Mays Patch Tuesday-uppdateringar gör brådskande patchning ett måste

Den senaste veckans Patch Tuesday började med 73 uppdateringar, men slutade (hittills) med tre revisioner och ett sent tillägg (CVE-2022-30138) för totalt 77 sårbarheter som åtgärdats denna månad. Jämfört med den breda uppsättningen av uppdateringar som släpptes i april, ser vi att det är mer brådskande att patcha Windows – särskilt med tre nolldagar och flera mycket allvarliga brister i nyckelserver- och autentiseringsområden. Utbyte kommer att kräva uppmärksamhet också pga ny serveruppdateringsteknik.

Det fanns inga uppdateringar denna månad för Microsofts webbläsare och Adobe Reader. Och Windows 10 20H2 (vi visste knappt att ni) är nu utan stöd.

Du kan hitta mer information om riskerna med att distribuera dessa Patch Tuesday-uppdateringar i denna användbara infografik, och MSRC Center har publicerat en bra översikt över hur det hanterar säkerhetsuppdateringar här..

Viktiga testscenarier

Med tanke på det stora antalet ändringar som ingår i denna patchcykel i maj, har jag delat upp testscenarierna i högrisk- och standardriskgrupper:

Hög risk: Dessa ändringar kommer sannolikt att inkludera funktionalitetsändringar, kan fasa ut befintliga funktioner och kommer sannolikt att kräva att nya testplaner skapas:

• Testa ditt företags CA-certifikat (både nya och förnyade). Din domänserver KDC kommer automatiskt att validera de nya tilläggen som ingår i den här uppdateringen. Leta efter misslyckade valideringar!
• Den här uppdateringen inkluderar en ändring av drivrutinssignaturer som nu inkluderar tidsstämpelkontroll samt autentikodsignaturer. Signerade drivrutiner ska laddas. Osignerade drivrutiner bör inte. Kontrollera att dina applikationstestkörningar för misslyckade drivrutinladdningar. Inkludera kontroller för signerade EXE:er och DLL:er också.

Följande ändringar är inte dokumenterade som inkluderande funktionsändringar, men kommer fortfarande att kräva minst "rökprovning” före allmän distribution av Mays patchar:

• Testa dina VPN-klienter när du använder dem RRAS servrar: inkludera ansluta, koppla från (med alla protokoll: PPP/PPTP/SSTP/IKEv2).
• Testa att dina EMF-filer öppnas som förväntat.
• Testa din Windows-adressbok (WAB) applikationsberoenden.
• Testa BitLocker: starta/stoppa dina maskiner med BitLocker aktiverad och sedan inaktiverad.
• Verifiera att dina referenser är tillgängliga via VPN (se Microsoft Credential Manager).
• Testa din V4 skrivardrivrutiner (speciellt med den senare ankomsten av CVE-2022-30138). 

Denna månads testning kommer att kräva flera omstarter av dina testresurser och bör inkludera både (BIOS/UEFI) virtuella och fysiska maskiner.

Kända problem

Microsoft inkluderar en lista över kända problem som påverkar operativsystemet och plattformarna som ingår i den här uppdateringscykeln:

• Efter installation av denna månads uppdatering kan Windows-enheter som använder vissa GPU:er orsaka apps att stänga oväntat, eller generera en undantagskod (0xc0000094 i modulen d3d9on12.dll) i apps använder Direct3D version 9. Microsoft har publicerat en KIR grupppolicyuppdatering för att lösa det här problemet med följande GPO-inställningar: Ladda ner för Windows 10, version 2004, Windows 10, version 20H2, Windows 10, version 21H1 och Windows 10, version 21H2.
• Efter att ha installerat uppdateringar släppta 11 januari 2022 eller senare, apps som använder Microsoft .NET Framework för att förvärva eller ställa in Active Directory Forest Trust Information kan misslyckas eller generera ett åtkomstfel (0xc0000005). Det verkar som om applikationer som är beroende av System.DirectoryServices API Är påverkade.

Microsoft har verkligen höjt sitt spel när de diskuterar de senaste korrigeringarna och uppdateringarna för den här utgåvan med en användbar uppdatera höjdpunkter video.

Större revisioner

Även om det finns en mycket reducerad lista över patchar den här månaden jämfört med april, har Microsoft släppt tre versioner inklusive:

• CVE-2022-1096: Chromium: CVE-2022-1096 Typ Confusion i V8. Den här patchen i mars har uppdaterats för att inkludera stöd för den senaste versionen av Visual Studio (2022) för att möjliggöra uppdaterad rendering av webview2-innehåll. Ingen ytterligare åtgärd krävs.
• CVE-2022-24513: Visual Studio Elevation of Privilege Vulnerability. Denna april-patch har uppdaterats för att inkludera ALLA versioner av Visual Studio som stöds (15.9 till 17.1). Tyvärr kan den här uppdateringen kräva en del applikationstestning för ditt utvecklingsteam, eftersom det påverkar hur webview2-innehåll renderas.
• CVE-2022-30138: Sårbarhet i Windows Print Spooler Elevation of Privilege. Detta är endast en informationsändring. Ingen ytterligare åtgärd krävs.

Åtgärder och lösningar

För maj har Microsoft publicerat en viktig begränsning för en allvarlig sårbarhet i Windows-nätverksfilsystem:

• CVE-2022-26937: Sårbarhet för exekvering av fjärrkod i Windows nätverksfilsystem. Du kan mildra en attack genom att inaktivera NFSV2 och NFSV3. Följande PowerShell-kommando kommer att inaktivera dessa versioner: "PS C:Set-NfsServerConfiguration -EnableNFSV2 $false -EnableNFSV3 $false." När det är gjort. du måste starta om din NFS-server (eller helst starta om maskinen). Och för att bekräfta att NFS-servern har uppdaterats korrekt, använd PowerShell-kommandot "PS C:Get-NfsServerConfiguration."

Varje månad delar vi upp uppdateringscykeln i produktfamiljer (enligt definitionen av Microsoft) med följande grundläggande grupperingar: 

• Webbläsare (Microsoft IE och Edge);
• Microsoft Windows (både skrivbord och server);
• Microsoft Office;
• Microsoft Exchange;
• Microsofts utvecklingsplattformar ( ASP.NET Core, .NET Core och Chakra Core);
• Adobe (pensionerad???, kanske nästa år).

Webbläsare

Microsoft har inte släppt några uppdateringar till varken sina äldre (IE) eller Chromium (Edge) webbläsare denna månad. Vi ser en nedåtgående trend av antalet kritiska problem som har plågat Microsoft under det senaste decenniet. Min känsla är att att flytta till Chromium-projektet har varit en klar "super plus-plus win-win" för både utvecklingsteamet och användarna.

På tal om äldre webbläsare måste vi förbereda oss för pensionering av IE kommer i mitten av juni. Med "förbereda" menar jag fira — efter att vi naturligtvis har säkerställt det arvet apps har inte explicita beroenden av den gamla IE-renderingsmotorn. Vänligen lägg till "fira pensioneringen av IE" i ditt webbläsarimplementeringsschema. Dina användare kommer att förstå.

Windows

Windows-plattformen får sex viktiga uppdateringar den här månaden och 56 patchar bedöms som viktiga. Tyvärr har vi tre zero-day-exploater också:

• CVE-2022-22713: Denna offentligt avslöjade sårbarhet i Microsofts Hyper-V-virtualiseringsplattform kommer att kräva att en angripare framgångsrikt utnyttjar ett internt race-tillstånd för att leda till ett potentiellt överbelastningsscenario. Det är en allvarlig sårbarhet, men kräver att flera sårbarheter kopplas samman för att lyckas.
• CVE-2022-26925: Både offentligt avslöjade och rapporterade som exploaterade i det vilda, detta LSA-autentiseringsproblem är ett verkligt bekymmer. Det kommer att vara lätt att patcha, men testprofilen är stor, vilket gör det svårt att implementera snabbt. Förutom att testa din domänautentisering, se till att funktionerna för säkerhetskopiering (och återställning) fungerar som förväntat. Vi rekommenderar starkt att du kontrollerar det senaste Microsoft supportanteckningar på detta pågående fråga.
• CVE-2022-29972: Denna offentligt avslöjade sårbarhet i röttshift ODBC drivrutinen är ganska specifik för Synapse-applikationer. Men om du har exponering för någon av de Azure Synapse RBAC roller, är implementeringen av den här uppdateringen en högsta prioritet.

Utöver dessa nolldagsfrågor finns det tre andra frågor som kräver din uppmärksamhet:

• CVE-2022-26923: denna sårbarhet i Active Directory-autentisering är inte riktigt "maskbar” men är så lätt att utnyttja att jag inte skulle bli förvånad över att se den aktivt attackerad soon. När denna sårbarhet väl har blivit utsatt kommer den att ge åtkomst till hela din domän. Insatserna är höga med denna.
• CVE-2022-26937: Denna nätverksfilsystemfel har betyget 9.8 – en av de högsta rapporterade i år. NFS är inte aktiverat som standard, men om du har Linux eller Unix i ditt nätverk så använder du det troligen. Fixa det här problemet, men vi rekommenderar också att du uppgraderar till NFSv4.1 as soon som möjligt.
• CVE-2022-30138: Den här patchen släpptes efter Patch Tuesday. Det här problemet med utskriftsspooler påverkar bara äldre system (Windows 8 och Server 2012) men kommer att kräva omfattande tester innan distribution. Det är inte ett superkritiskt säkerhetsproblem, men potentialen för skrivarbaserade problem är stor. Ta dig tid innan du distribuerar den här.

Med tanke på antalet allvarliga utnyttjande och de tre nolldagarna i maj, lägg till månadens Windows-uppdatering till ditt "Patch Now"-schema.

Microsoft Office

Microsoft släppte bara fyra uppdateringar för Microsoft Office-plattformen (Excel, SharePoint) som alla är viktiga. Alla dessa uppdateringar är svåra att utnyttja (kräver både användarinteraktion och lokal åtkomst till målsystemet) och påverkar endast 32-bitars plattformar. Lägg till dessa lågprofilerade Office-uppdateringar med låg risk till ditt standardutgivningsschema.

Microsoft Exchange Server

Microsoft släppte en enda uppdatering till Exchange Server (CVE-2022-21978) som bedöms som viktigt och verkar ganska svårt att utnyttja. Denna sårbarhet för höjning av privilegier kräver fullständigt autentiserad åtkomst till servern, och hittills har det inte förekommit några rapporter om offentligt avslöjande eller utnyttjande i naturen.

Ännu viktigare denna månad introducerade Microsoft en ny metod för att uppdatera Microsoft Exchange-servrar som nu inkluderar:

• Windows Installer korrigeringsfil (.MSP), som fungerar bäst för automatiserade installationer.
• Självextraherande, automatiskt höjande installationsprogram (.exe), som fungerar bäst för manuella installationer.

Detta är ett försök att lösa problemet med Exchange-administratörer som uppdaterar sina serversystem i ett icke-admin-sammanhang, vilket resulterar i ett dåligt servertillstånd. Det nya EXE-formatet möjliggör kommandoradsinstallationer och bättre installationsloggning. Microsoft har till hjälp publicerat följande EXE kommandoradsexempel:

“Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains”

Observera att Microsoft rekommenderar att du har miljövariabeln %Temp% innan du använder det nya EXE-installationsformatet. Om du följer den nya metoden att använda EXE för att uppdatera Exchange, kom ihåg att du fortfarande måste (separat) distribuera den månatliga SSU uppdatera för att säkerställa att dina servrar är uppdaterade. Lägg till den här uppdateringen (eller EXE) till ditt standardversionsschema, och se till att en fullständig omstart görs när alla uppdateringar är klara.

Microsofts utvecklingsplattformar

Microsoft har släppt fem uppdateringar som klassats som viktiga och en enda patch med lågt betyg. Alla dessa patchar påverkar Visual Studio och .NET-ramverket. Eftersom du kommer att uppdatera dina Visual Studio-instanser för att åtgärda dessa rapporterade sårbarheter rekommenderar vi att du läser Uppdateringsguide för Visual Studio april.

För att ta reda på mer om de specifika frågor som tas upp ur ett säkerhetsperspektiv, Maj 2022 .NET-uppdateringsblogginlägg kommer att vara användbart. Noterar att .NET 5.0 har nu nått slutet av stödet och innan du uppgraderar till .NET 7 kan det vara värt att kontrollera en del av kompatibiliteten eller "bryter förändringar" som måste åtgärdas. Lägg till dessa medelriskuppdateringar till ditt vanliga uppdateringsschema.

Adobe (egentligen bara Reader)

Jag tänkte att vi kanske ser en trend. Inga Adobe Reader-uppdateringar för denna månad. Som sagt, Adobe har släppt ett antal uppdateringar till andra produkter som finns här: APSB22-21. Låt oss se vad som händer i juni — vi kanske kan gå i pension båda Adobe Reader och IE.