Ажурирањата на мајскиот Patch Tuesday го прават итно поправање задолжително

Patch Tuesday минатата недела започна со 73 ажурирања, но заврши (досега) со три ревизии и доцна дополнување (CVE-2022-30138) за вкупно 77 ранливости адресирани овој месец. Во споредба со широкиот сет на ажурирања објавени во април, гледаме поголема итност во поправање на Windows - особено со три нула дена и неколку многу сериозни недостатоци во областите на клучните сервери и автентикација. Размената ќе бара внимание, исто така, поради нова технологија за ажурирање на серверот.

Немаше ажурирања овој месец за прелистувачите на Microsoft и Adobe Reader. И Windows 10 20H2 (едвај те знаевме) сега е без поддршка.

Можете да најдете повеќе информации за ризиците од распоредувањето на овие ажурирања на Patch Tuesday во овој корисен инфографик, и MSRC Центарот објави добар преглед за тоа како се справува со безбедносните ажурирања овде.

Клучни сценарија за тестирање

Со оглед на големиот број промени вклучени во овој мајски циклус на закрпи, ги разделив сценаријата за тестирање на високоризични и стандардни ризични групи:

Висок ризик: Овие промени веројатно ќе вклучат промени во функционалноста, може да ги застарат постоечките функции и најверојатно ќе бараат создавање нови планови за тестирање:

• Тестирајте ги сертификатите за CA на вашата компанија (нови и обновени). Вашиот сервер за домен KDC автоматски ќе ги потврди новите екстензии вклучени во ова ажурирање. Барајте неуспешни валидации!
• Ова ажурирање вклучува промена на потписите на возачите кои сега вклучуваат и проверка на временскиот печат автентикодни потписи. Потпишаните драјвери треба да се вчитаат. Непотпишаните драјвери не треба. Проверете ги тестовите на вашата апликација за неуспешни вчитувања на драјвери. Вклучете проверки за потпишани EXE и DLL исто така.

Следните промени не се документирани дека вклучуваат функционални промени, но сепак ќе бараат барем „тестирање на чад” пред општото распоредување на закрпи на мај:

• Тестирајте ги вашите VPN клиенти кога користите RRAS сервери: вклучуваат поврзување, исклучување (користејќи ги сите протоколи: PPP/PPTP/SSTP/IKEv2).
• Тестирајте дали вашите EMF-датотеки се отвораат како што се очекуваше.
• Тестирајте го вашиот Windows адресар (WAB) зависности од апликацијата.
• Тестирајте BitLocker: стартувајте/запрете ги вашите машини со BitLocker овозможено, а потоа оневозможено.
• Потврдете дека вашите акредитиви се достапни преку VPN (види Мајкрософт за акредитивни менаџери).
• Тестирајте го вашиот Драјвери за печатач V4 (особено со подоцнежното доаѓање на CVE-2022-30138). 

Тестирањето овој месец ќе бара неколку рестартирање на вашите ресурси за тестирање и треба да вклучува и виртуелни и физички машини (BIOS/UEFI).

Познати Проблеми

Мајкрософт вклучува листа на познати проблеми кои влијаат на оперативниот систем и платформите вклучени во овој циклус на ажурирање:

• По инсталирањето на ажурирањето овој месец, уредите со Windows што користат одредени графички процесори може да предизвикаат apps да се затвори неочекувано или да генерира исклучок код (0xc0000094 во модулот d3d9on12.dll) во apps користејќи Direct3D верзија 9. Мајкрософт објави a KIR Ажурирање на групната политика за да се реши овој проблем со следните поставки за GPO: Преземете за Windows 10, верзија 2004, Windows 10, верзија 20H2, Windows 10, верзија 21H1 и Windows 10, верзија 21H2.
• По инсталирањето на ажурирањата објавени на 11 јануари 2022 година или подоцна, apps кои користат Microsoft .NET Framework за стекнување или поставување Active Directory Forest Trust Information може да не успеат или да генерираат грешка за прекршување на пристапот (0xc0000005). Се чини дека апликациите кои зависат од System.DirectoryServices API се засегнати.

Мајкрософт навистина ја подигна својата игра кога разговараше за неодамнешните поправки и ажурирања за ова издание со корисни ажурирање нагласува видео.

Големи ревизии

Иако има многу намален список на закрпи овој месец во споредба со април, Мајкрософт објави три ревизии, вклучувајќи:

• CVE-2022-1096: Chromium: CVE-2022-1096 Конфузија на типот во V8. Оваа мартовска лепенка е ажурирана за да вклучи поддршка за најновата верзија на Visual Studio (2022) за да се овозможи ажурирано прикажување на содржината webview2. Не се потребни дополнителни активности.
• CVE-2022-24513: Visual Studio Издигнување на ранливоста на привилегии. Оваа априлска лепенка е ажурирана за да ги вклучи СИТЕ поддржани верзии на Visual Studio (15.9 до 17.1). За жал, ова ажурирање може да бара одредено тестирање на апликации за вашиот тим за развој, бидејќи влијае на тоа како се прикажува содржината на webview2.
• CVE-2022-30138: Windows Print Spooler Подигнување на ранливоста на привилегијата. Ова е само информативна промена. Не се потребни дополнителни активности.

Ублажување и решенија

За мај, Мајкрософт објави едно клучно ублажување за сериозна ранливост на датотечниот систем на мрежата Windows:

• CVE-2022-26937: Ранливост на далечински код за извршување на датотечниот систем на Windows. Можете да го ублажите нападот со оневозможување NFSV2 NFSV3. Следната команда PowerShell ќе ги оневозможи тие верзии: „PS C:Set-NfsServerConfiguration -EnableNFSV2 $false -EnableNFSV3 $false“. Откако ќе се направи. ќе треба да го рестартирате вашиот NFS сервер (или по можност да ја рестартирате машината). И за да потврдите дека серверот NFS е правилно ажуриран, користете ја командата PowerShell „PS C: Get-NfsServerConfiguration“.

Секој месец, го разложуваме циклусот на ажурирање на фамилии на производи (како што е дефинирано од Microsoft) со следните основни групирања: 

• Прелистувачи (Microsoft IE и Edge);
• Microsoft Windows (и десктоп и сервер);
• Microsoft Office;
• Microsoft Exchange;
• Платформи за развој на Мајкрософт ( ASP.NET Core, .NET Core и Chakra Core);
• Adobe (во пензија???, можеби следната година).

Прелистувачи

Мајкрософт не објави никакви ажурирања ниту на неговите наследени прелистувачи (IE) ниту на Chromium (Edge) овој месец. Гледаме тренд на намалување на бројот на критични проблеми што го мачеа Мајкрософт во изминатата деценија. Моето чувство е дека преселувањето во проектот Chromium е дефинитивно „супер плус-плус победа-победа“ и за тимот за развој и за корисниците.

Зборувајќи за наследените прелистувачи, треба да се подготвиме за пензионирање на ИЕ доаѓа во средината на јуни. Под „подгответе“ мислам да славиме - откако, се разбира, го обезбедивме тоа наследство apps немаат експлицитни зависности од стариот мотор за рендерирање на IE. Ве молиме додадете „Прославете го пензионирањето на IE“ во распоредот за распоредување на вашиот прелистувач. Вашите корисници ќе разберат.

Windows

Платформата Windows добива шест критични ажурирања овој месец и 56 закрпи оценети како важни. За жал, имаме и три нула-ден експлоатации:

• CVE-2022-22713: Оваа јавно откриена ранливост во платформата за виртуелизација на Microsoft Hyper-V ќе бара од напаѓачот успешно да ја искористи внатрешната состојба на трката за да доведе до потенцијално сценарио за одбивање на услугата. Тоа е сериозна ранливост, но бара синџир на неколку ранливости за да успее.
• CVE-2022-26925: И јавно обелоденети и пријавени како експлоатирани во дивината, ова Проблем со автентикацијата на LSA е вистинска грижа. Ќе биде лесно да се закрпи, но профилот за тестирање е голем, што го прави тежок за брзо распоредување. Покрај тестирањето на автентикацијата на вашиот домен, погрижете се функциите за резервни копии (и обновување) да работат како што се очекуваше. Силно препорачуваме да го проверите најновото Белешки за поддршка на Microsoft на овој тековно прашање.
• CVE-2022-29972: Оваа јавно откриена ранливост во Црвениотshift ODBC драјверот е прилично специфичен за апликациите на Synapse. Но, ако имате изложеност на некое од Azure Synapse RBAC улоги, распоредувањето на ова ажурирање е врвен приоритет.

Покрај овие прашања од нултиот ден, има уште три прашања кои бараат вашето внимание:

• CVE-2022-26923: оваа ранливост во автентикацијата на Active Directory не е сосема „црвливи“, но е толку лесно да се искористи, што не би ме изненадило да видам дека е активно нападнат soon. Откако ќе биде компромитирана, оваа ранливост ќе обезбеди пристап до целиот ваш домен. Влогот е голем со оваа.
• CVE-2022-26937: Оваа грешка во мрежниот датотечен систем има оценка 9.8 - една од највисоките пријавени оваа година. NFS не е стандардно овозможено, но ако имате Linux или Unix на вашата мрежа, најверојатно ги користите. Закрпи го овој проблем, но препорачуваме и надградба на NFSv4.1 as soon што е можно.
• CVE-2022-30138: Овој лепенка беше објавен во вторник по закрпата. Овој проблем со спулот за печатење влијае само на постарите системи (Windows 8 и Server 2012), но ќе бара значително тестирање пред распоредувањето. Тоа не е супер критично безбедносно прашање, но потенцијалот за проблеми базирани на печатач е голем. Одвојте време пред да го распоредите овој.

Со оглед на бројот на сериозни експлоатирања и трите нула дена во мај, додајте го ажурирањето на Windows овој месец во вашиот распоред „Закрпи сега“.

Microsoft Office

Мајкрософт објави само четири ажурирања за платформата на Microsoft Office (Excel, SharePoint), од кои сите се оценети како важни. Сите овие ажурирања се тешки за експлоатација (кои бараат и интеракција со корисникот и локален пристап до целниот систем) и влијаат само на 32-битни платформи. Додајте ги овие ажурирања на Office со низок профил и низок ризик во вашиот стандарден распоред за издавање.

Microsoft Exchange Server

Мајкрософт објави едно ажурирање на Exchange Server (CVE-2022-21978) што е оценето како важно и изгледа прилично тешко да се искористи. Оваа ранливост за зголемување на привилегијата бара целосно автентификуван пристап до серверот и досега немало никакви извештаи за јавно обелоденување или експлоатација во дивината.

Уште поважно овој месец, Мајкрософт претстави нов метод за ажурирање на серверите на Microsoft Exchange што сега вклучува:

• Датотека за закрпи на Windows Installer (.MSP), која најдобро функционира за автоматизирани инсталации.
• Инсталатер со автоматско извлекување (.exe), кој најдобро функционира за рачни инсталации.

Ова е обид да се реши проблемот со администраторите на Exchange кои ги ажурираат своите серверски системи во контекст кој не е администратор, што резултира со лоша состојба на серверот. Новиот формат EXE овозможува инсталирање на командната линија и подобро евидентирање на инсталацијата. Мајкрософт помогна да го објави следниот пример на командната линија EXE:

„Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains“

Забелешка, Microsoft препорачува да ја имате променливата на околината %Temp% пред да го користите новиот формат за инсталација EXE. Ако го следите новиот метод за користење на EXE за ажурирање на Exchange, запомнете дека сепак ќе мора (одделно) да го распоредите месечниот SSU ажурирајте за да се осигурате дека вашите сервери се ажурирани. Додајте го ова ажурирање (или EXE) во вашиот стандарден распоред за издавање, осигурувајќи дека ќе се изврши целосно рестартирање кога ќе завршат сите ажурирања.

Развојни платформи на Microsoft

Мајкрософт објави пет ажурирања оценети како важни и една лепенка со ниска оцена. Сите овие закрпи влијаат на Visual Studio и .NET рамката. Бидејќи ќе ги ажурирате вашите инстанци на Visual Studio за да ги решите овие пријавени пропусти, препорачуваме да го прочитате Водич за ажурирање на Visual Studio април.

За да дознаете повеќе за конкретните прашања што се решаваат од безбедносна перспектива, на Мај 2022 година .NET ажурирање на објавување на блогови ќе биде корисно. Истакнувајќи го тоа.NET 5.0 сега го достигна крајот на поддршката и пред да го надградите на .NET 7, можеби вреди да се провери некоја од компатибилноста или „кршење на промените“ што треба да се реши. Додајте ги овие ажурирања со среден ризик во вашиот стандарден распоред за ажурирање.

Adobe (навистина само Reader)

Мислев дека можеби гледаме тренд. Нема ажурирања на Adobe Reader за овој месец. Како што рече, Adobe објави голем број ажурирања на други производи што се наоѓаат овде: APSB22-21. Ајде да видиме што ќе се случи во јуни - можеби ќе се пензионираме и Adobe Reader и IE.