การอัปเดต Patch Tuesday ของ May ทำให้ต้องมีการแก้ไขอย่างเร่งด่วน

Patch Tuesday ของสัปดาห์ที่แล้วเริ่มต้นด้วยการอัปเดต 73 รายการ แต่ลงเอยด้วย (จนถึงตอนนี้) โดยมีการแก้ไขสามรายการและการเพิ่มล่าช้า (CVE-2022-30138) รวม 77 ช่องโหว่ที่แก้ไขในเดือนนี้ เมื่อเทียบกับชุดอัปเดตกว้างๆ ที่เผยแพร่ในเดือนเมษายน เราเห็นความเร่งด่วนมากขึ้นในการแพตช์ Windows โดยเฉพาะอย่างยิ่งกับซีโร่เดย์สามตัวและข้อบกพร่องร้ายแรงหลายประการในเซิร์ฟเวอร์หลักและพื้นที่การตรวจสอบสิทธิ์ การแลกเปลี่ยนจะต้องให้ความสนใจด้วยเนื่องจาก เทคโนโลยีการอัพเดทเซิร์ฟเวอร์ใหม่.

เดือนนี้ไม่มีการอัปเดตสำหรับเบราว์เซอร์ Microsoft และ Adobe Reader และ Windows 10 20H2 (เราแทบไม่รู้จักคุณเลย) ก็ไม่ได้รับการสนับสนุนแล้ว

คุณสามารถค้นหาข้อมูลเพิ่มเติมเกี่ยวกับความเสี่ยงในการปรับใช้การอัปเดต Patch Tuesday ได้ใน อินโฟกราฟิกที่เป็นประโยชน์นี้, และ MSRC Center ได้โพสต์ภาพรวมที่ดีเกี่ยวกับวิธีจัดการกับการอัปเดตความปลอดภัย โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม.

สถานการณ์การทดสอบที่สำคัญ

เนื่องจากมีการเปลี่ยนแปลงจำนวนมากในแพทช์ประจำเดือนพฤษภาคมนี้ ฉันได้แบ่งสถานการณ์การทดสอบออกเป็นกลุ่มที่มีความเสี่ยงสูงและมีความเสี่ยงมาตรฐาน:

มีความเสี่ยงสูง: การเปลี่ยนแปลงเหล่านี้มีแนวโน้มที่จะรวมถึงการเปลี่ยนแปลงฟังก์ชันการทำงาน อาจเลิกใช้ฟังก์ชันที่มีอยู่แล้ว และมีแนวโน้มว่าจะต้องสร้างแผนการทดสอบใหม่:

• ทดสอบใบรับรอง CA ขององค์กรของคุณ (ทั้งใหม่และต่ออายุ) เซิร์ฟเวอร์โดเมนของคุณ KDC จะตรวจสอบส่วนขยายใหม่ที่รวมอยู่ในการอัปเดตนี้โดยอัตโนมัติ มองหาการตรวจสอบที่ล้มเหลว!
• การอัปเดตนี้รวมถึงการเปลี่ยนแปลงลายเซ็นของไดรเวอร์ซึ่งขณะนี้มีการตรวจสอบการประทับเวลาและ ลายเซ็นรับรองความถูกต้อง. ไดรเวอร์ที่ลงนามควรโหลด ไดรเวอร์ที่ไม่ได้ลงนามไม่ควร ตรวจสอบการทดสอบแอปพลิเคชันของคุณสำหรับการโหลดไดรเวอร์ที่ล้มเหลว รวมการตรวจสอบสำหรับ EXE และ DLL ที่ลงนามด้วย

การเปลี่ยนแปลงต่อไปนี้ไม่ได้ถูกบันทึกว่ารวมถึงการเปลี่ยนแปลงการทำงาน แต่จะยังคงต้องการอย่างน้อย “การทดสอบควัน” ก่อนการติดตั้งโปรแกรมแก้ไขของ May ทั่วไป:

• ทดสอบไคลเอนต์ VPN ของคุณเมื่อใช้ ร.ส เซิร์ฟเวอร์: รวมการเชื่อมต่อ ตัดการเชื่อมต่อ (โดยใช้โปรโตคอลทั้งหมด: PPP/PPTP/SSTP/IKEv2)
• ทดสอบว่าไฟล์ EMF ของคุณเปิดตามที่คาดไว้
• ทดสอบสมุดรายชื่อ Windows ของคุณ (WAB) การพึ่งพาแอปพลิเคชัน
• ทดสอบ BitLocker: เริ่ม/หยุดเครื่องของคุณด้วย BitLocker เปิดใช้งานแล้วปิดใช้งาน
• ตรวจสอบว่าข้อมูลประจำตัวของคุณสามารถเข้าถึงได้ผ่าน VPN (ดู ตัวจัดการข้อมูลประจำตัวของ Microsoft).
• ทดสอบของคุณ ไดรเวอร์เครื่องพิมพ์ V4 (โดยเฉพาะอย่างยิ่งกับการมาถึงภายหลังของ CVE-2022-30138). 

การทดสอบในเดือนนี้จะต้องมีการรีบูตแหล่งข้อมูลการทดสอบของคุณหลายครั้ง และควรมีทั้งเครื่องเสมือนและเครื่องจริง (BIOS/UEFI)

ปัญหาที่ทราบ

Microsoft มีรายการปัญหาที่ทราบซึ่งส่งผลต่อระบบปฏิบัติการและแพลตฟอร์มที่รวมอยู่ในรอบการอัปเดตนี้:

• หลังจากติดตั้งการอัปเดตของเดือนนี้ อุปกรณ์ Windows ที่ใช้ GPU บางตัวอาจทำให้เกิด apps เพื่อปิดโดยไม่คาดคิด หรือสร้างรหัสข้อยกเว้น (0xc0000094 ในโมดูล d3d9on12.dll) ใน apps โดยใช้ Direct3D เวอร์ชัน 9 Microsoft ได้เผยแพร่ a เคียร์ การอัปเดตนโยบายกลุ่มเพื่อแก้ไขปัญหานี้ด้วยการตั้งค่า GPO ต่อไปนี้: ดาวน์โหลดสำหรับ Windows 10 เวอร์ชัน 2004 Windows 10 เวอร์ชัน 20H2 Windows 10 เวอร์ชัน 21H1 และ Windows 10 เวอร์ชัน 21H2.
• หลังจากติดตั้งโปรแกรมปรับปรุงที่เผยแพร่เมื่อวันที่ 11 มกราคม 2022 หรือใหม่กว่า apps ที่ใช้ Microsoft .NET Framework เพื่อรับหรือตั้งค่า Active Directory Forest Trust Information อาจล้มเหลวหรือสร้างข้อผิดพลาดในการละเมิดการเข้าถึง (0xc0000005) ปรากฏว่าแอพพลิเคชั่นที่ขึ้นอยู่กับ System.DirectoryServices API ได้รับผลกระทบ

Microsoft ได้ปรับปรุงเกมจริงๆ เมื่อพูดถึงการแก้ไขและการอัปเดตล่าสุดสำหรับรุ่นนี้ด้วยโปรแกรมที่มีประโยชน์ อัพเดทไฮไลท์ วีดีโอ

การแก้ไขที่สำคัญ

แม้ว่าจะมีรายการแพตช์ที่ลดลงมากในเดือนนี้เมื่อเทียบกับเดือนเมษายน แต่ไมโครซอฟต์ได้เปิดตัวการแก้ไขสามรายการ ได้แก่:

• CVE-2022-1096: Chromium: CVE-2022-1096 Type Confusion ใน V8 แพตช์เดือนมีนาคมนี้ได้รับการอัปเดตเพื่อรวมการรองรับเวอร์ชันล่าสุดของ Visual Studio (2022) เพื่ออนุญาตการเรนเดอร์เนื้อหา webview2 ที่อัปเดตแล้ว ไม่ต้องดำเนินการใดๆ เพิ่มเติม
• CVE-2022-24513: Visual Studio ยกระดับช่องโหว่ของสิทธิ์ แพตช์เดือนเมษายนนี้ได้รับการอัปเดตเพื่อรวม Visual Studio เวอร์ชันที่รองรับทั้งหมด (15.9 ถึง 17.1) ขออภัย การอัปเดตนี้อาจต้องมีการทดสอบแอปพลิเคชันบางอย่างสำหรับทีมพัฒนาของคุณ เนื่องจากจะส่งผลต่อการแสดงเนื้อหา webview2
• CVE-2022-30138: Windows Print Spooler Elevation ของช่องโหว่ของ Privilege นี่เป็นการเปลี่ยนแปลงข้อมูลเท่านั้น ไม่ต้องดำเนินการใดๆ เพิ่มเติม

การบรรเทาสาธารณภัยและวิธีแก้ไขเบื้องต้น

ในเดือนพฤษภาคม Microsoft ได้เผยแพร่การบรรเทาปัญหาที่สำคัญอย่างหนึ่งสำหรับช่องโหว่ของระบบไฟล์เครือข่าย Windows ที่ร้ายแรง:

• CVE-2022-26937: ช่องโหว่การเรียกใช้โค้ดจากระยะไกลของระบบไฟล์เครือข่าย Windows คุณสามารถบรรเทาการโจมตีได้โดยการปิดใช้งาน NFSV2 และ NFSV3. คำสั่ง PowerShell ต่อไปนี้จะปิดใช้งานเวอร์ชันเหล่านั้น: “PS C:Set-NfsServerConfiguration -EnableNFSV2 $false -EnableNFSV3 $false” เมื่อทำเสร็จแล้ว คุณจะต้องรีสตาร์ทเซิร์ฟเวอร์ NFS ของคุณ (หรือควรรีบูตเครื่อง) และเพื่อยืนยันว่าเซิร์ฟเวอร์ NFS ได้รับการอัปเดตอย่างถูกต้อง ให้ใช้คำสั่ง PowerShell “PS C:Get-NfsServerConfiguration”

ในแต่ละเดือน เราจะแบ่งวงจรการอัปเดตออกเป็นตระกูลผลิตภัณฑ์ (ตามที่ Microsoft กำหนด) ด้วยการจัดกลุ่มพื้นฐานดังต่อไปนี้: 

• เบราว์เซอร์ (Microsoft IE และ Edge);
• Microsoft Windows (ทั้งเดสก์ท็อปและเซิร์ฟเวอร์);
• ไมโครซอฟต์ออฟฟิศ;
• ไมโครซอฟต์ เอ็กซ์เชนจ์;
• แพลตฟอร์มการพัฒนาของ Microsoft ( ASP.NET Core, .NET Core และ Chakra Core);
• Adobe (เกษียณแล้ว??? อาจจะเป็นปีหน้า)

เบราว์เซอร์

Microsoft ยังไม่ได้เผยแพร่การอัปเดตใดๆ สำหรับเบราว์เซอร์รุ่นเก่า (IE) หรือ Chromium (Edge) ในเดือนนี้ เราเห็นแนวโน้มที่ลดลงของปัญหาสำคัญที่คุกคาม Microsoft ในช่วงทศวรรษที่ผ่านมา ความรู้สึกของฉันคือการย้ายไปยังโปรเจ็กต์ Chromium เป็น "super plus-plus-win-win" ที่ชัดเจนสำหรับทั้งทีมพัฒนาและผู้ใช้

เมื่อพูดถึงเบราว์เซอร์รุ่นเก่า เราต้องเตรียมพร้อมสำหรับ การเกษียณอายุของ IE มาในกลางเดือนมิถุนายน โดย "เตรียม" ฉันหมายถึงฉลอง - หลังจากแน่นอนเราได้ให้มรดก apps ไม่มีการขึ้นต่อกันอย่างชัดเจนในเอ็นจิ้นการเรนเดอร์ IE แบบเก่า โปรดเพิ่ม "ฉลองการเลิกใช้ IE" ลงในกำหนดการการปรับใช้เบราว์เซอร์ของคุณ ผู้ใช้ของคุณจะเข้าใจ

Windows

แพลตฟอร์ม Windows ได้รับการอัปเดตที่สำคัญ 56 รายการในเดือนนี้ และ XNUMX แพตช์ที่จัดว่าสำคัญ น่าเสียดายที่เรามีช่องโหว่ Zero-day สามรายการด้วย:

• CVE-2022-22713: ช่องโหว่ที่เปิดเผยต่อสาธารณะในแพลตฟอร์ม Hyper-V virtualization ของ Microsoft จะทำให้ผู้โจมตีสามารถใช้ประโยชน์จากสภาวะการแข่งขันภายในได้สำเร็จเพื่อนำไปสู่สถานการณ์การปฏิเสธบริการที่อาจเกิดขึ้น เป็นช่องโหว่ที่ร้ายแรง แต่ต้องมีการเชื่อมโยงหลายช่องโหว่เพื่อให้ประสบความสำเร็จ
• CVE-2022-26925: ทั้งเปิดเผยต่อสาธารณะและรายงานว่าถูกแสวงประโยชน์ในป่านี้ ปัญหาการตรวจสอบสิทธิ์ LSA เป็นความกังวลที่แท้จริง แพตช์จะง่าย แต่โปรไฟล์การทดสอบมีขนาดใหญ่ ทำให้ยากต่อการปรับใช้อย่างรวดเร็ว นอกเหนือจากการทดสอบการตรวจสอบสิทธิ์โดเมนของคุณแล้ว ตรวจสอบให้แน่ใจว่าฟังก์ชันการสำรองข้อมูล (และกู้คืน) ทำงานตามที่คาดไว้ เราขอแนะนำให้ตรวจสอบข้อมูลล่าสุด บันทึกการสนับสนุนของ Microsoft เกี่ยวกับเรื่องนี้ ปัญหาต่อเนื่อง.
• CVE-2022-29972: ช่องโหว่ที่เปิดเผยต่อสาธารณะนี้ใน Redshift ODBC ไดรเวอร์ค่อนข้างเฉพาะสำหรับแอปพลิเคชันไซแนปส์ แต่ถ้าคุณมีการสัมผัสใด ๆ ของ สีฟ้าไซแนปส์ RBAC บทบาท การปรับใช้การอัปเดตนี้มีความสำคัญสูงสุด

นอกจากปัญหาซีโร่เดย์แล้ว ยังมีปัญหาอื่นๆ อีกสามประเด็นที่คุณต้องให้ความสนใจ:

• CVE-2022-26923: ช่องโหว่นี้ในการตรวจสอบสิทธิ์ Active Directory ค่อนข้างน้อย”หนอนได้” แต่ง่ายต่อการเอารัดเอาเปรียบฉันจะไม่แปลกใจที่เห็นมันโจมตีอย่างแข็งขัน soon. เมื่อถูกบุกรุก ช่องโหว่นี้จะให้การเข้าถึงทั้งโดเมนของคุณ เดิมพันสูงกับสิ่งนี้
• CVE-2022-26937: ข้อบกพร่องของระบบไฟล์เครือข่ายนี้มีคะแนน 9.8 ซึ่งเป็นหนึ่งในรายงานสูงสุดในปีนี้ NFS ไม่ได้เปิดใช้งานโดยค่าเริ่มต้น แต่ถ้าคุณมี Linux หรือ Unix บนเครือข่ายของคุณ คุณน่าจะใช้งานมัน แก้ไขปัญหานี้ แต่เราแนะนำให้อัปเกรดเป็น NFSv4.1 as soon เท่าที่จะทำได้
• CVE-2022-30138: แพตช์นี้ถูกปล่อยออกมาหลังแพทช์วันอังคาร ปัญหาตัวจัดคิวงานพิมพ์นี้มีผลกับระบบที่เก่ากว่าเท่านั้น (Windows 8 และ Server 2012) แต่จะต้องมีการทดสอบที่สำคัญก่อนปรับใช้ ไม่ใช่ปัญหาด้านความปลอดภัยที่สำคัญอย่างยิ่ง แต่ปัญหาที่อาจเกิดขึ้นกับเครื่องพิมพ์นั้นมีขนาดใหญ่ ใช้เวลาของคุณก่อนที่จะปรับใช้สิ่งนี้

จากจำนวนช่องโหว่ที่ร้ายแรงและ Zero-days สามช่วงในเดือนพฤษภาคม ให้เพิ่มการอัปเดต Windows ของเดือนนี้ลงในกำหนดการ “Patch Now” ของคุณ

Microsoft Office

Microsoft เปิดตัวเพียงสี่โปรแกรมปรับปรุงสำหรับแพลตฟอร์ม Microsoft Office (Excel, SharePoint) ซึ่งทั้งหมดได้รับการจัดอันดับที่สำคัญ การอัปเดตทั้งหมดเหล่านี้ยากต่อการใช้ประโยชน์ (ต้องการทั้งการโต้ตอบกับผู้ใช้และการเข้าถึงระบบภายในเครื่องเป้าหมาย) และมีผลเฉพาะกับแพลตฟอร์ม 32 บิตเท่านั้น เพิ่มการอัปเดต Office โปรไฟล์ต่ำและมีความเสี่ยงต่ำเหล่านี้ลงในกำหนดการเผยแพร่มาตรฐานของคุณ

ของ Microsoft Exchange Server

Microsoft เปิดตัวอัพเดตเดียวสำหรับ Exchange Server (CVE-2022-21978) ที่ได้รับการจัดอันดับว่าสำคัญและดูเหมือนยากต่อการเอารัดเอาเปรียบ ช่องโหว่ในการยกระดับสิทธิ์นี้จำเป็นต้องมีการเข้าถึงเซิร์ฟเวอร์ที่มีการตรวจสอบสิทธิ์อย่างสมบูรณ์ และจนถึงขณะนี้ยังไม่มีรายงานการเปิดเผยต่อสาธารณะหรือการหาประโยชน์จากช่องโหว่ดังกล่าว

ที่สำคัญกว่านั้นในเดือนนี้ Microsoft ได้เปิดตัวใหม่ วิธีการอัพเดตเซิร์ฟเวอร์ Microsoft Exchange ที่ตอนนี้รวมถึง:

• ไฟล์แพตช์ Windows Installer (.MSP) ซึ่งทำงานได้ดีที่สุดสำหรับการติดตั้งอัตโนมัติ
• ตัวติดตั้งแบบขยายอัตโนมัติ (.exe) แบบขยายตัวเอง ซึ่งทำงานได้ดีที่สุดสำหรับการติดตั้งด้วยตนเอง

นี่เป็นความพยายามในการแก้ปัญหาของผู้ดูแลระบบ Exchange ที่อัปเดตระบบเซิร์ฟเวอร์ของตนภายในบริบทที่ไม่ใช่ของผู้ดูแลระบบ ส่งผลให้สถานะเซิร์ฟเวอร์ไม่ดี รูปแบบ EXE ใหม่ช่วยให้สามารถติดตั้งบรรทัดคำสั่งและบันทึกการติดตั้งได้ดีขึ้น Microsoft ได้เผยแพร่ตัวอย่างบรรทัดคำสั่ง EXE ต่อไปนี้อย่างเป็นประโยชน์:

“Setup.exe /IacceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains”

หมายเหตุ Microsoft แนะนำให้คุณมีตัวแปรสภาพแวดล้อม %Temp% ก่อนใช้รูปแบบการติดตั้ง EXE ใหม่ หากคุณปฏิบัติตามวิธีการใหม่ในการใช้ EXE เพื่ออัปเดต Exchange โปรดจำไว้ว่าคุณจะต้อง (แยกกัน) ปรับใช้รายเดือน ซุ อัปเดตเพื่อให้แน่ใจว่าเซิร์ฟเวอร์ของคุณเป็นปัจจุบัน เพิ่มการอัปเดตนี้ (หรือ EXE) ลงในกำหนดการเผยแพร่มาตรฐานของคุณ ตรวจสอบให้แน่ใจว่าการรีบูตแบบเต็มจะดำเนินการเมื่อการอัปเดตทั้งหมดเสร็จสิ้น

แพลตฟอร์มการพัฒนาของ Microsoft

Microsoft ได้เปิดตัวการอัปเดตห้ารายการที่สำคัญและแพทช์เดียวที่มีคะแนนต่ำ แพทช์ทั้งหมดเหล่านี้ส่งผลต่อ Visual Studio และ .NET framework เนื่องจากคุณจะอัปเดตอินสแตนซ์ Visual Studio เพื่อแก้ไขช่องโหว่ที่รายงานเหล่านี้ เราขอแนะนำให้คุณอ่าน คู่มือการอัปเดต Visual Studio เดือนเมษายน.

หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับปัญหาเฉพาะที่แก้ไขจากมุมมองด้านความปลอดภัย พฤษภาคม 2022 .NET ปรับปรุงการโพสต์บล็อก จะเป็นประโยชน์ สังเกตว่า.NET 5.0 สิ้นสุดการสนับสนุนแล้ว และก่อนที่คุณจะอัพเกรดเป็น .NET 7 คุณควรตรวจสอบความเข้ากันได้หรือ “ทำลายการเปลี่ยนแปลง” ที่ต้องได้รับการแก้ไข เพิ่มการอัปเดตที่มีความเสี่ยงปานกลางเหล่านี้ลงในกำหนดการการอัปเดตมาตรฐานของคุณ

Adobe (จริงๆ แค่ Reader)

ฉันคิดว่าเราอาจจะเห็นแนวโน้ม ไม่มีการอัปเดต Adobe Reader สำหรับเดือนนี้ ที่กล่าวว่า Adobe ได้เผยแพร่การอัปเดตจำนวนมากสำหรับผลิตภัณฑ์อื่น ๆ ที่นี่: อปท.22-21. มาดูกันว่าจะเกิดอะไรขึ้นในเดือนมิถุนายน — บางทีเราอาจเกษียณได้ ทั้งสอง Adobe Reader และ IE