V májových aktualizáciách Patch Tuesday je urgentná oprava nevyhnutnosťou

Tento minulý týždeň Patch Tuesday začal so 73 aktualizáciami, ale skončil (zatiaľ) tromi revíziami a neskorým pridaním (CVE-2022 30138,) pre celkovo 77 zraniteľností riešených tento mesiac. V porovnaní so širokou škálou aktualizácií vydaných v apríli vidíme väčšiu naliehavosť pri opravovaní systému Windows – najmä s tromi nultými dňami a niekoľkými veľmi vážnymi chybami v kľúčových oblastiach serverov a autentifikácie. Výmena si bude vyžadovať pozornosť aj kvôli nová technológia aktualizácie servera.

Tento mesiac neboli k dispozícii žiadne aktualizácie pre prehliadače Microsoft a Adobe Reader. A Windows 10 20H2 (sotva sme vás poznali) už nie je podporovaný.

Viac informácií o rizikách nasadenia týchto aktualizácií Patch Tuesday nájdete v túto užitočnú infografiku, a centrum MSRC zverejnilo dobrý prehľad o tom, ako spracováva aktualizácie zabezpečenia tu.

Kľúčové scenáre testovania

Vzhľadom na veľký počet zmien zahrnutých v tomto májovom opravnom cykle som scenáre testovania rozdelil do skupín s vysokým a štandardným rizikom:

Vysoké riziko: Tieto zmeny budú pravdepodobne zahŕňať zmeny funkčnosti, môžu ukončiť podporu existujúcich funkcií a pravdepodobne si budú vyžadovať vytvorenie nových testovacích plánov:

• Otestujte svoje podnikové certifikáty CA (nové aj obnovené). Server vašej domény KDC automaticky overí nové rozšírenia zahrnuté v tejto aktualizácii. Hľadajte neúspešné overenia!
• Táto aktualizácia zahŕňa zmenu podpisov ovládačov, ktoré teraz zahŕňajú aj kontrolu časových pečiatok autentické podpisy. Mali by sa načítať podpísané ovládače. Nepodpísané ovládače by nemali. Skontrolujte, či vaše testovacie behy aplikácie nevykazujú neúspešné načítanie ovládača. Zahrňte aj kontroly podpísaných súborov EXE a DLL.

Nasledujúce zmeny nie sú zdokumentované ako funkčné zmeny, ale stále si budú vyžadovať minimálne „testovanie dymu” pred všeobecným nasadením májových opráv:

• Pri používaní otestujte svojich klientov VPN RRAS servery: zahŕňajú pripojenie, odpojenie (pomocou všetkých protokolov: PPP/PPTP/SSTP/IKEv2).
• Otestujte, či sa vaše súbory EMF otvárajú podľa očakávania.
• Otestujte svoj adresár Windows (WAB) závislosti aplikácií.
• Otestujte BitLocker: spustite/zastavte svoje počítače pomocou BitLocker zapnuté a potom vypnuté.
• Overte, či sú vaše poverenia dostupné cez VPN (pozri Microsoft Credential Manager).
• Vyskúšajte svoje ovládače tlačiarne V4 (najmä s neskorším príchodom CVE-2022 30138,). 

Testovanie tohto mesiaca bude vyžadovať niekoľko reštartov vašich testovacích prostriedkov a malo by zahŕňať virtuálne aj fyzické počítače (BIOS/UEFI).

Známe problémy

Spoločnosť Microsoft zahŕňa zoznam známych problémov, ktoré ovplyvňujú operačný systém a platformy zahrnuté v tomto aktualizačnom cykle:

• Po inštalácii aktualizácie z tohto mesiaca môžu spôsobiť zariadenia so systémom Windows, ktoré používajú určité GPU apps neočakávane zavrieť alebo vygenerovať kód výnimky (0xc0000094 v module d3d9on12.dll) v apps pomocou Direct3D verzie 9. Spoločnosť Microsoft zverejnila a KIR aktualizácia skupinovej politiky na vyriešenie tohto problému pomocou nasledujúcich nastavení GPO: Stiahnuť pre Windows 10, verzia 2004, Windows 10, verzia 20H2, Windows 10, verzia 21H1 a Windows 10, verzia 21H2.
• Po nainštalovaní aktualizácií vydaných 11. januára 2022 alebo neskôr, apps ktoré používajú Microsoft .NET Framework na získanie alebo nastavenie Active Directory Forest Trust Information, môže zlyhať alebo vygenerovať chybu narušenia prístupu (0xc0000005). Zdá sa, že aplikácie, ktoré závisia od System.DirectoryServices API sú ovplyvnené.

Spoločnosť Microsoft skutočne zlepšila svoju hru, keď diskutovala o najnovších opravách a aktualizáciách pre toto vydanie s užitočným aktualizovať zvýraznenia video.

Hlavné revízie

Aj keď je tento mesiac v porovnaní s aprílom oveľa menší zoznam opráv, spoločnosť Microsoft vydala tri revízie vrátane:

• CVE-2022 1096,: Chromium: CVE-2022-1096 Type Confusion in V8. Táto marcová oprava bola aktualizovaná, aby zahŕňala podporu pre najnovšiu verziu Visual Studio (2022), aby umožnila aktualizované vykresľovanie obsahu webview2. Nevyžadujú sa žiadne ďalšie kroky.
• CVE-2022 24513,: Visual Studio Elevation of Privilege Vulnerability. Táto aprílová oprava bola aktualizovaná tak, aby zahŕňala VŠETKY podporované verzie Visual Studio (15.9 až 17.1). Bohužiaľ, táto aktualizácia môže vyžadovať určité testovanie aplikácií pre váš vývojový tím, pretože ovplyvňuje spôsob vykresľovania obsahu webview2.
• CVE-2022 30138,: Zraniteľnosť zvýšenia úrovne oprávnenia zaraďovača tlače systému Windows. Toto je len informatívna zmena. Nevyžadujú sa žiadne ďalšie kroky.

Zmiernenia a riešenia

V máji spoločnosť Microsoft zverejnila jedno kľúčové zmiernenie závažnej zraniteľnosti sieťového súborového systému Windows:

• CVE-2022 26937,: Chyba zabezpečenia vzdialeného spustenia kódu v sieťovom súborovom systéme Windows. Útok môžete zmierniť deaktiváciou NFSV2 a NFSV3. Nasledujúci príkaz PowerShell zakáže tieto verzie: "PS C:Set-NfsServerConfiguration -EnableNFSV2 $false -EnableNFSV3 $false." Po dokončení. budete musieť reštartovať server NFS (alebo najlepšie reštartovať počítač). A na potvrdenie, že server NFS bol aktualizovaný správne, použite príkaz PowerShell „PS C:Get-NfsServerConfiguration“.

Každý mesiac rozdeľujeme aktualizačný cyklus do produktových rodín (definovaných spoločnosťou Microsoft) s nasledujúcimi základnými skupinami: 

• Prehliadače (Microsoft IE a Edge);
• Microsoft Windows (počítač aj server);
• Microsoft Office;
• Microsoft Exchange;
• Vývojové platformy Microsoft ( ASP.NET Core, .NET Core a Chakra Core);
• Adobe (dôchodca???, možno budúci rok).

Prehliadače

Spoločnosť Microsoft tento mesiac nevydala žiadne aktualizácie svojich starších prehliadačov (IE) ani Chromium (Edge). Vidíme klesajúci trend v počte kritických problémov, ktoré trápili Microsoft za posledné desaťročie. Mám pocit, že prechod na projekt Chromium bol jednoznačným „super plus plus plus win-win“ pre vývojársky tím aj pre používateľov.

Keď už hovoríme o starších prehliadačoch, musíme sa pripraviť na odchod do dôchodku IE príde v polovici júna. Pod pojmom „pripraviť“ mám na mysli oslavu – potom, čo sme, samozrejme, zabezpečili toto dedičstvo apps nemajú explicitné závislosti od starého vykresľovacieho jadra IE. Do plánu nasadenia prehliadača pridajte „Oslávte vyradenie IE“. Vaši používatelia to pochopia.

Windows

Platforma Windows dostáva tento mesiac šesť kritických aktualizácií a 56 opráv hodnotených ako dôležité. Bohužiaľ, máme aj tri zero-day exploity:

• CVE-2022 22713,: Táto verejne zverejnená zraniteľnosť virtualizačnej platformy Hyper-V od spoločnosti Microsoft bude vyžadovať, aby útočník úspešne zneužil internú rasovú podmienku, ktorá by viedla k potenciálnemu scenáru odmietnutia služby. Je to vážna zraniteľnosť, ale na úspech si vyžaduje reťazenie niekoľkých zraniteľností.
• CVE-2022 26925,: Verejne zverejnené a hlásené ako využívané vo voľnej prírode, toto Problém s autentifikáciou LSA je skutočným problémom. Bude ľahké ho opraviť, ale testovací profil je veľký, takže je ťažké ho rýchlo nasadiť. Okrem testovania autentifikácie domény sa uistite, že funkcie zálohovania (a obnovy) fungujú podľa očakávania. Dôrazne odporúčame skontrolovať najnovšie Poznámky podpory spoločnosti Microsoft Na toto prebiehajúci problém.
• CVE-2022 29972,: Táto verejne zverejnená zraniteľnosť v červených číslachshift ODBC ovládač je dosť špecifický pre aplikácie Synapse. Ale ak ste vystavení niektorej z Azure Synapse RBAC rolí, nasadenie tejto aktualizácie je najvyššou prioritou.

Okrem týchto problémov nultého dňa existujú tri ďalšie problémy, ktoré si vyžadujú vašu pozornosť:

• CVE-2022 26923,: táto zraniteľnosť v autentifikácii služby Active Directory nie je celkom „červivý“, ale je tak ľahko zneužiteľný, neprekvapilo by ma, keby bol aktívne napadnutý soon. Po napadnutí vám táto chyba zabezpečenia poskytne prístup k celej vašej doméne. V tomto prípade sú stávky vysoké.
• CVE-2022 26937,: Táto chyba Network File System má hodnotenie 9.8 – jedno z najvyšších hlásených v tomto roku. NFS nie je predvolene povolené, ale ak máte vo svojej sieti Linux alebo Unix, pravdepodobne ho používate. Opravte tento problém, ale odporúčame aj inováciu na NFSv4.1 as soon ako sa dá.
• CVE-2022 30138,: Táto oprava bola vydaná po oprave v utorok. Tento problém so zaraďovačom tlače sa týka iba starších systémov (Windows 8 a Server 2012), ale pred nasadením si bude vyžadovať značné testovanie. Nie je to mimoriadne kritický bezpečnostný problém, ale potenciál problémov s tlačiarňou je veľký. Urobte si čas pred nasadením tohto.

Vzhľadom na počet vážnych zneužití a troch nultých dní v máji pridajte tento mesiac aktualizáciu systému Windows do svojho plánu „Patch Now“.

Microsoft Office

Spoločnosť Microsoft vydala iba štyri aktualizácie pre platformu Microsoft Office (Excel, SharePoint), z ktorých všetky sú hodnotené ako dôležité. Všetky tieto aktualizácie sa ťažko využívajú (vyžadujú interakciu používateľa aj lokálny prístup k cieľovému systému) a ovplyvňujú iba 32-bitové platformy. Pridajte tieto nízkoprofilové aktualizácie balíka Office s nízkym rizikom do svojho štandardného plánu vydávania.

Microsoft Exchange Server

Microsoft vydal jednu aktualizáciu pre Exchange Server (CVE-2022 21978,), ktorý je hodnotený ako dôležitý a zdá sa, že je dosť ťažké ho využiť. Táto zraniteľnosť týkajúca sa zvýšenia privilégií vyžaduje plne overený prístup k serveru a zatiaľ sa neobjavili žiadne správy o zverejnení alebo zneužití vo voľnej prírode.

Ešte dôležitejšie je, že tento mesiac Microsoft predstavil novinku spôsob aktualizácie serverov Microsoft Exchange ktorý teraz zahŕňa:

• Opravný súbor Inštalátora systému Windows (.MSP), ktorý najlepšie funguje pri automatických inštaláciách.
• Samorozbaľovací, automaticky sa zdvíhajúci inštalačný program (.exe), ktorý najlepšie funguje pri manuálnych inštaláciách.

Toto je pokus o vyriešenie problému, keď správcovia Exchange aktualizujú svoje serverové systémy v kontexte, ktorý nie je správcom, čo má za následok zlý stav servera. Nový formát EXE umožňuje inštaláciu príkazového riadku a lepšie protokolovanie inštalácie. Spoločnosť Microsoft užitočne zverejnila nasledujúci príklad príkazového riadka EXE:

"Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains"

Poznámka: Microsoft odporúča, aby ste pred použitím nového inštalačného formátu EXE mali premennú prostredia %Temp%. Ak budete postupovať podľa novej metódy používania EXE na aktualizáciu Exchange, nezabudnite, že stále budete musieť (samostatne) nasadiť mesačné S.S.U. aktualizujte, aby ste sa uistili, že vaše servery sú aktuálne. Pridajte túto aktualizáciu (alebo EXE) do svojho štandardného plánu vydávania a zabezpečte, aby sa po dokončení všetkých aktualizácií vykonal úplný reštart.

Vývojové platformy Microsoft

Microsoft vydal päť aktualizácií hodnotených ako dôležité a jednu opravu s nízkym hodnotením. Všetky tieto záplaty ovplyvňujú Visual Studio a .NET framework. Keďže budete aktualizovať svoje inštancie Visual Studio, aby ste vyriešili tieto nahlásené chyby zabezpečenia, odporúčame vám prečítať si dokument Sprievodca aprílovou aktualizáciou Visual Studio.

Ak sa chcete dozvedieť viac o konkrétnych problémoch riešených z hľadiska bezpečnosti, Príspevok na blogu aktualizácie .NET z mája 2022 bude užitočné. Berúc na vedomie, že .NET 5.0 teraz dosiahol koniec podpory a pred inováciou na .NET 7 môže byť vhodné skontrolovať niektoré z kompatibility alebo „zlomové zmeny“, ktoré treba riešiť. Pridajte tieto stredne rizikové aktualizácie do svojho štandardného plánu aktualizácií.

Adobe (naozaj len Reader)

Myslel som, že by sme mohli vidieť trend. Pre tento mesiac nie sú k dispozícii žiadne aktualizácie programu Adobe Reader. Spoločnosť Adobe však vydala množstvo aktualizácií pre ďalšie produkty, ktoré nájdete tu: APSB22-21. Uvidíme, čo sa stane v júni – možno pôjdeme do dôchodku oba Adobe Reader a IE.