Actualizările de marți a patch-urilor din mai fac ca patch-urile urgente să fie obligatorie

Patch Tuesday de săptămâna trecută a început cu 73 de actualizări, dar s-a terminat (până acum) cu trei revizuiri și o adăugare târzie (CVE-2022-30138) pentru un total de 77 de vulnerabilități abordate luna aceasta. În comparație cu setul larg de actualizări lansat în aprilie, vedem o urgență mai mare în corecția Windows - în special cu trei zile zero și câteva defecte foarte grave în serverele cheie și zonele de autentificare. Schimbul va necesita atenție, de asemenea, din cauza noua tehnologie de actualizare a serverului.

Nu au existat actualizări luna aceasta pentru browserele Microsoft și Adobe Reader. Și Windows 10 20H2 (cu greu te știam) nu mai este acum suportat.

Puteți găsi mai multe informații despre riscurile implementării acestor actualizări Patch Tuesday în acest infografic util, iar Centrul MSRC a postat o prezentare generală bună a modului în care gestionează actualizările de securitate aici.

Scenarii cheie de testare

Având în vedere numărul mare de modificări incluse în acest ciclu de patch-uri din mai, am împărțit scenariile de testare în grupuri cu risc ridicat și grupuri cu risc standard:

Risc ridicat: Este posibil ca aceste modificări să includă modificări de funcționalitate, pot deprecia funcțiile existente și vor necesita probabil crearea de noi planuri de testare:

• Testați certificatele CA de întreprindere (atât noi, cât și reînnoite). Serverul dvs. de domeniu KDC va valida automat noile extensii incluse în această actualizare. Căutați validări nereușite!
• Această actualizare include o modificare a semnăturilor șoferului, care includ acum verificarea marcajului de timp, precum și semnături autentice. Driverele semnate ar trebui să se încarce. Driverele nesemnate nu ar trebui. Verificați rulările de testare a aplicației pentru încărcările eșuate ale driverului. Includeți și verificări pentru EXE și DLL-uri semnate.

Următoarele modificări nu sunt documentate ca includ modificări funcționale, dar vor necesita în continuare cel puțin „testarea fumului” înainte de implementarea generală a patch-urilor lui May:

• Testați clienții VPN atunci când utilizați RRAS servere: includ conectarea, deconectarea (folosind toate protocoalele: PPP/PPTP/SSTP/IKEv2).
• Testați dacă fișierele dvs. EMF se deschid așa cum vă așteptați.
• Testați agenda de adrese Windows (WAB) dependențe de aplicație.
• Testați BitLocker: porniți/opriți mașinile dvs. cu BitLocker activat și apoi dezactivat.
• Validați că acreditările dvs. sunt accesibile prin VPN (vezi Microsoft Credential Manager).
• Testați-vă Drivere de imprimantă V4 (mai ales cu sosirea ulterioară a CVE-2022-30138). 

Testarea din această lună va necesita mai multe reporniri ale resurselor dvs. de testare și ar trebui să includă atât mașini virtuale (BIOS/UEFI) cât și mașini fizice.

Probleme cunoscute

Microsoft include o listă de probleme cunoscute care afectează sistemul de operare și platformele incluse în acest ciclu de actualizare:

• După instalarea actualizării din această lună, dispozitivele Windows care folosesc anumite GPU-uri ar putea cauza apps pentru a închide în mod neașteptat sau pentru a genera un cod de excepție (0xc0000094 în modulul d3d9on12.dll) în apps folosind Direct3D Versiunea 9. Microsoft a publicat un KIR actualizare a politicii de grup pentru a rezolva această problemă cu următoarele setări GPO: Descărcați pentru Windows 10, versiunea 2004, Windows 10, versiunea 20H2, Windows 10, versiunea 21H1 și Windows 10, versiunea 21H2.
• După instalarea actualizărilor lansate pe 11 ianuarie 2022 sau mai târziu, apps care utilizează Microsoft .NET Framework pentru a achiziționa sau a seta informațiile de încredere Active Directory Forest ar putea eșua sau genera o eroare de încălcare a accesului (0xc0000005). Se pare că aplicațiile care depind de API System.DirectoryServices sunt afectate.

Microsoft și-a îmbunătățit cu adevărat jocul atunci când a discutat despre remedieri și actualizări recente pentru această versiune cu un util actualizați punctele importante video.

Revizii majore

Deși există o listă mult mai redusă de patch-uri luna aceasta comparativ cu aprilie, Microsoft a lansat trei revizuiri, inclusiv:

• CVE-2022-1096: Crom: CVE-2022-1096 Tip Confuzie în V8. Acest patch din martie a fost actualizat pentru a include suport pentru cea mai recentă versiune a Visual Studio (2022) pentru a permite redarea actualizată a conținutului webview2. Nu este necesară nicio acțiune suplimentară.
• CVE-2022-24513: Vulnerabilitatea la creșterea privilegiilor Visual Studio. Acest patch din aprilie a fost actualizat pentru a include TOATE versiunile acceptate de Visual Studio (15.9 - 17.1). Din păcate, această actualizare poate necesita unele teste de aplicație pentru echipa dvs. de dezvoltare, deoarece afectează modul în care este redat conținutul webview2.
• CVE-2022-30138: Vulnerabilitatea la creșterea privilegiilor în Spooler de imprimare Windows. Aceasta este doar o modificare informativă. Nu este necesară nicio acțiune suplimentară.

Atenuări și soluții

În luna mai, Microsoft a publicat o atenuare cheie pentru o vulnerabilitate gravă a sistemului de fișiere din rețea Windows:

• CVE-2022-26937: Vulnerabilitatea la execuția codului la distanță a sistemului de fișiere în rețea Windows. Puteți atenua un atac prin dezactivare NFSV2 și NFSV3. Următoarea comandă PowerShell va dezactiva acele versiuni: „PS C:Set-NfsServerConfiguration -EnableNFSV2 $false -EnableNFSV3 $false”. Odata facut. va trebui să reporniți serverul NFS (sau, de preferință, să reporniți mașina). Și pentru a confirma că serverul NFS a fost actualizat corect, utilizați comanda PowerShell „PS C:Get-NfsServerConfiguration”.

În fiecare lună, împărțim ciclul de actualizare în familii de produse (așa cum este definit de Microsoft) cu următoarele grupări de bază: 

• Browsere (Microsoft IE și Edge);
• Microsoft Windows (atât desktop, cât și server);
• Microsoft Office;
• Microsoft Exchange;
• Platforme de dezvoltare Microsoft ( ASP.NET Core, .NET Core și Chakra Core);
• Adobe (pensionat???, poate anul viitor).

Browsere

Microsoft nu a lansat nicio actualizare pentru browserele sale vechi (IE) sau Chromium (Edge) luna aceasta. Asistăm la o tendință de scădere a numărului de probleme critice care au afectat Microsoft în ultimul deceniu. Sentimentul meu este că trecerea la proiectul Chromium a fost un „super plus-plus câștig-câștig” atât pentru echipa de dezvoltare, cât și pentru utilizatori.

Vorbind despre browserele vechi, trebuie să ne pregătim pentru pensionarea IE venind la mijlocul lui iunie. Prin „pregătire” mă refer la sărbătorire – după ce, desigur, ne-am asigurat această moștenire apps nu au dependențe explicite de vechiul motor de randare IE. Vă rugăm să adăugați „Celebrați retragerea IE” la programul de implementare a browserului dvs. Utilizatorii tăi vor înțelege.

ferestre din

Platforma Windows primește șase actualizări critice luna aceasta și 56 de corecții considerate importante. Din păcate, avem și trei exploit-uri zero-day:

• CVE-2022-22713: Această vulnerabilitate dezvăluită public în platforma de virtualizare Hyper-V a Microsoft va necesita un atacator să exploateze cu succes o condiție internă de cursă pentru a duce la un potențial scenariu de refuzare a serviciului. Este o vulnerabilitate serioasă, dar necesită înlănțuirea mai multor vulnerabilități pentru a reuși.
• CVE-2022-26925: Ambele dezvăluite public și raportate ca fiind exploatate în sălbăticie, aceasta Problemă de autentificare LSA este o adevărată îngrijorare. Va fi ușor de corectat, dar profilul de testare este mare, ceea ce îl face dificil de implementat rapid. Pe lângă testarea autentificării domeniului dvs., asigurați-vă că funcțiile de backup (și restaurare) funcționează conform așteptărilor. Vă recomandăm cu căldură să verificați cele mai recente Note de asistență Microsoft pe aceasta problemă în curs de desfășurare.
• CVE-2022-29972: Această vulnerabilitate dezvăluită public în Redshift ODBC driverul este destul de specific aplicațiilor Synapse. Dar dacă aveți expunere la oricare dintre Azure Synapse RBAC rolurilor, implementarea acestei actualizări este o prioritate maximă.

Pe lângă aceste probleme de zi zero, există alte trei probleme care necesită atenția dvs.:

• CVE-2022-26923: această vulnerabilitate în autentificarea Active Directory nu este tocmai „viermeabil” dar este atât de ușor de exploatat, încât nu m-aș mira să îl văd atacat activ soon. Odată compromisă, această vulnerabilitate va oferi acces la întregul domeniu. Miza este mare cu aceasta.
• CVE-2022-26937: Această eroare a sistemului de fișiere în rețea are o evaluare de 9.8 – una dintre cele mai ridicate raportate în acest an. NFS nu este activat în mod implicit, dar dacă aveți Linux sau Unix în rețea, probabil că îl utilizați. Corectați această problemă, dar vă recomandăm și să faceți upgrade la NFSv4.1 as soon pe cat posibil.
• CVE-2022-30138: Acest patch a fost lansat după Patch Tuesday. Această problemă cu spoolerul de imprimare afectează numai sistemele mai vechi (Windows 8 și Server 2012), dar va necesita testare semnificativă înainte de implementare. Nu este o problemă de securitate super critică, dar potențialul pentru probleme bazate pe imprimantă este mare. Fă-ți timp înainte de a-l implementa pe acesta.

Având în vedere numărul de exploit-uri serioase și cele trei zile zero din mai, adăugați actualizarea Windows din această lună la programul dvs. „Patch Now”.

Microsoft Office

Microsoft a lansat doar patru actualizări pentru platforma Microsoft Office (Excel, SharePoint), toate considerate importante. Toate aceste actualizări sunt greu de exploatat (necesită atât interacțiunea utilizatorului, cât și acces local la sistemul țintă) și afectează doar platformele pe 32 de biți. Adăugați aceste actualizări Office cu profil redus și cu risc scăzut la programul dvs. standard de lansare.

Microsoft Exchange Server

Microsoft a lansat o singură actualizare pentru Exchange Server (CVE-2022-21978) care este considerat important și pare destul de greu de exploatat. Această vulnerabilitate de creștere a privilegiilor necesită acces complet autentificat la server și până acum nu au existat rapoarte de dezvăluire publică sau exploatare în sălbăticie.

Mai important, în această lună, Microsoft a introdus un nou metoda de actualizare a serverelor Microsoft Exchange care include acum:

• Fișierul de corecție Windows Installer (.MSP), care funcționează cel mai bine pentru instalări automate.
• Program de instalare autoextractabil, cu ridicare automată (.exe), care funcționează cel mai bine pentru instalări manuale.

Aceasta este o încercare de a rezolva problema administratorilor Exchange care își actualizează sistemele de server într-un context non-administrator, rezultând o stare proastă a serverului. Noul format EXE permite instalări în linie de comandă și o înregistrare mai bună a instalării. Microsoft a publicat cu ajutor următorul exemplu de linie de comandă EXE:

„Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains”

Rețineți, Microsoft vă recomandă să aveți variabila de mediu %Temp% înainte de a utiliza noul format de instalare EXE. Dacă urmați noua metodă de utilizare a EXE pentru a actualiza Exchange, rețineți că va trebui în continuare să implementați (separat) SSU actualizați pentru a vă asigura că serverele dvs. sunt actualizate. Adăugați această actualizare (sau EXE) la programul de lansare standard, asigurându-vă că se efectuează o repornire completă când toate actualizările sunt finalizate.

Platforme de dezvoltare Microsoft

Microsoft a lansat cinci actualizări considerate importante și un singur patch cu un rating scăzut. Toate aceste patch-uri afectează Visual Studio și framework-ul .NET. Deoarece vă veți actualiza instanțele Visual Studio pentru a aborda aceste vulnerabilități raportate, vă recomandăm să citiți Ghid de actualizare Visual Studio aprilie.

Pentru a afla mai multe despre problemele specifice abordate din punct de vedere al securității, Mai 2022 .NET actualizare postare pe blog va fi de folos. Constatând că.NET 5.0 a ajuns la finalul suportului și înainte de a face upgrade la .NET 7, ar putea merita să verificați unele dintre compatibilitatea sau „rupând schimbări” care trebuie abordate. Adăugați aceste actualizări cu risc mediu la programul de actualizare standard.

Adobe (de fapt doar Reader)

M-am gândit că s-ar putea să vedem o tendință. Nu există actualizări Adobe Reader pentru această lună. Acestea fiind spuse, Adobe a lansat o serie de actualizări pentru alte produse găsite aici: APSB22-21. Să vedem ce se întâmplă în iunie - poate ne putem pensiona atât Adobe Reader și IE.