Bản cập nhật Patch Tuesday của tháng 5 khiến việc vá khẩn cấp trở nên bắt buộc

Bản vá Thứ Ba tuần trước đã bắt đầu với 73 bản cập nhật, nhưng kết thúc (cho đến nay) với ba bản sửa đổi và một bổ sung muộn (CVE-2022-30138) với tổng số 77 lỗ hổng được giải quyết trong tháng này. So với một loạt các bản cập nhật được phát hành vào tháng XNUMX, chúng tôi thấy việc vá lỗi cho Windows càng cấp thiết hơn — đặc biệt là với ba lỗ hổng zero-day và một số sai sót rất nghiêm trọng trong các khu vực xác thực và máy chủ chính. Việc trao đổi cũng cần được chú ý do công nghệ cập nhật máy chủ mới.

Không có bản cập nhật nào trong tháng này cho trình duyệt Microsoft và Adobe Reader. Và Windows 10 20H2 (chúng tôi hầu như không biết bạn) hiện không được hỗ trợ.

Bạn có thể tìm thêm thông tin về những rủi ro khi triển khai các bản cập nhật Bản vá thứ Ba này trong đồ họa thông tin hữu ích này, và Trung tâm MSRC đã đăng một bài tổng quan hay về cách xử lý các bản cập nhật bảo mật tại đây.

Các tình huống thử nghiệm chính

Với số lượng lớn các thay đổi có trong chu kỳ vá lỗi tháng 5 này, tôi đã chia các tình huống thử nghiệm thành các nhóm có rủi ro cao và rủi ro tiêu chuẩn:

Rủi ro cao: Những thay đổi này có thể bao gồm các thay đổi về chức năng, có thể không dùng các chức năng hiện có và có thể sẽ yêu cầu tạo các kế hoạch thử nghiệm mới:

• Kiểm tra chứng chỉ CA doanh nghiệp của bạn (cả mới và gia hạn). Máy chủ miền của bạn KDC sẽ tự động xác thực các tiện ích mở rộng mới có trong bản cập nhật này. Tìm kiếm xác nhận thất bại!
• Bản cập nhật này bao gồm thay đổi về chữ ký trình điều khiển hiện bao gồm kiểm tra dấu thời gian cũng như chữ ký xác thực. Trình điều khiển đã ký nên tải. Trình điều khiển chưa được ký không nên. Kiểm tra các lần chạy thử nghiệm ứng dụng của bạn xem có tải trình điều khiển không thành công hay không. Bao gồm cả việc kiểm tra các EXE và DLL đã ký.

Các thay đổi sau đây không được ghi nhận là bao gồm các thay đổi về chức năng, nhưng ít nhất vẫn sẽ yêu cầu “thử khói” trước khi triển khai chung các bản vá của tháng 5:

• Kiểm tra máy khách VPN của bạn khi sử dụng RRAS máy chủ: bao gồm kết nối, ngắt kết nối (sử dụng tất cả các giao thức: PPP/PPTP/SSTP/IKEv2).
• Kiểm tra xem tệp EMF của bạn có mở như mong đợi không.
• Kiểm tra sổ địa chỉ Windows của bạn (WAB) phụ thuộc ứng dụng.
• Kiểm tra BitLocker: khởi động/dừng máy của bạn bằng BitLocker được kích hoạt và sau đó bị vô hiệu hóa.
• Xác thực rằng thông tin đăng nhập của bạn có thể truy cập được qua VPN (xem Trình quản lý thông tin xác thực của Microsoft).
• Kiểm tra của bạn Trình điều khiển máy in V4 (đặc biệt với sự xuất hiện muộn hơn của CVE-2022-30138). 

Quá trình thử nghiệm trong tháng này sẽ yêu cầu khởi động lại tài nguyên thử nghiệm của bạn nhiều lần và phải bao gồm cả máy ảo và máy vật lý (BIOS/UEFI).

Các vấn đề đã biết

Microsoft bao gồm danh sách các sự cố đã biết ảnh hưởng đến hệ điều hành và nền tảng có trong chu kỳ cập nhật này:

• Sau khi cài đặt bản cập nhật tháng này, các thiết bị Windows sử dụng một số GPU nhất định có thể gây ra apps để đóng đột ngột hoặc tạo mã ngoại lệ (0xc0000094 trong mô-đun d3d9on12.dll) trong apps sử dụng Direct3D Phiên bản 9. Microsoft đã xuất bản một KIR cập nhật chính sách nhóm để giải quyết vấn đề này với các cài đặt GPO sau: Tải xuống cho Windows 10, phiên bản 2004, Windows 10, phiên bản 20H2, Windows 10, phiên bản 21H1 và Windows 10, phiên bản 21H2.
• Sau khi cài đặt các bản cập nhật được phát hành từ ngày 11 tháng 2022 năm XNUMX trở đi, apps sử dụng Microsoft .NET Framework để lấy hoặc đặt Thông tin tin cậy nhóm Active Directory có thể không thành công hoặc tạo ra lỗi vi phạm quyền truy cập (0xc0000005). Dường như các ứng dụng phụ thuộc vào API System.DirectoryServices bị ảnh hưởng.

Microsoft đã thực sự nâng tầm cuộc chơi của mình khi thảo luận về các bản sửa lỗi và cập nhật gần đây cho phiên bản này bằng một câu chuyện hữu ích. cập nhật điểm nổi bật video.

Các bản sửa đổi chính

Mặc dù danh sách các bản vá trong tháng này đã giảm đi nhiều so với tháng 4, nhưng Microsoft đã phát hành ba bản sửa đổi bao gồm:

• CVE-2022-1096: Crom: CVE-2022-1096 Nhầm lẫn loại trong V8. Bản vá tháng 2022 này đã được cập nhật để hỗ trợ phiên bản mới nhất của Visual Studio (2) nhằm cho phép hiển thị cập nhật nội dung webviewXNUMX. Không có thêm hành động được yêu cầu.
• CVE-2022-24513: Độ cao của lỗ hổng đặc quyền của Visual Studio. Bản vá tháng 15.9 này đã được cập nhật để bao gồm TẤT CẢ các phiên bản được hỗ trợ của Visual Studio (17.1 đến 2). Thật không may, bản cập nhật này có thể yêu cầu nhóm phát triển của bạn phải thử nghiệm một số ứng dụng vì nó ảnh hưởng đến cách hiển thị nội dung webviewXNUMX.
• CVE-2022-30138: Windows Print Spooler Nâng cao lỗ hổng đặc quyền. Đây chỉ là một sự thay đổi thông tin. Không có thêm hành động được yêu cầu.

Giảm thiểu và giải quyết

Trong tháng 5, Microsoft đã công bố một biện pháp giảm thiểu chính cho lỗ hổng hệ thống tệp mạng Windows nghiêm trọng:

• CVE-2022-26937: Lỗ hổng thực thi mã từ xa của hệ thống tệp mạng Windows. Bạn có thể giảm thiểu một cuộc tấn công bằng cách vô hiệu hóa NFSV2 và NFSV3. Lệnh PowerShell sau đây sẽ vô hiệu hóa các phiên bản đó: “PS C:Set-NfsServerConfiguration -EnableNFSV2 $false -EnableNFSV3 $false.” Sau khi hoàn thành. bạn sẽ cần phải khởi động lại máy chủ NFS của mình (hoặc tốt nhất là khởi động lại máy). Và để xác nhận rằng máy chủ NFS đã được cập nhật chính xác, hãy sử dụng lệnh PowerShell “PS C: Get-NfsServerConfiguration.”

Mỗi tháng, chúng tôi chia nhỏ chu kỳ cập nhật thành các họ sản phẩm (theo định nghĩa của Microsoft) với các nhóm cơ bản sau: 

• Trình duyệt (Microsoft IE và Edge);
• Microsoft Windows (cả máy tính để bàn và máy chủ);
• Microsoft Office;
• Trao đổi Microsoft;
• Nền tảng phát triển của Microsoft ( ASP.NET Core, .NET Core và Chakra Core);
• Adobe (đã nghỉ hưu ???, có thể vào năm sau).

Các trình duyệt

Microsoft đã không phát hành bất kỳ bản cập nhật nào cho trình duyệt cũ (IE) hoặc Chrome (Edge) trong tháng này. Chúng ta đang chứng kiến ​​xu hướng giảm về số lượng các vấn đề nghiêm trọng đã gây khó khăn cho Microsoft trong thập kỷ qua. Cảm giác của tôi là việc chuyển sang dự án Chrome rõ ràng là một “đôi bên cùng có lợi cực kỳ cộng thêm” cho cả nhóm phát triển và người dùng.

Nói về các trình duyệt cũ, chúng ta cần chuẩn bị cho nghỉ hưu của IE đến vào giữa tháng Sáu. Khi nói “chuẩn bị”, ý tôi là ăn mừng - tất nhiên sau khi chúng tôi đã đảm bảo được di sản đó apps không có sự phụ thuộc rõ ràng vào công cụ kết xuất IE cũ. Vui lòng thêm “Kỷ niệm việc ngừng hoạt động của IE” vào lịch triển khai trình duyệt của bạn. Người dùng của bạn sẽ hiểu.

Windows

Nền tảng Windows nhận được sáu bản cập nhật quan trọng trong tháng này và 56 bản vá được xếp hạng quan trọng. Thật không may, chúng tôi cũng có ba lần khai thác lỗ hổng zero-day:

• CVE-2022-22713: Lỗ hổng được tiết lộ công khai này trong nền tảng ảo hóa Hyper-V của Microsoft sẽ yêu cầu kẻ tấn công khai thác thành công tình trạng chạy đua nội bộ để dẫn đến kịch bản từ chối dịch vụ tiềm ẩn. Đây là một lỗ hổng nghiêm trọng nhưng đòi hỏi phải kết hợp nhiều lỗ hổng để thành công.
• CVE-2022-26925: Cả hai đều được tiết lộ và báo cáo công khai là bị khai thác ngoài tự nhiên, điều này Vấn đề xác thực LSA là một mối quan tâm thực sự. Việc vá lỗi sẽ dễ dàng nhưng hồ sơ thử nghiệm quá lớn, khiến việc triển khai nhanh chóng trở nên khó khăn. Ngoài việc kiểm tra xác thực miền của bạn, hãy đảm bảo rằng các chức năng sao lưu (và khôi phục) đang hoạt động như mong đợi. Chúng tôi thực sự khuyên bạn nên kiểm tra thông tin mới nhất Ghi chú hỗ trợ của Microsoft về điều này vấn đề đang diễn ra.
• CVE-2022-29972: Lỗ hổng được tiết lộ công khai này trong Redshift ODBC trình điều khiển khá cụ thể cho các ứng dụng Synapse. Nhưng nếu bạn tiếp xúc với bất kỳ Azure Synapse RBAC vai trò, việc triển khai bản cập nhật này là ưu tiên hàng đầu.

Ngoài những vấn đề về zero-day này, còn có ba vấn đề khác mà bạn cần chú ý:

• CVE-2022-26923: lỗ hổng này trong xác thực Active Directory chưa hoàn toàn “sâu” nhưng lại dễ bị khai thác như vậy nên tôi sẽ không ngạc nhiên nếu thấy nó bị tấn công tích cực soon. Sau khi bị xâm phạm, lỗ hổng này sẽ cung cấp quyền truy cập vào toàn bộ miền của bạn. Cổ phần rất cao với cái này.
• CVE-2022-26937: Lỗi Hệ thống tệp mạng này có xếp hạng 9.8 – một trong những lỗi cao nhất được báo cáo trong năm nay. NFS không được bật theo mặc định, nhưng nếu bạn có Linux hoặc Unix trên mạng thì có thể bạn đang sử dụng nó. Hãy khắc phục sự cố này nhưng chúng tôi cũng khuyên bạn nên nâng cấp lên NFSv4.1 as soon càng tốt.
• CVE-2022-30138: Bản vá này được phát hành sau Bản vá thứ Ba. Sự cố bộ đệm máy in này chỉ ảnh hưởng đến các hệ thống cũ hơn (Windows 8 và Server 2012) nhưng sẽ yêu cầu kiểm tra đáng kể trước khi triển khai. Đây không phải là một vấn đề bảo mật cực kỳ nghiêm trọng nhưng khả năng xảy ra các sự cố liên quan đến máy in là rất lớn. Hãy dành thời gian của bạn trước khi triển khai cái này.

Với số lượng các vụ khai thác nghiêm trọng và ba lỗ hổng 0 trong tháng 5, hãy thêm bản cập nhật Windows của tháng này vào lịch trình “Patch Now” của bạn.

Microsoft Office

Microsoft chỉ phát hành bốn bản cập nhật cho nền tảng Microsoft Office (Excel, SharePoint), tất cả đều được đánh giá là quan trọng. Tất cả các bản cập nhật này đều khó khai thác (yêu cầu cả sự tương tác của người dùng và quyền truy cập cục bộ vào hệ thống đích) và chỉ ảnh hưởng đến nền tảng 32-bit. Thêm các bản cập nhật Office cấu hình thấp, ít rủi ro này vào lịch phát hành tiêu chuẩn của bạn.

Microsoft Exchange Server

Microsoft đã phát hành một bản cập nhật duy nhất cho Exchange Server (CVE-2022-21978) được đánh giá là quan trọng và có vẻ khá khó khai thác. Lỗ hổng nâng cao đặc quyền này yêu cầu quyền truy cập được xác thực hoàn toàn vào máy chủ và cho đến nay vẫn chưa có bất kỳ báo cáo nào về việc tiết lộ công khai hoặc khai thác ngoài tự nhiên.

Quan trọng hơn trong tháng này, Microsoft đã giới thiệu một tính năng mới phương pháp cập nhật máy chủ Microsoft Exchange bây giờ bao gồm:

• Tệp bản vá Windows Installer (.MSP), hoạt động tốt nhất cho cài đặt tự động.
• Trình cài đặt tự giải nén, tự động nâng cao (.exe), hoạt động tốt nhất cho cài đặt thủ công.

Đây là một nỗ lực nhằm giải quyết vấn đề quản trị viên Exchange cập nhật hệ thống máy chủ của họ trong bối cảnh không phải quản trị viên, dẫn đến trạng thái máy chủ không tốt. Định dạng EXE mới cho phép cài đặt dòng lệnh và ghi nhật ký cài đặt tốt hơn. Microsoft đã xuất bản một cách hữu ích ví dụ dòng lệnh EXE sau:

“Setup.exe /IACceptExchangeServerLinceTerms_DiagnosticDataON /PrepareAllDomains”

Lưu ý, Microsoft khuyên bạn nên có biến môi trường %Temp% trước khi sử dụng định dạng cài đặt EXE mới. Nếu bạn làm theo phương pháp mới là sử dụng EXE để cập nhật Exchange, hãy nhớ rằng bạn vẫn sẽ phải triển khai (riêng) hàng tháng SSU cập nhật để đảm bảo máy chủ của bạn được cập nhật. Thêm bản cập nhật này (hoặc EXE) vào lịch phát hành tiêu chuẩn của bạn, đảm bảo rằng quá trình khởi động lại hoàn toàn được thực hiện khi tất cả các bản cập nhật hoàn tất.

Nền tảng phát triển của Microsoft

Microsoft đã phát hành năm bản cập nhật được đánh giá là quan trọng và một bản vá duy nhất được đánh giá thấp. Tất cả các bản vá này đều ảnh hưởng đến Visual Studio và .NET framework. Vì bạn sẽ cập nhật các phiên bản Visual Studio của mình để giải quyết các lỗ hổng được báo cáo này nên chúng tôi khuyên bạn nên đọc tài liệu Hướng dẫn cập nhật Visual Studio tháng 4.

Để tìm hiểu thêm về các vấn đề cụ thể được giải quyết từ góc độ bảo mật, Tháng 2022 năm XNUMX bài đăng trên blog cập nhật .NET sẽ hữu ích. Cần lưu ý rằng .NET 5.0 hiện đã hết hỗ trợ và trước khi nâng cấp lên .NET 7, bạn nên kiểm tra một số tính tương thích hoặc “thay đổi phá vỡ” cần được giải quyết. Thêm các bản cập nhật có mức độ rủi ro trung bình này vào lịch cập nhật tiêu chuẩn của bạn.

Adobe (thực sự chỉ là Reader)

Tôi nghĩ rằng chúng ta có thể đang nhìn thấy một xu hướng. Không có bản cập nhật Adobe Reader nào trong tháng này. Điều đó nói rằng, Adobe đã phát hành một số bản cập nhật cho các sản phẩm khác được tìm thấy ở đây: APSB22-21. Hãy xem điều gì sẽ xảy ra vào tháng 6 - có lẽ chúng ta có thể nghỉ hưu cả hai Adobe Reader và IE.