Обновления майского вторника делают срочное исправление обязательным

Вторник исправлений на прошлой неделе начался с 73 обновлений, но закончился (пока) тремя ревизиями и поздним добавлением (CVE-2022-30138), всего в этом месяце было устранено 77 уязвимостей. По сравнению с широким набором обновлений, выпущенных в апреле, мы видим большую срочность в исправлении Windows, особенно в связи с тремя нулевыми днями и несколькими очень серьезными недостатками в ключевых областях сервера и аутентификации. Exchange также потребует внимания из-за новая технология обновления серверов.

В этом месяце не было обновлений для браузеров Microsoft и Adobe Reader. А Windows 10 20H2 (мы едва ли знали вас) больше не поддерживается.

Дополнительную информацию о рисках, связанных с развертыванием этих обновлений «Вторник исправлений», см. эта полезная инфографика, и Центр MSRC опубликовал хороший обзор того, как он обрабатывает обновления безопасности. здесь.

Ключевые сценарии тестирования

Учитывая большое количество изменений, включенных в этот майский цикл исправлений, я разбил сценарии тестирования на группы высокого и стандартного риска:

Высокий риск: Эти изменения, вероятно, будут включать в себя изменения функциональности, могут привести к устареванию существующих функций и, вероятно, потребуют создания новых планов тестирования:

• Протестируйте сертификаты ЦС вашего предприятия (как новые, так и обновленные). Ваш доменный сервер KDC автоматически проверит новые расширения, включенные в это обновление. Ищите неудачные проверки!
• Это обновление включает в себя изменения в подписях драйверов, которые теперь включают проверку временных меток, а также подписи аутентификации. Подписанные драйверы должны загрузиться. Неподписанных драйверов быть не должно. Проверьте тестовые прогоны вашего приложения на наличие неудачных загрузок драйверов. Также включите проверки подписанных EXE и DLL.

Следующие изменения не задокументированы как включающие функциональные изменения, но все равно потребуют как минимум «тестирование дыма” перед общим развертыванием майских исправлений:

• Проверьте свои VPN-клиенты при использовании RRAS серверы: включить подключение, отключить (используя все протоколы: PPP/PPTP/SSTP/IKEv2).
• Убедитесь, что ваши файлы EMF открываются должным образом.
• Проверьте адресную книгу Windows (WAB) зависимости приложения.
• Протестируйте BitLocker: запускайте/останавливайте свои машины с помощью BitLocker включена, а затем отключена.
• Убедитесь, что ваши учетные данные доступны через VPN (см. Диспетчер учетных данных Майкрософт).
• Проверьте Драйверы принтера V4 (особенно с более поздним приходом CVE-2022-30138). 

Тестирование в этом месяце потребует нескольких перезагрузок ваших тестовых ресурсов и должно включать как виртуальные, так и физические машины (BIOS/UEFI).

известные проблемы

Microsoft включает список известных проблем, влияющих на операционную систему и платформы, включенные в этот цикл обновления:

• После установки обновления этого месяца устройства Windows, использующие определенные графические процессоры, могут вызвать apps неожиданно закрыться или сгенерировать код исключения (0xc0000094 в модуле d3d9on12.dll) в apps с использованием Direct3D версии 9. Microsoft опубликовала КИР обновление групповой политики для решения этой проблемы со следующими параметрами GPO: Загрузка для Windows 10 версии 2004, Windows 10 версии 20H2, Windows 10 версии 21H1 и Windows 10 версии 21H2.
• После установки обновлений, выпущенных 11 января 2022 г. или позже, apps которые используют Microsoft .NET Framework для получения или установки информации о доверии леса Active Directory, может завершиться ошибкой или вызвать ошибку нарушения доступа (0xc0000005). Похоже, что приложения, зависящие от API System.DirectoryServices находятся под влиянием.

Microsoft действительно усилила свою игру, обсуждая последние исправления и обновления для этого выпуска с полезным обновить основные моменты видео.

Основные изменения

Хотя в этом месяце список исправлений значительно сократился по сравнению с апрелем, Microsoft выпустила три версии, в том числе:

• CVE-2022-1096: Chromium: путаница типов CVE-2022-1096 в V8. Этот мартовский патч был обновлен, чтобы включить поддержку последней версии Visual Studio (2022), чтобы обеспечить обновленный рендеринг контента webview2. Никаких дальнейших действий не требуется.
• CVE-2022-24513: Уязвимость Visual Studio, связанная с несанкционированным получением прав. Этот апрельский патч был обновлен и теперь включает ВСЕ поддерживаемые версии Visual Studio (от 15.9 до 17.1). К сожалению, это обновление может потребовать некоторого тестирования приложения для вашей команды разработчиков, так как оно влияет на то, как отображается содержимое webview2.
• CVE-2022-30138: Уязвимость диспетчера очереди печати Windows, связанная с повышением привилегий. Это только информационное изменение. Никаких дальнейших действий не требуется.

Смягчения и обходные пути

В мае Microsoft опубликовала одно ключевое средство защиты от серьезной уязвимости сетевой файловой системы Windows:

• CVE-2022-26937: Уязвимость сетевой файловой системы Windows, связанная с удаленным выполнением кода. Вы можете смягчить атаку, отключив НФСВ2 и НФСВ3. Следующая команда PowerShell отключит эти версии: «PS C:Set-NfsServerConfiguration -EnableNFSV2 $false -EnableNFSV3 $false». Один раз сделал. вам нужно будет перезапустить сервер NFS (или, что предпочтительнее, перезагрузить машину). А чтобы убедиться, что сервер NFS был обновлен правильно, используйте команду PowerShell «PS C:Get-NfsServerConfiguration».

Каждый месяц мы разбиваем цикл обновления на семейства продуктов (согласно определению Microsoft) со следующими основными группами: 

• Браузеры (Microsoft IE и Edge);
• Microsoft Windows (как настольная, так и серверная);
• Майкрософт офис;
• Обмен Майкрософт;
• Платформы разработки Майкрософт ( ASP.NET Core, .NET Core и Chakra Core);
• Adobe (на пенсии???, может быть, в следующем году).

Браузеры

В этом месяце Microsoft не выпускала никаких обновлений ни для своих устаревших (IE), ни для Chromium (Edge) браузеров. Мы наблюдаем тенденцию к снижению количества критических проблем, с которыми Microsoft столкнулась за последнее десятилетие. Я чувствую, что переход на проект Chromium был определенным «супер плюс плюс беспроигрышный вариант» как для команды разработчиков, так и для пользователей.

Говоря о устаревших браузерах, нам нужно подготовиться к выход на пенсию IE придет в середине июня. Под «подготовкой» я подразумеваю празднование — после того, как, конечно, мы обеспечим это наследие apps не имеют явных зависимостей от старого механизма рендеринга IE. Пожалуйста, добавьте «Отпразднуйте выход IE из эксплуатации» в расписание развертывания вашего браузера. Ваши пользователи поймут.

Windows

Платформа Windows получила шесть критических обновлений в этом месяце и 56 исправлений, оцененных как важные. К сожалению, у нас также есть три эксплойта нулевого дня:

• CVE-2022-22713: Эта публично раскрытая уязвимость в платформе виртуализации Microsoft Hyper-V потребует от злоумышленника успешного использования состояния внутренней гонки, чтобы привести к потенциальному сценарию отказа в обслуживании. Это серьезная уязвимость, но для успеха требуется объединение нескольких уязвимостей.
• CVE-2022-26925: Публично обнародовано и заявлено как эксплуатируемое в дикой природе. Проблема аутентификации LSA является реальной проблемой. Это будет легко исправить, но профиль тестирования большой, что затрудняет быстрое развертывание. В дополнение к проверке подлинности вашего домена убедитесь, что функции резервного копирования (и восстановления) работают должным образом. Мы настоятельно рекомендуем проверять последние Примечания службы поддержки Майкрософт На этой текущий вопрос.
• CVE-2022-29972: Эта публично раскрытая уязвимость в Redshift ODBC драйвер довольно специфичен для приложений Synapse. Но если вы столкнулись с каким-либо из RBAC Azure синапса ролей, развертывание этого обновления является высшим приоритетом.

В дополнение к этим проблемам нулевого дня есть еще три проблемы, требующие вашего внимания:

• CVE-2022-26923: эта уязвимость в аутентификации Active Directory не совсем «wormable», но его так легко использовать, я не удивлюсь, увидев, что его активно атакуют soon. После компрометации эта уязвимость предоставит доступ ко всему вашему домену. Ставки высоки с этим.
• CVE-2022-26937: эта ошибка сетевой файловой системы имеет рейтинг 9.8 — один из самых высоких показателей, зарегистрированных в этом году. NFS не включен по умолчанию, но если в вашей сети есть Linux или Unix, вы, вероятно, используете его. Устраните эту проблему, но мы также рекомендуем выполнить обновление до НФСv4.1 as soon насколько это возможно.
• CVE-2022-30138: этот патч был выпущен после вторника исправлений. Эта проблема с диспетчером очереди печати затрагивает только более старые системы (Windows 8 и Server 2012), но перед развертыванием требуется серьезное тестирование. Это не очень критическая проблема безопасности, но вероятность проблем с принтером велика. Не торопитесь, прежде чем развертывать это.

Учитывая количество серьезных эксплойтов и три нулевых дня в мае, добавьте обновление Windows в этом месяце в расписание «Исправление сейчас».

Microsoft Office

Microsoft выпустила всего четыре обновления для платформы Microsoft Office (Excel, SharePoint), и все они признаны важными. Все эти обновления сложно использовать (требуется как взаимодействие с пользователем, так и локальный доступ к целевой системе), и они затрагивают только 32-разрядные платформы. Добавьте эти низкопрофильные обновления Office с низким уровнем риска в свой стандартный график выпуска.

Microsoft Exchange Server

Microsoft выпустила одно обновление для Exchange Server (CVE-2022-21978), который оценивается как важный и кажется довольно сложным для использования. Эта уязвимость, связанная с повышением привилегий, требует полностью аутентифицированного доступа к серверу, и до сих пор не было никаких сообщений о публичном раскрытии или использовании в дикой природе.

Что еще более важно, в этом месяце Microsoft представила новый метод обновления серверов Microsoft Exchange который теперь включает:

• Файл исправления установщика Windows (.MSP), который лучше всего подходит для автоматической установки.
• Самораспаковывающийся установщик с автоматическим повышением прав (.exe), который лучше всего подходит для ручной установки.

Это попытка решить проблему, когда администраторы Exchange обновляют свои серверные системы в контексте, не являющемся администратором, что приводит к плохому состоянию сервера. Новый формат EXE позволяет выполнять установку из командной строки и лучше вести журнал установки. Microsoft любезно опубликовала следующий пример командной строки EXE:

«Setup.exe/IAcceptExchangeServerLicenseTerms_DiagnosticDataON/PrepareAllDomains»

Обратите внимание: Microsoft рекомендует использовать переменную среды %Temp% перед использованием нового формата установки EXE. Если вы будете следовать новому методу использования EXE-файла для обновления Exchange, помните, что вам все равно придется (отдельно) развертывать ежемесячный SSU update, чтобы убедиться, что ваши серверы обновлены. Добавьте это обновление (или EXE) в свой стандартный график выпуска, обеспечив полную перезагрузку после завершения всех обновлений.

Платформы разработки Майкрософт

Microsoft выпустила пять важных обновлений и одно исправление с низким рейтингом. Все эти исправления затрагивают Visual Studio и платформу .NET. Поскольку вы будете обновлять свои экземпляры Visual Studio для устранения этих обнаруженных уязвимостей, мы рекомендуем вам прочитать Руководство по апрельскому обновлению Visual Studio.

Чтобы узнать больше о конкретных проблемах, решаемых с точки зрения безопасности, Публикация в блоге об обновлении .NET за май 2022 г. будет полезно. Отметив это.NET 5.0 подошла к концу поддержка и перед обновлением до .NET 7, возможно, стоит проверить совместимость или «переломные изменения», которые необходимо решить. Добавьте эти обновления со средним уровнем риска в свой стандартный график обновлений.

Adobe (на самом деле просто Reader)

Я думал, что мы можем наблюдать тенденцию. В этом месяце нет обновлений Adobe Reader. Тем не менее, Adobe выпустила ряд обновлений для других продуктов, найденных здесь: APSB22-21. Посмотрим, что будет в июне — может, уйдем на пенсию изоферменты печени Adobe Reader и IE.