Оновлення травневого вівторка роблять виправлення обов’язковими

Минулого тижня Patch Tuesday розпочався з 73 оновлень, але закінчився (поки що) трьома редакціями та пізнім додаванням (CVE-2022-30138) загалом 77 уразливостей, усунених цього місяця. Порівняно з широким набором оновлень, випущених у квітні, ми бачимо більшу терміновість виправлення Windows — особливо з трьома нульовими днями та кількома дуже серйозними недоліками в ключових областях сервера та автентифікації. Обмін зажадає уваги також через нова технологія оновлення сервера.

Цього місяця не було оновлень для браузерів Microsoft і Adobe Reader. І Windows 10 20H2 (ми вас майже не знали) тепер не підтримується.

Ви можете знайти більше інформації про ризики розгортання цих оновлень Patch Tuesday у цю корисну інфографіку, і MSRC Center опублікував хороший огляд того, як він обробляє оновлення безпеки тут.

Ключові сценарії тестування

Враховуючи велику кількість змін, включених у травневий цикл виправлень, я розділив сценарії тестування на групи високого та стандартного ризику:

Високий ризик: Ці зміни, імовірно, включатимуть зміни у функціональності, можуть призвести до втрати існуючих функцій і, ймовірно, вимагатимуть створення нових планів тестування:

• Перевірте корпоративні сертифікати ЦС (як нові, так і оновлені). Ваш доменний сервер KDC автоматично перевірить нові розширення, включені в це оновлення. Шукайте невдалі перевірки!
• Це оновлення містить зміни в підписах драйверів, які тепер включають перевірку часових позначок, а також підписи автентикодів. Підписані драйвери мають завантажитися. Непідписані драйвери не повинні. Перевірте тестові прогони програми на наявність помилок завантаження драйвера. Включайте також перевірки підписаних файлів EXE та DLL.

Наступні зміни не задокументовано як такі, що включають функціональні зміни, але все одно вимагатимуть принаймні "тестування на дим” до загального розгортання травневих патчів:

• Перевірте свої VPN-клієнти під час використання RRAS сервери: включити підключення, відключити (з використанням усіх протоколів: PPP/PPTP/SSTP/IKEv2).
• Перевірте, чи файли EMF відкриваються належним чином.
• Перевірте свою адресну книгу Windows (WAB) залежності програми.
• Перевірте BitLocker: запустіть/зупиніть свої машини BitLocker увімкнути, а потім вимкнути.
• Переконайтеся, що ваші облікові дані доступні через VPN (див Microsoft Credential Manager).
• Перевірте свій V4 драйвери принтера (особливо з пізнішим прибуттям CVE-2022-30138). 

Тестування цього місяця вимагатиме кількох перезавантажень ваших тестових ресурсів і повинно включати віртуальні (BIOS/UEFI) і фізичні машини.

Відомі проблеми

Корпорація Майкрософт містить список відомих проблем, які впливають на операційну систему та платформи, включені в цей цикл оновлення:

• Після встановлення цьогомісячного оновлення пристрої Windows, які використовують певні графічні процесори, можуть спричинити apps несподівано закрити або створити код винятку (0xc0000094 у модулі d3d9on12.dll) у apps за допомогою Direct3D версії 9. Microsoft опублікувала a KIR оновлення групової політики, щоб вирішити цю проблему за допомогою таких параметрів GPO: Завантажити для Windows 10 версії 2004, Windows 10 версії 20H2, Windows 10 версії 21H1 і Windows 10 версії 21H2.
• Після встановлення оновлень, випущених 11 січня 2022 р. або пізніше, apps які використовують Microsoft .NET Framework для отримання або налаштування інформації про довіру до лісу Active Directory, може виникнути помилка або створити помилку порушення доступу (0xc0000005). Схоже, що програми, які залежать від API System.DirectoryServices постраждали.

Корпорація Майкрософт дійсно покращила свою гру під час обговорення останніх виправлень і оновлень для цього випуску з корисним оновити основні моменти відео.

Основні редакції

Хоча цього місяця список виправлень значно скоротився порівняно з квітнем, Microsoft випустила три версії, зокрема:

• CVE-2022-1096: Chromium: CVE-2022-1096 Плутанина типу у V8. Цей березневий патч було оновлено, щоб включити підтримку останньої версії Visual Studio (2022), щоб забезпечити оновлене відтворення вмісту webview2. Ніяких додаткових дій не потрібно.
• CVE-2022-24513: уразливість Visual Studio щодо підвищення привілеїв. Цей квітневий патч було оновлено, щоб включити ВСІ підтримувані версії Visual Studio (від 15.9 до 17.1). На жаль, це оновлення може вимагати певного тестування програми для вашої команди розробників, оскільки воно впливає на відтворення вмісту webview2.
• CVE-2022-30138: Уразливість Windows Print Spooler, що дозволяє отримати привілеї. Це лише інформаційна зміна. Ніяких додаткових дій не потрібно.

Пом’якшення та обхідні шляхи

У травні корпорація Майкрософт опублікувала одне з ключових засобів пом’якшення серйозної вразливості мережевої файлової системи Windows:

• CVE-2022-26937: вразливість до віддаленого виконання коду мережевої файлової системи Windows. Ви можете пом'якшити атаку, відключивши NFSV2 та NFSV3. Наступна команда PowerShell вимкне ці версії: «PS C:Set-NfsServerConfiguration -EnableNFSV2 $false -EnableNFSV3 $false». Після завершення. Вам потрібно буде перезавантажити сервер NFS (або краще перезавантажити машину). Щоб переконатися, що сервер NFS оновлено правильно, скористайтеся командою PowerShell «PS C:Get-NfsServerConfiguration».

Щомісяця ми розбиваємо цикл оновлення на сімейства продуктів (за визначенням Microsoft) з такими основними групами: 

• Браузери (Microsoft IE і Edge);
• Microsoft Windows (як настільний, так і серверний);
• Microsoft Office;
• Microsoft Exchange;
• Платформи для розробки Microsoft ( ASP.NET Core, .NET Core і Chakra Core);
• Adobe (на пенсії???, можливо, наступного року).

Браузери

Цього місяця корпорація Майкрософт не випускала жодних оновлень ні для своїх застарілих (IE), ні для Chromium (Edge). Ми спостерігаємо тенденцію до зменшення кількості критичних проблем, які переслідували Microsoft протягом останнього десятиліття. Я відчуваю, що перехід до проекту Chromium був безсумнівним «супер плюс-плюс виграш» як для команди розробників, так і для користувачів.

Говорячи про застарілі браузери, ми повинні підготуватися до вихід на пенсію І.Е приходить в середині червня. Під «готуватися» я маю на увазі святкування — звичайно, після того, як ми забезпечимо цю спадщину apps не мають явних залежностей від старого механізму візуалізації IE. Будь ласка, додайте «Святкуйте припинення роботи IE» до розкладу розгортання вашого браузера. Ваші користувачі зрозуміють.

Windows

Платформа Windows цього місяця отримує шість критичних оновлень і 56 виправлень, оцінених як важливі. На жаль, у нас також є три експлойти нульового дня:

• CVE-2022-22713: Ця оприлюднена вразливість у платформі віртуалізації Microsoft Hyper-V вимагатиме від зловмисника успішного використання внутрішньої конкуренції, щоб призвести до потенційного сценарію відмови в обслуговуванні. Це серйозна вразливість, але для успіху потрібно об’єднати кілька вразливостей.
• CVE-2022-26925: як публічно оприлюднено, так і повідомлено про використання в дикій природі, це Проблема автентифікації LSA викликає справжнє занепокоєння. Його буде легко виправити, але профіль тестування великий, тому його важко швидко розгорнути. Окрім перевірки автентифікації домену, переконайтеся, що функції резервного копіювання (і відновлення) працюють належним чином. Ми настійно рекомендуємо перевірити останню версію Примітки служби підтримки Microsoft на цьому поточна проблема.
• CVE-2022-29972: ця публічно розкрита вразливість у Redshift ODBC драйвер досить специфічний для програм Synapse. Але якщо ви маєте контакт з будь-яким із Azure Synapse RBAC ролей, розгортання цього оновлення є головним пріоритетом.

Окрім цих проблем нульового дня, є ще три проблеми, які потребують вашої уваги:

• CVE-2022-26923: ця вразливість в автентифікації Active Directory не зовсім "червивий», але його настільки легко використовувати, що я не здивуюся, якщо його активно атакують soon. Після зламу ця вразливість надасть доступ до всього вашого домену. З цим високі ставки.
• CVE-2022-26937: ця помилка мережевої файлової системи має рейтинг 9.8 – один із найвищих, зареєстрованих цього року. NFS не ввімкнено за замовчуванням, але якщо у вашій мережі є Linux або Unix, ви, ймовірно, використовуєте його. Виправте цю проблему, але ми також рекомендуємо оновити до NFSv4.1 as soon наскільки це можливо.
• CVE-2022-30138: цей патч було випущено після виправлення у вівторок. Ця проблема спулера друку стосується лише старіших систем (Windows 8 і Server 2012), але потребує серйозного тестування перед розгортанням. Це не надважлива проблема безпеки, але ймовірність проблем із принтером є великою. Не поспішайте перед розгортанням цього.

Враховуючи кількість серйозних експлойтів і три нульові дні в травні, додайте оновлення Windows цього місяця до свого розкладу «Patch Now».

Microsoft Офіс

Корпорація Майкрософт випустила лише чотири оновлення для платформи Microsoft Office (Excel, SharePoint), усі з яких вважаються важливими. Усі ці оновлення важко використовувати (вимагають взаємодії користувача та локального доступу до цільової системи), і вони впливають лише на 32-розрядні платформи. Додайте ці малопрофільні оновлення Office із низьким рівнем ризику до свого стандартного графіка випуску.

Microsoft Exchange Server

Microsoft випустила одне оновлення для Exchange Server (CVE-2022-21978), який оцінено як важливий і здається досить складним для експлуатації. Ця вразливість, пов’язана з підвищенням привілеїв, вимагає повної автентифікації доступу до сервера, і досі не надходило жодних повідомлень про публічне розголошення чи використання в дикій природі.

Що ще важливіше, цього місяця Microsoft представила новий метод оновлення серверів Microsoft Exchange що тепер включає:

• Файл виправлення інсталятора Windows (.MSP), який найкраще працює для автоматизованих установок.
• Інсталятор, що саморозпаковується, автоматично піднімається (.exe), який найкраще працює для встановлення вручну.

Це спроба вирішити проблему, коли адміністратори Exchange оновлюють свої серверні системи в неадміністраторському контексті, що призводить до поганого стану сервера. Новий формат EXE дозволяє встановлювати через командний рядок і краще вести журнал встановлення. Корпорація Майкрософт корисно опублікувала такий приклад командного рядка EXE:

«Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains»

Зауважте, що Microsoft рекомендує мати змінну середовища %Temp% перед використанням нового формату встановлення EXE. Якщо ви дотримуєтесь нового методу використання EXE для оновлення Exchange, пам’ятайте, що вам все одно доведеться (окремо) розгортати щомісячну СумДУ оновлення, щоб переконатися, що ваші сервери оновлені. Додайте це оновлення (або EXE) до свого стандартного розкладу випуску, забезпечивши виконання повного перезавантаження після завершення всіх оновлень.

Платформи розробки Microsoft

Корпорація Майкрософт випустила п'ять оновлень, оцінених як важливі, і один патч з низьким рейтингом. Усі ці виправлення впливають на Visual Studio та платформу .NET. Оскільки ви оновлюватимете свої екземпляри Visual Studio, щоб усунути ці вразливості, ми рекомендуємо вам прочитати Квітневий посібник із оновлення Visual Studio.

Щоб дізнатися більше про конкретні проблеми, які розглядаються з точки зору безпеки, Публікація блогу про оновлення .NET за травень 2022 року буде корисним. Зазначаючи, що .Підтримка NET 5.0 завершена і перед оновленням до .NET 7, можливо, варто перевірити частину сумісності або "порушення змін», які потрібно вирішити. Додайте ці оновлення середнього ризику до свого стандартного розкладу оновлень.

Adobe (справді просто Reader)

Я думав, що ми можемо спостерігати тенденцію. Немає оновлень Adobe Reader за цей місяць. Тим не менш, Adobe випустила ряд оновлень для інших продуктів, які можна знайти тут: АПСБ22-21. Подивимося, що буде в червні — можливо, ми зможемо піти на пенсію обидва Adobe Reader та IE.