Mays Patch Tuesday-oppdateringer gjør hasteoppdatering til et must

Den siste ukens Patch Tuesday startet med 73 oppdateringer, men endte opp (så langt) med tre revisjoner og et sent tillegg (CVE-2022-30138) for totalt 77 sårbarheter behandlet denne måneden. Sammenlignet med det brede settet med oppdateringer som ble utgitt i april, ser vi at det haster mer med å lappe Windows – spesielt med tre null-dager og flere svært alvorlige feil i nøkkelserver- og autentiseringsområder. Utveksling vil kreve oppmerksomhet, også pga ny serveroppdateringsteknologi.

Det var ingen oppdateringer denne måneden for Microsoft-nettlesere og Adobe Reader. Og Windows 10 20H2 (vi visste dere knapt) er nå ute av støtte.

Du kan finne mer informasjon om risikoen ved å distribuere disse Patch Tuesday-oppdateringene i denne nyttige infografikken, og MSRC-senteret har lagt ut en god oversikt over hvordan det håndterer sikkerhetsoppdateringer her..

Sentrale testscenarier

Gitt det store antallet endringer som er inkludert i denne oppdateringssyklusen i mai, har jeg delt ned testscenarioene i høyrisiko- og standardrisikogrupper:

Høy risiko: Disse endringene inkluderer sannsynligvis funksjonalitetsendringer, kan avvikle eksisterende funksjoner og vil sannsynligvis kreve å lage nye testplaner:

• Test bedriftens CA-sertifikater (både nye og fornyede). Din domeneserver KDC vil automatisk validere de nye utvidelsene som er inkludert i denne oppdateringen. Se etter mislykkede valideringer!
• Denne oppdateringen inkluderer en endring av sjåførsignaturer som nå inkluderer tidsstempelkontroll i tillegg autentikode signaturer. Signerte drivere skal lastes. Usignerte drivere bør ikke. Sjekk applikasjonstesten for mislykkede driverinnlastinger. Inkluder sjekker for signerte EXE-er og DLL-er også.

Følgende endringer er ikke dokumentert å inkludere funksjonelle endringer, men vil fortsatt kreve minst "røykprøving” før generell distribusjon av Mays oppdateringer:

• Test VPN-klientene dine når du bruker RRAS servere: inkluderer koble til, koble fra (bruker alle protokoller: PPP/PPTP/SSTP/IKEv2).
• Test at EMF-filene dine åpnes som forventet.
• Test Windows-adresseboken din (WAB) applikasjonsavhengigheter.
• Test BitLocker: start/stopp maskinene dine med BitLocker aktivert og deretter deaktivert.
• Bekreft at legitimasjonen din er tilgjengelig via VPN (se Microsoft Credential Manager).
• Test din V4 skriverdrivere (spesielt med senere ankomst av CVE-2022-30138). 

Denne månedens testing vil kreve flere omstarter av testressursene dine og bør inkludere både (BIOS/UEFI) virtuelle og fysiske maskiner.

Kjente problemer

Microsoft inkluderer en liste over kjente problemer som påvirker operativsystemet og plattformene som er inkludert i denne oppdateringssyklusen:

• Etter å ha installert denne månedens oppdatering, kan Windows-enheter som bruker visse GPUer forårsake apps for å lukke uventet, eller generere en unntakskode (0xc0000094 i modulen d3d9on12.dll) i apps bruker Direct3D versjon 9. Microsoft har publisert en KIR gruppepolicyoppdatering for å løse dette problemet med følgende GPO-innstillinger: Last ned for Windows 10, versjon 2004, Windows 10, versjon 20H2, Windows 10, versjon 21H1 og Windows 10, versjon 21H2.
• Etter å ha installert oppdateringer utgitt 11. januar 2022 eller senere, apps som bruker Microsoft .NET Framework til å skaffe eller angi Active Directory Forest Trust-informasjon, kan mislykkes eller generere en tilgangsbrudd (0xc0000005) feil. Det ser ut til at applikasjoner som er avhengige av System.DirectoryServices API er berørt.

Microsoft har virkelig hevet spillet sitt når de diskuterer nylige reparasjoner og oppdateringer for denne utgivelsen med en nyttig oppdater høydepunkter video.

Store revisjoner

Selv om det er en mye redusert liste over oppdateringer denne måneden sammenlignet med april, har Microsoft gitt ut tre revisjoner, inkludert:

• CVE-2022-1096: Chromium: CVE-2022-1096 Type Confusion i V8. Denne mars-oppdateringen har blitt oppdatert for å inkludere støtte for den nyeste versjonen av Visual Studio (2022) for å tillate oppdatert gjengivelse av webview2-innhold. Ingen ytterligere handling er nødvendig.
• CVE-2022-24513: Visual Studios sårbarhet for elevasjon av privilegier. Denne april-oppdateringen har blitt oppdatert for å inkludere ALLE støttede versjoner av Visual Studio (15.9 til 17.1). Dessverre kan denne oppdateringen kreve litt applikasjonstesting for utviklingsteamet ditt, siden det påvirker hvordan webview2-innhold gjengis.
• CVE-2022-30138: Sårbarhet i Windows Print Spooler Elevation of Privilege. Dette er kun en informasjonsendring. Ingen ytterligere handling er nødvendig.

Begrensninger og løsninger

For mai har Microsoft publisert en nøkkelbegrensning for en alvorlig sårbarhet i Windows-nettverksfilsystemet:

• CVE-2022-26937: Sårbarhet for ekstern kjøring av kode i Windows-nettverksfilsystem. Du kan dempe et angrep ved å deaktivere NFSV2 og NFSV3. Følgende PowerShell-kommando vil deaktivere disse versjonene: "PS C:Set-NfsServerConfiguration -EnableNFSV2 $false -EnableNFSV3 $false." Når det er gjort. du må starte NFS-serveren på nytt (eller helst starte maskinen på nytt). Og for å bekrefte at NFS-serveren har blitt oppdatert riktig, bruk PowerShell-kommandoen "PS C:Get-NfsServerConfiguration."

Hver måned deler vi opp oppdateringssyklusen i produktfamilier (som definert av Microsoft) med følgende grunnleggende grupperinger: 

• Nettlesere (Microsoft IE og Edge);
• Microsoft Windows (både skrivebord og server);
• Microsoft Office;
• Microsoft Exchange;
• Microsoft utviklingsplattformer ( ASP.NET Core, .NET Core og Chakra Core);
• Adobe (pensjonert???, kanskje neste år).

Nettlesere

Microsoft har ikke gitt ut noen oppdateringer til verken sine eldre (IE) eller Chromium (Edge) nettlesere denne måneden. Vi ser en nedadgående trend av antall kritiske problemer som har plaget Microsoft det siste tiåret. Min følelse er at å flytte til Chromium-prosjektet har vært en klar "super pluss pluss vinn-vinn" for både utviklingsteamet og brukerne.

Når vi snakker om eldre nettlesere, må vi forberede oss på pensjonering av IE kommer i midten av juni. Med "forbered" mener jeg feire - etter at vi selvfølgelig har sikret den arven apps har ikke eksplisitte avhengigheter av den gamle IE-gjengivelsesmotoren. Vennligst legg til "Feir pensjonering av IE" til din nettleserimplementeringsplan. Brukerne dine vil forstå.

Windows

Windows-plattformen mottar seks kritiske oppdateringer denne måneden og 56 oppdateringer vurdert som viktige. Dessverre har vi tre null-dagers utnyttelser også:

• CVE-2022-22713: Denne offentlig avslørte sårbarheten i Microsofts Hyper-V-virtualiseringsplattform vil kreve at en angriper lykkes med å utnytte en intern rasetilstand for å føre til et potensielt denial-of-service-scenario. Det er en alvorlig sårbarhet, men krever lenking av flere sårbarheter for å lykkes.
• CVE-2022-26925: Både offentlig avslørt og rapportert som utnyttet i naturen, dette LSA-autentiseringsproblem er en reell bekymring. Det vil være enkelt å lappe, men testprofilen er stor, noe som gjør det vanskelig å distribuere raskt. I tillegg til å teste domeneautentiseringen din, sørg for at sikkerhetskopiering (og gjenoppretting) fungerer som forventet. Vi anbefaler på det sterkeste å sjekke det siste Microsoft-støttemerknader på dette pågående problemstilling.
• CVE-2022-29972: Denne offentlig avslørte sårbarheten i rødtshift ODBC driveren er ganske spesifikk for Synapse-applikasjoner. Men hvis du har eksponering for noen av de Azure Synapse RBAC roller, er distribusjon av denne oppdateringen en toppprioritet.

I tillegg til disse nulldagsproblemene, er det tre andre problemer som krever oppmerksomhet:

• CVE-2022-26923: denne sårbarheten i Active Directory-autentisering er ikke helt "ormbar” men er så lett å utnytte at jeg ikke ville bli overrasket over å se den aktivt angrepet soon. Når det er kompromittert, vil dette sikkerhetsproblemet gi tilgang til hele domenet ditt. Innsatsen er høy med denne.
• CVE-2022-26937: Denne nettverksfilsystemfeilen har en vurdering på 9.8 – en av de høyeste rapporterte i år. NFS er ikke aktivert som standard, men hvis du har Linux eller Unix på nettverket ditt, bruker du sannsynligvis det. Oppdater dette problemet, men vi anbefaler også å oppgradere til NFSv4.1 as soon som mulig.
• CVE-2022-30138: Denne oppdateringen ble utgitt etter oppdatering tirsdag. Dette problemet med utskriftskø påvirker bare eldre systemer (Windows 8 og Server 2012), men vil kreve betydelig testing før distribusjon. Det er ikke et superkritisk sikkerhetsproblem, men potensialet for skriverbaserte problemer er stort. Ta deg god tid før du distribuerer denne.

Gitt antallet alvorlige utnyttelser og de tre null-dagene i mai, legg til denne månedens Windows-oppdatering til "Patch Now"-planen din.

Microsoft Office

Microsoft ga ut bare fire oppdateringer for Microsoft Office-plattformen (Excel, SharePoint) som alle er vurdert som viktige. Alle disse oppdateringene er vanskelige å utnytte (krever både brukerinteraksjon og lokal tilgang til målsystemet) og påvirker kun 32-biters plattformer. Legg til disse lavprofilerte, lavrisiko Office-oppdateringene til standard utgivelsesplanen din.

Microsoft Exchange Server

Microsoft ga ut en enkelt oppdatering til Exchange Server (CVE-2022-21978) som er vurdert som viktig og virker ganske vanskelig å utnytte. Dette sikkerhetsproblemet krever fullstendig autentisert tilgang til serveren, og så langt har det ikke vært noen rapporter om offentlig avsløring eller utnyttelse i naturen.

Enda viktigere denne måneden, introduserte Microsoft en ny metode for å oppdatere Microsoft Exchange-servere som nå inkluderer:

• Windows Installer-oppdateringsfil (.MSP), som fungerer best for automatiserte installasjoner.
• Selvutpakkende, automatisk heve installasjonsprogram (.exe), som fungerer best for manuelle installasjoner.

Dette er et forsøk på å løse problemet med Exchange-administratorer som oppdaterer serversystemene sine innenfor en ikke-admin-kontekst, noe som resulterer i en dårlig servertilstand. Det nye EXE-formatet gir mulighet for kommandolinjeinstallasjoner og bedre installasjonslogging. Microsoft har nyttig publisert følgende EXE-kommandolinjeeksempel:

"Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains"

Merk, Microsoft anbefaler at du har miljøvariabelen %Temp% før du bruker det nye EXE-installasjonsformatet. Hvis du følger den nye metoden for å bruke EXE til å oppdatere Exchange, husk at du fortsatt må (separat) distribuere den månedlige S.S.U. oppdater for å sikre at serverne dine er oppdatert. Legg til denne oppdateringen (eller EXE) til standard utgivelsesplan, og sørg for at en full omstart utføres når alle oppdateringer er fullført.

Microsoft utviklingsplattformer

Microsoft har gitt ut fem oppdateringer vurdert som viktige og en enkelt oppdatering med lav vurdering. Alle disse oppdateringene påvirker Visual Studio og .NET-rammeverket. Ettersom du skal oppdatere Visual Studio-forekomstene dine for å løse disse rapporterte sårbarhetene, anbefaler vi at du leser Visual Studio April oppdateringsveiledning.

For å finne ut mer om de spesifikke problemene som tas opp fra et sikkerhetsperspektiv, kan du Mai 2022 .NET-oppdatering på blogginnlegg vil være nyttig. Merker det.NET 5.0 har nå nådd slutten av støtten og før du oppgraderer til .NET 7, kan det være verdt å sjekke noe av kompatibiliteten eller "bryte endringer" som må løses. Legg til disse oppdateringene med middels risiko i standard oppdateringsplan.

Adobe (egentlig bare Reader)

Jeg tenkte at vi kanskje ser en trend. Ingen Adobe Reader-oppdateringer denne måneden. Når det er sagt, har Adobe gitt ut en rekke oppdateringer til andre produkter som finnes her: APSB22-21. La oss se hva som skjer i juni – kanskje vi kan trekke oss tilbake både Adobe Reader og IE.