებელია, არ გამიკვირდება მისი აქტიური თავდასხმის დანახვა soon. მას შემდეგ, რაც კომპრომეტირებული იქნება, ეს დაუცველობა უზრუნველყოფს თქვენს მთელ დომენზე წვდომას. ფსონები მაღალია ამით.
• CVE-2022-26937: ქსელის ფაილური სისტემის ამ ხარვეზს აქვს რეიტინგი 9.8 - ერთ-ერთი ყველაზე მაღალი ამ წელს. NFS ნაგულისხმევად არ არის ჩართული, მაგრამ თუ თქვენს ქსელში გაქვთ Linux ან Unix, სავარაუდოდ იყენებთ მას. შეასწორეთ ეს პრობლემა, მაგრამ ჩვენ ასევე გირჩევთ განახლებას NFSv4.1 as soon რაც შეიძლება.
• CVE-2022-30138: ეს პაჩი გამოვიდა სამშაბათს პაჩის შემდეგ. ბეჭდვის სპულერის ეს პრობლემა ეხება მხოლოდ ძველ სისტემებს (Windows 8 და Server 2012), მაგრამ დანერგვამდე დასჭირდება მნიშვნელოვანი ტესტირება. ეს არ არის უსაფრთხოების სუპერ კრიტიკული საკითხი, მაგრამ პრინტერზე დაფუძნებული პრობლემების პოტენციალი დიდია. დაუთმეთ დრო, სანამ ამას გამოიყენებთ.

სერიოზული ექსპლოიტების რაოდენობისა და მაისის სამი ნულოვანი დღის გათვალისწინებით, დაამატეთ ამ თვის Windows-ის განახლება თქვენს “Patch Now” განრიგს.

Microsoft Office

Microsoft-მა გამოუშვა მხოლოდ ოთხი განახლება Microsoft Office-ის პლატფორმისთვის (Excel, SharePoint), რომელთაგან ყველა შეფასებულია მნიშვნელოვანი. ყველა ეს განახლება ძნელი გამოსაყენებელია (მოითხოვს როგორც მომხმარებლის ინტერაქციას, ასევე ადგილობრივ წვდომას სამიზნე სისტემაზე) და გავლენას ახდენს მხოლოდ 32-ბიტიან პლატფორმებზე. დაამატეთ ეს დაბალი პროფილის, დაბალი რისკის Office განახლებები თქვენს სტანდარტულ გამოშვების გრაფიკს.

Microsoft Exchange Server

Microsoft-მა გამოუშვა ერთი განახლება Exchange Server-ისთვის (CVE-2022-21978) რომელიც შეფასებულია მნიშვნელოვნად და საკმაოდ რთული გამოსაყენებელი ჩანს. პრივილეგიების ამაღლების ეს დაუცველობა მოითხოვს სერვერზე სრულ ავთენტიფიცირებულ წვდომას და ჯერჯერობით არ ყოფილა რაიმე ცნობები საჯარო გამჟღავნების ან ექსპლუატაციის შესახებ ველურ ბუნებაში.

რაც მთავარია ამ თვეში, მაიკროსოფტმა წარმოადგინა ახალი Microsoft Exchange სერვერების განახლების მეთოდი რომელიც ახლა მოიცავს:

• Windows Installer-ის პატჩი ფაილი (.MSP), რომელიც საუკეთესოდ მუშაობს ავტომატური ინსტალაციებისთვის.
• თვითმმართველობის ამოღება, ავტომატური ამაღლების ინსტალერი (.exe), რომელიც საუკეთესოდ მუშაობს ხელით ინსტალაციაზე.

ეს არის მცდელობა გადაჭრას Exchange ადმინისტრატორების მიერ სერვერული სისტემების განახლება არაადმინისტრაციულ კონტექსტში, რაც იწვევს სერვერის ცუდ მდგომარეობას. ახალი EXE ფორმატი საშუალებას იძლევა ბრძანების ხაზის ინსტალაცია და უკეთესი ინსტალაციის აღრიცხვა. Microsoft-მა გამოაქვეყნა შემდეგი EXE ბრძანების ხაზის მაგალითი:

"Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains"

შენიშვნა, Microsoft გირჩევთ, რომ გქონდეთ %Temp% გარემოს ცვლადი ახალი EXE ინსტალაციის ფორმატის გამოყენებამდე. თუ მიჰყვებით Exchange-ის განახლებისთვის EXE-ის გამოყენების ახალ მეთოდს, გახსოვდეთ, რომ თქვენ მაინც მოგიწევთ (ცალკე) განათავსოთ ყოველთვიური სსუ განახლება, რათა დარწმუნდეთ, რომ თქვენი სერვერები განახლებულია. დაამატეთ ეს განახლება (ან EXE) თქვენს სტანდარტულ გამოშვების გრაფიკს, რათა უზრუნველყოთ სრული გადატვირთვა, როდესაც ყველა განახლება დასრულდება.

Microsoft-ის განვითარების პლატფორმები

მაიკროსოფტმა გამოუშვა ხუთი მნიშვნელოვანი განახლება და ერთი პატჩი დაბალი რეიტინგით. ყველა ეს პატჩი გავლენას ახდენს Visual Studio-სა და .NET Framework-ზე. ვინაიდან თქვენ განაახლებთ Visual Studio-ის ინსტანციებს ამ მოხსენებული დაუცველობის მოსაგვარებლად, გირჩევთ, წაიკითხოთ Visual Studio აპრილის განახლების სახელმძღვანელო.

უსაფრთხოების პერსპექტივიდან განხილული კონკრეტული საკითხების შესახებ მეტის გასაგებად, 2022 წლის მაისი .NET განახლებული ბლოგის გამოქვეყნება სასარგებლო იქნება. აღნიშნავს რომ.NET 5.0-მა უკვე მიაღწია მხარდაჭერას და სანამ განაახლებთ .NET 7-ზე, შესაძლოა ღირდეს ზოგიერთი თავსებადობის შემოწმება ან „შეცვლის ცვლილებები“, რომელიც უნდა გადაიჭრას. დაამატეთ ეს საშუალო რისკის განახლებები თქვენს სტანდარტულ განახლების გრაფიკს.

Adobe (ნამდვილად მხოლოდ Reader)

მე ვფიქრობდი, რომ ჩვენ შეიძლება დავინახოთ ტენდენცია. ამ თვისთვის Adobe Reader განახლებები არ არის. ამის თქმით, Adobe-მ გამოუშვა მრავალი განახლება აქ ნაპოვნი სხვა პროდუქტებისთვის: APSB22-21. ვნახოთ, რა მოხდება ივნისში - იქნებ პენსიაზე გავიდეთ ორივე Adobe Reader და IE.