Ny fanavaozam-baovaon'ny Patch Tuesday tamin'ny Mey dia tsy maintsy ilaina ny fametahana maika

Ny Talata Patch tamin'ny herinandro lasa dia nanomboka tamin'ny fanavaozana 73, saingy nifarana (hatramin'izao) tamin'ny fanavaozana telo sy fanampiny fanampiny (CVE-2022-30138) ho an'ny totalin'ny vulnerability 77 voaresaka tamin'ity volana ity. Raha ampitahaina amin'ireo fanavaozam-baovao midadasika navoaka tamin'ny volana aprily, dia hitantsika fa maika kokoa amin'ny fametahana Windows - indrindra amin'ny telo andro aotra sy lesoka maro be amin'ny lohamilina lehibe sy ny faritra fanamarinana. Mitaky fifantohana ihany koa ny fifanakalozana noho ny teknolojia fanavaozana server vaovao.

Tsy nisy fanavaozana tamin'ity volana ity ho an'ny navigateur Microsoft sy Adobe Reader. Ary Windows 10 20H2 (tsy fantatray ianareo) dia tsy misy fanohanana intsony.

Azonao atao ny mahita fampahalalana bebe kokoa momba ny risika amin'ny fametrahana ireo fanavaozana Patch Tuesday ao ity infographic mahasoa ity, ary ny MSRC Center dia namoaka topimaso tsara momba ny fomba fitantanana ny fanavaozana fiarovana Eto.

Toe-javatra fitsapana fototra

Noho ny isan'ny fiovana maro nampidirina tamin'ity tsingerin'ny patch tamin'ny volana Mey ity, dia nozaraiko ho vondrona misy risika be sy manara-penitra ireo toe-javatra fitsapana:

Loza ambony: Ireo fiovana ireo dia mety ahitana ny fiovan'ny fampiasa, mety hanafoana ny fiasa efa misy ary mety mitaky famoronana drafitra fitiliana vaovao:

• Andramo ny mari-pankasitrahana CA ny orinasanao (na vaovao na nohavaozina). Ny lohamilinao KDC dia hanamarina ho azy ireo fanitarana vaovao tafiditra amin'ity fanavaozana ity. Mitadiava fanamarinana tsy nahomby!
• Ity fanavaozana ity dia misy fiovana amin'ny sonian'ny mpamily izay misy ny fanamarinana timestamp ary koa sonia authenticode. Tokony hampiditra ireo mpamily voasonia. Ny mpamily tsy misy sonia dia tsy tokony. Hamarino ny fandehan'ny andrana fampiharana anao raha toa ka tsy nahomby ny entan'ny mpamily. Ampidiro koa ny fanamarinana ho an'ny EXE sy DLL voasonia.

Ny fanovana manaraka dia tsy voarakitra ao anatin'izany ny fanovana miasa, fa mbola mitaky farafaharatsiny "fitsapana setroka" alohan'ny fametrahana ankapoben'ny paty tamin'ny Mey:

• Andramo ny mpanjifa VPN anao rehefa mampiasa RRAS mpizara: ampidiro ny fifandraisana, esory ny fifandraisana (mampiasa ny protocole rehetra: PPP/PPTP/SSTP/IKEv2).
• Andramo fa misokatra araka ny nantenaina ny rakitra EMF-nao.
• Andramo ny Windows Address Book (WAB) miankina amin'ny fampiharana.
• Test BitLocker: atombohy/ajano ny milinanao BitLocker alefa ary avy eo dia kilemaina.
• Hamarino fa azo idirana amin'ny alàlan'ny VPN ny fahazoan-dàlanao (jereo Microsoft Credential Manager).
• Andramo ny Mpamily mpanonta V4 (indrindra amin'ny fahatongavan'ny CVE-2022-30138). 

Ny fitsapana amin'ity volana ity dia mitaky famerenam-bidy maromaro amin'ny loharanon-panadinanao ary tokony ahitana milina virtoaly sy ara-batana (BIOS/UEFI).

Famahana olana

Microsoft dia ahitana lisitr'ireo olana fantatra izay misy fiantraikany amin'ny rafitra fiasana sy ny sehatra tafiditra ao anatin'ity tsingerin'ny fanavaozana ity:

• Taorian'ny fametrahana ny fanavaozana tamin'ity volana ity dia mety hiteraka ny fitaovana Windows izay mampiasa GPU sasany apps hanakatona tsy nampoizina, na hamorona fehezan-dalàna miavaka (0xc0000094 ao amin'ny module d3d9on12.dll) ao amin'ny apps mampiasa Direct3D Version 9. Microsoft dia namoaka a KIR fanavaozana ny politikan'ny vondrona hamahana ity olana ity miaraka amin'ireto firafitry ny GPO manaraka ireto: Download ho an'ny Windows 10, version 2004, Windows 10, version 20H2, Windows 10, version 21H1, ary Windows 10, version 21H2.
• Taorian'ny fametrahana ny fanavaozana navoaka tamin'ny 11 janoary 2022 na taty aoriana, apps izay mampiasa ny Microsoft .NET Framework mba hahazoana na hametraka Active Directory Forest Trust Information dia mety tsy hahomby na hiteraka hadisoana amin'ny fidirana (0xc0000005). Hita fa ny fampiharana izay miankina amin'ny System.DirectoryServices API dia voa.

Microsoft dia tena nanatsara ny lalaony rehefa niresaka momba ny fanamboarana sy fanavaozana farany ho an'ity famoahana ity miaraka amin'ny mahasoa fanavaozana hevi-dehibe video.

Fanitsiana lehibe

Na dia nihena be aza ny lisitry ny patch tamin'ity volana ity raha oharina tamin'ny Aprily, Microsoft dia namoaka fanavaozana telo ao anatin'izany:

• CVE-2022-1096: Chromium: CVE-2022-1096 Karazana fisafotofotoana amin'ny V8. Ity patch martsa ity dia nohavaozina mba hampidirana fanohanana ny kinova farany an'ny Visual Studio (2022) mba hamelana ny fanavaozana ny votoatin'ny webview2. Tsy mila hetsika fanampiny.
• CVE-2022-24513: Fisondrotan'ny Visual Studio amin'ny vulnerability. Ity patch Aprily ity dia nohavaozina mba hampidirana ny dikan-teny rehetra amin'ny Visual Studio (15.9 hatramin'ny 17.1). Indrisy anefa, ity fanavaozana ity dia mety mitaky fitsapana fampiharana sasany ho an'ny ekipan'ny fampandrosoana anao, satria misy fiantraikany amin'ny fomba adika ny votoaty webview2.
• CVE-2022-30138: Windows Print Spooler Fisondrotry ny vulnerability ny tombontsoa. Fanovana fampahafantarana ihany ity. Tsy mila hetsika fanampiny.

Mitigations sy workarounds

Ho an'ny volana Mey, namoaka fanalefahana lehibe iray ho an'ny vulnerabilité rafitra fisie fisie Windows lehibe i Microsoft:

• CVE-2022-26937: Windows Network File System Fahadisoam-pamoahana kaody lavitra. Azonao atao ny manamaivana ny fanafihana amin'ny alàlan'ny fanalana NFSV2 ary NFSV3. Ity baiko PowerShell manaraka ity dia hanaisotra ireo dikan-teny ireo: "PS C: Set-NfsServerConfiguration -EnableNFSV2 $false -EnableNFSV3 $false." Rehefa vita. mila averinao indray ny mpizara NFS anao (na avereno indray ny milina). Ary mba hanamafisana fa nohavaozina tsara ny mpizara NFS, ampiasao ny baiko PowerShell "PS C: Get-NfsServerConfiguration."

Isan-bolana dia zarainay ho fianakaviana vokatra ny tsingerin'ny fanavaozana (araka ny nofaritan'i Microsoft) miaraka amin'ireto vondrona fototra ireto: 

• Browsers (Microsoft IE sy Edge);
• Microsoft Windows (samy desktop sy mpizara);
• Microsoft Office;
• Microsoft Exchange;
• sehatra Microsoft Development ( ASP.NET Core, .NET Core sy Chakra Core);
• Adobe (misotro ronono???, mety amin'ny herintaona).

navigateur

Microsoft dia tsy namoaka fanavaozam-baovao ho an'ny navigateur (IE) na Chromium (Edge) tamin'ity volana ity. Hitantsika ny fironana midina amin'ny isan'ireo olana manakiana izay nanelingelina an'i Microsoft nandritra ny folo taona lasa. Ny fahatsapako dia ny fifindran'ny tetikasa Chromium dia "fandresena super plus-plus" ho an'ny ekipa fampandrosoana sy ny mpampiasa.

Raha miresaka momba ny navigateur lova dia mila miomana amin'ny fisotroan-dronono IE tonga amin'ny tapaky ny volana Jona. Ny hoe "manomana" dia midika hoe mankalaza - aorian'izay, mazava ho azy, dia niantoka izany lova izany izahay apps tsy manana fiankinana mazava amin'ny motera famandrihana IE taloha. Azafady, ampio ny "Ankalazao ny fisotroan-drononon'ny IE" amin'ny fandaharam-potoana fametrahana ny navigateur. Ho azon'ny mpampiasa anao.

Windows

Ny sehatra Windows dia mahazo fanavaozam-baovao enina amin'ity volana ity ary paty 56 noheverina ho zava-dehibe. Indrisy anefa fa manana fitrandrahana telo andro aotra ihany koa izahay:

• CVE-2022-22713: Ity vulnerable ampahibemaso ampahibemaso ao amin'ny sehatra virtoaly Hyper-V an'ny Microsoft ity dia mitaky mpanafika mba hanararaotra tsara ny toetry ny hazakazaka anatiny mba hitarika amin'ny toe-javatra mety handà ny serivisy. Faharefoana lehibe izany, saingy mitaky famatorana vulnerable maromaro mba hahombiazana.
• CVE-2022-26925: Sady navoaka ampahibemaso no voalaza fa trandrahana any anaty ala, ity Olana fanamarinana LSA dia tena mampanahy. Mora ny mametaka azy io, saingy lehibe ny mombamomba ny fitsapana, ka sarotra ny mametraka haingana. Ho fanampin'ny fizahana ny fanamarinana ny sehatra misy anao, ataovy azo antoka fa miasa araka ny nantenaina ny fiasa backups (sy famerenana). Tena manoro hevitra izahay hanamarina ny farany Fanamarihana fanohanana Microsoft momba izany olana mitohy.
• CVE-2022-29972: Ity vulnerable ampahibemaso ity ao amin'ny Redshift ODBC Ny mpamily dia voafaritra manokana amin'ny fampiharana Synapse. Fa raha manana traikefa amin'ny iray amin'ireo ianao Azure Synapse RBAC andraikitra, ny fametrahana ity fanavaozana ity no laharam-pahamehana.

Ho fanampin'ireo olana tsy misy andro ireo, dia misy olana telo hafa mila ny fiheveranao:

• CVE-2022-26923: ity vulnerability amin'ny Active Directory authentication ity dia tsy "kankana” nefa tena mora trandrahina, tsy ho gaga aho raha mahita azy mazoto manafika soon. Rehefa voatohintohina, ity vulnerable ity dia hanome fidirana amin'ny sehatra misy anao manontolo. Avo ny tsatòka amin'ity.
• CVE-2022-26937: Ity otrik'aretina Network File System ity dia manana naoty 9.8 – iray amin'ireo tatitra ambony indrindra tamin'ity taona ity. NFS dia tsy alefa amin'ny alàlan'ny default, fa raha manana Linux na Unix ianao amin'ny tambajotrao dia mety hampiasa azy io ianao. Ampidiro ity olana ity, fa manoro hevitra ny hanavao azy ihany koa izahay NFSv4.1 as soon araka izay azo atao.
• CVE-2022-30138: Ity patch ity dia navoaka taorian'ny Patch Talata. Ity olan'ny mpanonta printy ity dia tsy misy fiantraikany amin'ny rafitra tranainy (Windows 8 sy Server 2012) ihany fa mitaky fitsapana lehibe alohan'ny fametrahana azy. Tsy olana ara-piarovana mahery vaika izany, fa lehibe ny mety ho olana amin'ny mpanonta printy. Makà fotoana alohan'ny hametrahana an'io.

Raha jerena ny isan'ny fanararaotana lehibe sy ny telo aotra andro tamin'ny volana Mey, ampio ny fanavaozana Windows amin'ity volana ity amin'ny fandaharam-potoananao "Patch Now".

Microsoft Office

Namoaka fanavaozam-baovao efatra fotsiny i Microsoft ho an'ny sehatra Microsoft Office (Excel, SharePoint) izay samy manana ny lanjany avokoa. Ireo fanavaozana rehetra ireo dia sarotra trandrahana (mitaky ny fifandraisan'ny mpampiasa sy ny fidirana eo an-toerana amin'ny rafitra kendrena) ary misy fiantraikany amin'ny sehatra 32-bit ihany. Ampio amin'ny fandaharam-potoana famotsorana mahazatra anao ireto fanavaozana Office tsy dia misy dikany sy mampidi-doza ireto.

Microsoft Exchange Server

Microsoft dia namoaka fanavaozana tokana ho an'ny Exchange Server (CVE-2022-21978) izay isaina ho manan-danja ary toa sarotra ny mitrandraka. Mitaky fidirana amin'ny serivera azo antoka tanteraka ity vulnerability avoakan'ny tombontsoa ity, ary hatramin'izao dia tsy mbola nisy tatitra momba ny fampahafantarana na fanararaotana ampahibemaso tany anaty ala.

Ny zava-dehibe kokoa tamin'ity volana ity dia nampiditra vaovao i Microsoft fomba hanavaozana ny mpizara Microsoft Exchange izay ahitana izao:

• Windows Installer patch file (.MSP), izay miasa tsara indrindra amin'ny fametrahana mandeha ho azy.
• Fametrahana (.exe), izay miasa tsara indrindra amin'ny fametrahana tanana.

Ity dia fanandramana hamahana ny olan'ny mpandrindra Exchange amin'ny fanavaozana ny rafitr'izy ireo ao anatin'ny tontolon'ny tsy admin, ka miteraka toetry ny server ratsy. Ny endrika EXE vaovao dia mamela ny fametrahana andalana baiko sy ny fametrahana logging tsara kokoa. Microsoft dia namoaka ity ohatra manaraka ity amin'ny andalana baiko EXE:

"Setup.exe / IAcceptExchangeServerLicenseTerms_DiagnosticDataON / PrepareAllDomains"

Marihina, Microsoft dia manoro hevitra ny hanananao ny fari-piainan'ny %Temp% alohan'ny hampiasana ny endrika fametrahana EXE vaovao. Raha manaraka ny fomba vaovao amin'ny fampiasana ny EXE amin'ny fanavaozana ny Exchange ianao, dia tadidio fa mbola mila (misaraka) ianao hametraka ny isam-bolana. Lesona fanavaozam-baovao mba hahazoana antoka fa ny lohamilinao dia havaozina. Ampio ity fanavaozam-baovao ity (na EXE) amin'ny fandaharam-potoana famoahana mahazatra anao, miantoka fa ny famerenana feno dia atao rehefa vita ny fanavaozana rehetra.

Sehatra fampandrosoana Microsoft

Navoakan'i Microsoft ny fanavaozana dimy nomena anarana manan-danja ary patch tokana misy naoty ambany. Ireo patch rehetra ireo dia misy fiantraikany amin'ny Visual Studio sy ny rafitra .NET. Satria hanavao ny ohatra Visual Studio ianao mba hamahana ireo fahalemena voalaza ireo, dia manoro hevitra anao izahay hamaky ny Visual Studio Aprily torolalana fanavaozana.

Raha te hahalala bebe kokoa momba ireo olana manokana resahina amin'ny fomba fijery fiarovana, ny May 2022 .NET fanavaozana bilaogy fandefasana hahasoa. Marihina fa .NET 5.0 dia tonga amin'ny fiafaran'ny fanohanana ary alohan'ny hanavaozanao amin'ny .NET 7 dia mety ilaina ny manamarina ny sasany amin'ireo fifanarahana na "fanovana fanovana” izay tokony hodinihina. Ampio amin'ny fandaharam-potoana fanavaozam-baovao mahazatra anao ireo fanavaozana mety hampidi-doza ireo.

Adobe (tena mpamaky fotsiny)

Nihevitra aho fa mety hahita fironana isika. Tsy misy fanavaozana Adobe Reader amin'ity volana ity. Izany hoe, Adobe dia namoaka fanavaozana maromaro ho an'ny vokatra hafa hita eto: APSB22-21. Andeha hojerentsika izay hitranga amin'ny volana Jona - mety hisotro ronono isika na Adobe Reader sy IE.