Майдын патчынын шейшемби күнкү жаңыртуулары шашылыш оңдоолорду талап кылат

Өткөн жумадагы Patch Шейшемби 73 жаңыртуулар менен башталды, бирок (азырынча) үч өзгөртүү жана кеч кошумчалоо менен аяктады (CVE-2022-30138) ушул айда жалпысынан 77 кемчиликти чечүү. Апрель айында чыккан жаңыртуулардын кеңири топтому менен салыштырганда, биз Windows'ту жаңылоонун актуалдуулугун көрүп жатабыз - өзгөчө үч нөл күндүк жана негизги сервер жана аутентификация аймактарында бир нече олуттуу кемчиликтер. Алмашуу, улам да көңүл бурууну талап кылат жаңы серверди жаңылоо технологиясы.

Ушул айда Microsoft браузерлери жана Adobe Reader үчүн жаңыртуулар болгон жок. Ал эми Windows 10 20H2 (биз сизди дээрлик билбедик) азыр колдоого алынбай калды.

Сиз бул Patch Шейшемби жаңыртууларын жайылтуу тобокелдиктери жөнүндө көбүрөөк маалымат таба аласыз бул пайдалуу инфографика, жана MSRC борбору коопсуздук жаңыртууларын кантип иштетээри тууралуу жакшы баяндаманы жарыялады бул жерде.

Негизги сыноо сценарийлери

Ушул май айындагы жамаачы циклине киргизилген көп сандагы өзгөрүүлөрдү эске алып, мен тестирлөө сценарийлерин жогорку тобокелдикке жана стандарттык тобокелдик топторуна бөлдүм:

Жогорку тобокелдик: Бул өзгөртүүлөр функциялык өзгөрүүлөрдү камтышы мүмкүн, учурдагы функцияларды жокко чыгарышы мүмкүн жана жаңы тестирлөө пландарын түзүүнү талап кылышы мүмкүн:

• Ишканаңыздын CA сертификаттарын сынап көрүңүз (жаңы жана жаңыртылган). Сиздин домен сервериңиз KDC бул жаңыртууга камтылган жаңы кеңейтүүлөрдү автоматтык түрдө ырастайт. Ийгиликсиз текшерүүлөрдү издеңиз!
• Бул жаңыртуу айдоочунун колдорун өзгөртүүнү камтыйт, анда азыр убакыт белгисин текшерүү, ошондой эле камтылган аутентикод кол тамгалары. Кол коюлган айдоочулар жүктөлүшү керек. Колу жок айдоочулар андай кылбашы керек. Колдонмоңуздун сыналышын текшерип, драйвер жүктөмөлөрү аткарылбай калган. Кол коюлган EXE жана DLL файлдарын текшерүүнү да кошуңуз.

Төмөнкү өзгөртүүлөр функционалдык өзгөрүүлөрдү камтыган катары документтештирилбейт, бирок дагы эле жок дегенде талап кылынат "түтүн сыноо” Майдын тактарын жалпы жайылтуудан мурун:

• Колдонууда VPN кардарларыңызды сынап көрүңүз RRAS серверлер: кошууну, ажыратууну камтыйт (бардык протоколдорду колдонуу: PPP/PPTP/SSTP/IKEv2).
• EMF файлдарыңыз күтүлгөндөй ачылганын текшериңиз.
• Windows дарек китебиңизди сынап көрүңүз (WAB) колдонмонун көз карандылыгы.
• BitLocker'ди сынаңыз: машиналарыңызды баштоо/токтотуңуз BitLocker иштетилген жана андан кийин өчүрүлгөн.
• Сиздин эсептик дайындарыңыз VPN аркылуу жеткиликтүү экенин текшериңиз (караңыз Microsoft Credential Manager).
• Сиздин V4 принтер драйверлери (айрыкча кийинчерээк келиши менен CVE-2022-30138). 

Бул айдагы тестирлөө тестирлөө ресурстарыңызды бир нече жолу кайра жүктөөнү талап кылат жана (BIOS/UEFI) виртуалдык жана физикалык машиналарды камтышы керек.

Белгилүү маселелер

Microsoft бул жаңыртуу циклине камтылган операциялык системага жана платформаларга таасир эткен белгилүү маселелердин тизмесин камтыйт:

• Ушул айдын жаңыртууларын орноткондон кийин, айрым GPUларды колдонгон Windows түзмөктөрү себеп болушу мүмкүн apps күтүлбөгөн жерден жабуу же өзгөчө кодун түзүү (d0d0000094on3.dll модулунда 9xc12) apps Direct3D 9 версиясын колдонуу. Microsoft a Кир төмөнкү GPO жөндөөлөрү менен бул маселени чечүү үчүн топ саясатын жаңыртыңыз: Windows 10, 2004 версиясы, Windows 10, 20H2 версиясы, Windows 10, 21H1 версиясы жана Windows 10, 21H2 версиясы үчүн жүктөп алыңыз.
• 11-жылдын 2022-январында же андан кийинки жаңыртууларды орноткондон кийин, apps Active Directory Forest Trust маалыматын алуу же орнотуу үчүн Microsoft .NET Framework колдонгондор иштебей калышы мүмкүн же жетүү бузуу (0xc0000005) катасын жаратышы мүмкүн. Бул көз каранды колдонмолор көрүнөт System.DirectoryServices API таасир этет.

Майкрософт бул релиздин акыркы оңдоолорун жана жаңыртууларын пайдалуу менен талкуулап жатканда чындап эле өзүнүн оюнун жогорулатты урунттуу учурларды жаңыртуу Video.

Негизги ревизиялар

Апрель айына салыштырмалуу ушул айда тактардын бир топ кыскарган тизмеси бар болсо да, Microsoft үч ревизияны чыгарды, анын ичинде:

• CVE-2022-1096: Chromium: CVE-2022-1096 түрү V8деги баш аламандык. Бул март патчтары Webview2022 мазмунун жаңыртылган көрсөтүүгө мүмкүндүк берүү үчүн Visual Studio (2) акыркы версиясын колдоо үчүн жаңыртылган. Эч кандай андан аркы аракеттер талап кылынат.
• CVE-2022-24513: Visual Studio'нун артыкчылыктарын жогорулатуу. Бул апрель жамаачы Visual Studio'нун БАРДЫК колдоого алынган версияларын (15.9дан 17.1ге чейин) камтуу үчүн жаңыртылган. Тилекке каршы, бул жаңыртуу сиздин иштеп чыгуу тобуңуз үчүн кээ бир колдонмолорду сыноону талап кылышы мүмкүн, анткени ал webview2 мазмунунун көрсөтүлүшүнө таасирин тийгизет.
• CVE-2022-30138: Windows Басып чыгаруу спулеринин артыкчылыктуу аялуулугун жогорулатуу. Бул маалыматтык гана өзгөртүү. Эч кандай андан аркы аракеттер талап кылынат.

Жеңилдетүүлөр жана чечүү жолдору

Май айында Microsoft Windows тармактык файл тутумунун олуттуу кемчилиги үчүн бир негизги жумшартууну жарыялады:

• CVE-2022-26937: Windows Network File System Remote Code Execution нын аялуулугу. Сиз чабуулду өчүрүү менен азайта аласыз NFSV2 жана NFSV3. Төмөнкү PowerShell буйругу ал версияларды өчүрөт: “PS C:Set-NfsServerConfiguration -EnableNFSV2 $false -EnableNFSV3 $false.” Бир жолу жүргүзүлөт. NFS сервериңизди өчүрүп күйгүзүшүңүз керек (же жакшыраак машинаны кайра жүктөө). Жана NFS сервери туура жаңыртылганын ырастоо үчүн, PowerShell буйругун колдонуңуз "PS C: Get-NfsServerConfiguration."

Ай сайын биз жаңыртуу циклин төмөнкү негизги топтор менен өнүмдөрдүн үй-бүлөлөрүнө (Microsoft тарабынан аныкталгандай) бөлүп турабыз: 

• Браузерлер (Microsoft IE жана Edge);
• Microsoft Windows (иш тактасы жана сервери);
• Microsoft Office
• Microsoft Exchange;
• Microsoft өнүктүрүү платформалары ( ASP.NET Core, .NET Core жана Chakra Core);
• Adobe (пенсионер???, балким кийинки жылы).

браузерлер

Microsoft бул айда өзүнүн эски (IE) же Chromium (Edge) браузерлерине эч кандай жаңыртууларды чыгарган жок. Биз акыркы он жылда Microsoftту кыйнап келген орчундуу маселелердин санынын төмөндөө тенденциясын көрүп жатабыз. Менин оюмча, Chromium долбооруна өтүү иштеп чыгуучулар тобу үчүн да, колдонуучулар үчүн да "супер плюс-плюс утуш" болду.

Мурдагы браузерлер жөнүндө айтсак, биз буга даярданышыбыз керек IE пенсияга чыгуу июндун ортосунда келет. "Даяр" демекчи, мен майрамдоону билдирет - албетте, биз бул мурасты камсыз кылгандан кийин apps эски IE рендеринг кыймылдаткычына ачык көз карандылыктары жок. Сураныч, браузериңизди жайылтуу графигиңизге "IE пенсиясын майрамдоо" дегенди кошуңуз. Сиздин колдонуучулар түшүнөт.

Windows

Windows платформасы ушул айда алты маанилүү жаңыртууну жана маанилүү деп бааланган 56 патчты алат. Тилекке каршы, бизде дагы үч нөл күндүк эксплуатация бар:

• CVE-2022-22713: Майкрософттун Hyper-V виртуалдаштыруу платформасындагы бул жалпыга ачыкталган аялуу, чабуулчудан кызмат көрсөтүүдөн баш тартуу сценарийине алып келүү үчүн ички жарыш шартын ийгиликтүү колдонууну талап кылат. Бул олуттуу аялуу, бирок ийгиликке жетүү үчүн бир нече алсыздыктарды чынжыр менен байлоону талап кылат.
• CVE-2022-26925: Экөө тең ачыкка чыгып, жапайы эксплуатацияланган деп билдирди, бул LSA аутентификация маселеси чыныгы тынчсыздануу болуп саналат. Аны жамоо оңой болот, бирок тестирлөө профили чоң болгондуктан, аны тез жайылтуу кыйынга турат. Домениңиздин аныктыгын текшерүүдөн тышкары, резервдик көчүрмөлөр (жана калыбына келтирүү) функциялары күтүлгөндөй иштеп жатканын текшериңиз. Биз акыркы текшерүүнү сунуштайбыз Microsoft колдоо эскертүүлөрү бул тууралуу уланып жаткан маселе.
• CVE-2022-29972: Кызылдагы бул коомчулукка ачыкталган аялууshift ODBC драйвер Synapse колдонмолоруна өзгөчө мүнөздүү. Бирок, эгерде сизде кандайдыр бир таасири бар болсо Azure Synapse RBAC Бул жаңыртууну жайылтуу башкы артыкчылык болуп саналат.

Бул нөл күндүк маселелерден тышкары, сиздин көңүлүңүздү талап кылган дагы үч маселе бар:

• CVE-2022-26923: Active Directory аутентификациясындагы бул аялуу так эмес "курттуу” бирок пайдалануу ушунчалык оңой, мен анын активдүү чабуулга өткөнүн көрүп таң калбайм soon. Бир жолу бузулганда, бул аялуу сиздин бүт домениңизге кирүү мүмкүнчүлүгүн берет. Бул боюнча коюмдар жогору.
• CVE-2022-26937: Бул Network File System мүчүлүштүктөрү 9.8 рейтингине ээ – бул жылы эң жогорку көрсөткүчтөрдүн бири. NFS демейки боюнча иштетилген эмес, бирок тармагыңызда Linux же Unix болсо, сиз аны колдонуп жаткандырсыз. Бул маселени жаңыртыңыз, бирок биз дагы жаңыртууну сунуштайбыз NFSv4.1 as soon болушунча.
• CVE-2022-30138: Бул патч шейшембиден кийин чыгарылган. Бул басып чыгаруу спулери көйгөйү эски системаларга гана таасирин тийгизет (Windows 8 жана Server 2012), бирок жайылтуудан мурун олуттуу сыноону талап кылат. Бул өтө маанилүү коопсуздук маселеси эмес, бирок принтерге негизделген көйгөйлөрдүн потенциалы чоң. Муну жайылтуудан мурун убакыт бөлүңүз.

Май айындагы олуттуу эксплуатациялардын санын жана үч нөлдүк күндү эске алып, ушул айдагы Windows жаңыртууларын "Азыр Patch" графигиңизге кошуңуз.

Microsoft Office

Microsoft Microsoft Office платформасы үчүн төрт гана жаңыртууну чыгарды (Excel, SharePoint), алардын бардыгы маанилүү деп бааланган. Бул жаңыртуулардын бардыгын колдонуу кыйын (колдонуучунун өз ара аракеттенүүсүн жана максаттуу системага жергиликтүү кирүү мүмкүнчүлүгүн талап кылат) жана 32 биттик платформаларга гана таасир этет. Бул аз профилдүү, аз тобокелдикке ээ Office жаңыртууларын стандарттуу чыгаруу графигиңизге кошуңуз.

Microsoft Exchange Server

Microsoft Exchange Server үчүн бир жаңыртууну чыгарды (CVE-2022-21978) бул маанилүү деп бааланган жана аны пайдалануу кыйынга турат. Артыкчылыктын жогорулашынын бул аялуулугу серверге толук аутентификацияланган кирүүнү талап кылат жана азырынча жапайы жаратылышта ачыкка чыгуу же эксплуатациялоо тууралуу эч кандай билдирүүлөр боло элек.

Эң негизгиси, ушул айда Microsoft жаңысын киргизди Microsoft Exchange серверлерин жаңыртуу ыкмасы ал азыр камтыйт:

• Windows Installer патч файлы (.MSP), ал автоматташтырылган орнотуулар үчүн эң жакшы иштейт.
• Кол менен орнотуу үчүн эң жакшы иштеген, өзүн-өзү чыгаруучу, автоматтык түрдө көтөрүлүүчү орнотуучу (.exe).

Бул Exchange администраторлорунун сервердик системаларын администратордук эмес контекстте жаңыртуу маселесин чечүү аракети, натыйжада сервердин абалы начар. Жаңы EXE форматы буйрук сабын орнотууга жана орнотууну жакшыраак жазууга мүмкүндүк берет. Microsoft төмөнкү EXE буйрук сабынын мисалын пайдалуу жарыялады:

"Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains"

Эскертүү, Microsoft жаңы EXE орнотуу форматын колдонуудан мурун %Temp% чөйрө өзгөрмөсүнө ээ болууну сунуштайт. Exchange'ди жаңыртуу үчүн EXE колдонуунун жаңы ыкмасын колдонсоңуз, ай сайын (өзүнчө) колдонууга туура келет. СМУ серверлериңизди жаңыртуу үчүн жаңыртыңыз. Бул жаңыртууну (же EXE) стандарттык релиз графигиңизге кошуп, бардык жаңыртуулар аяктагандан кийин толук кайра жүктөө иш-аракетин камсыз кылуу.

Microsoft өнүктүрүү платформалары

Майкрософт маанилүү деп бааланган беш жаңыртууну жана рейтинги төмөн бир патчты чыгарды. Бардык бул тактар ​​Visual Studio жана .NET алкагында таасир этет. Бул билдирилген кемчиликтерди жоюу үчүн Visual Studio инстанцияларыңызды жаңыртып жатканыңыз үчүн, биз сизге окууну сунуштайбыз Visual Studio апрель жаңыртуу колдонмосу.

Коопсуздук көз карашынан каралып жаткан конкреттүү маселелер тууралуу көбүрөөк билүү үчүн Май 2022 .NET жаңыртуу блогун жарыялоо пайдалуу болот. деп белгилеп.NET 5.0 азыр колдоонун аягына жетти жана .NET 7ге жаңыртуудан мурун, кээ бир шайкештикти же "өзгөрүүлөр” деген маселени чечүү керек. Бул орточо тобокелдиктеги жаңыртууларды стандарттуу жаңыртуу графигиңизге кошуңуз.

Adobe (чындыгында жөн гана Reader)

Мен трендди көрүп жатабыз деп ойлогом. Бул айда Adobe Reader жаңыртуулары жок. Айтылгандай, Adobe бул жерде табылган башка өнүмдөр үчүн бир катар жаңыртууларды чыгарды: APSB22-21. Июнда эмне болорун карап көрөлү — балким, пенсияга чыгабыз экөө тең Adobe Reader жана IE.