Автор: С тремя нулевыми днями и несколькими серьезными уязвимостями в ключевых областях сервера Windows и аутентификации пришло время исправить это сейчас.
Вторник исправлений на прошлой неделе начался с 73 обновлений, но закончился (пока) тремя ревизиями и поздним добавлением ( CVE-2022-30138 ), в общей сложности 77 уязвимостей, устраненных в этом месяце. По сравнению с широким набором обновлений, выпущенных в апреле, мы видим большую срочность в исправлении Windows, особенно в связи с тремя нулевыми днями и несколькими очень серьезными недостатками в ключевых областях сервера и аутентификации. Exchange также потребует внимания из-за новой технологии обновления серверов .
В этом месяце не было обновлений для браузеров Microsoft и Adobe Reader. А Windows 10 20H2 (мы едва ли знали вас) больше не поддерживается.
Дополнительную информацию о рисках, связанных с развертыванием этих обновлений Patch Tuesday, можно найти в этой полезной инфографике , а MSRC Center опубликовал хороший обзор того, как он обрабатывает обновления безопасности , здесь .
Ключевые сценарии тестирования
Учитывая большое количество изменений, включенных в этот майский цикл исправлений, я разбил сценарии тестирования на группы высокого и стандартного риска:
Высокий риск: эти изменения, вероятно, будут включать в себя изменения функциональности, могут привести к устареванию существующих функций и, вероятно, потребуют создания новых планов тестирования:
- Протестируйте сертификаты ЦС вашего предприятия (как новые, так и обновленные). Сервер вашего домена KDC автоматически проверит новые расширения, включенные в это обновление. Ищите неудачные проверки!
- Это обновление включает в себя изменения в подписях драйверов, которые теперь включают проверку метки времени, а также подписи аутентификации . Подписанные драйверы должны загрузиться. Неподписанных драйверов быть не должно. Проверьте тестовые прогоны вашего приложения на наличие неудачных загрузок драйверов. Также включите проверки подписанных EXE и DLL.
Следующие изменения не задокументированы как включающие функциональные изменения, но все равно потребуют как минимум » дымового тестирования » перед общим развертыванием майских исправлений:
- Протестируйте своих VPN-клиентов при использовании RRAS — серверов: включите подключение, отсоединитесь (используя все протоколы: PPP/PPTP/SSTP/IKEv2).
- Убедитесь, что ваши файлы EMF открываются должным образом.
- Проверьте зависимости приложения адресной книги Windows ( WAB ).
- Протестируйте BitLocker: запустите/остановите свои машины с включенным BitLocker , а затем отключите его.
- Убедитесь, что ваши учетные данные доступны через VPN (см . Диспетчер учетных данных Microsoft ).
- Протестируйте драйверы принтера V4 (особенно с учетом более позднего появления CVE-2022-30138 ) .
Тестирование в этом месяце потребует нескольких перезагрузок ваших тестовых ресурсов и должно включать как виртуальные, так и физические машины (BIOS/UEFI).
Известные вопросы
Microsoft включает список известных проблем, влияющих на операционную систему и платформы, включенные в этот цикл обновления:
- После установки обновления этого месяца устройства Windows, использующие определенные графические процессоры, могут вызывать неожиданное закрытие приложений или генерировать код исключения (0xc0000094 в модуле d3d9on12.dll) в приложениях, использующих Direct3D версии 9. Microsoft опубликовала обновление групповой политики KIR для решения этой проблемы . Проблема со следующими настройками объекта групповой политики: Загрузка для Windows 10 версии 2004, Windows 10 версии 20H2, Windows 10 версии 21H1 и Windows 10 версии 21H2 .
- После установки обновлений, выпущенных 11 января 2022 г. или позже, приложения, использующие Microsoft .NET Framework для получения или установки информации о доверии леса Active Directory, могут завершиться ошибкой или вызвать ошибку нарушения прав доступа (0xc0000005). Похоже, что затронуты приложения, зависящие от API System.DirectoryServices .
Microsoft действительно усилила свою игру, обсуждая последние исправления и обновления для этого выпуска с помощью полезного видео об обновлениях .
Основные изменения
Хотя в этом месяце список исправлений значительно сократился по сравнению с апрелем, Microsoft выпустила три версии, в том числе:
- CVE-2022-1096 : Chromium: путаница типов CVE-2022-1096 в V8. Этот мартовский патч был обновлен, чтобы включить поддержку последней версии Visual Studio (2022), чтобы обеспечить обновленный рендеринг контента webview2. Никаких дальнейших действий не требуется.
- CVE-2022-24513 : Уязвимость Visual Studio, связанная с несанкционированным получением прав. Этот апрельский патч был обновлен и теперь включает ВСЕ поддерживаемые версии Visual Studio (от 15.9 до 17.1). К сожалению, это обновление может потребовать некоторого тестирования приложения для вашей команды разработчиков, так как оно влияет на то, как отображается контент webview2.
- CVE-2022-30138 : Уязвимость диспетчера очереди печати Windows, связанная с несанкционированным получением прав. Это только информационное изменение. Никаких дальнейших действий не требуется.
Смягчения и обходные пути
В мае Microsoft опубликовала одно ключевое средство защиты от серьезной уязвимости сетевой файловой системы Windows:
- CVE-2022-26937 : Уязвимость сетевой файловой системы Windows, связанная с удаленным выполнением кода. Вы можете смягчить атаку, отключив NFSV2 и NFSV3 . Следующая команда PowerShell отключит эти версии: «PS C:\Set-NfsServerConfiguration -EnableNFSV2 $false -EnableNFSV3 $false». Один раз сделал. вам нужно будет перезапустить сервер NFS (или, что предпочтительнее, перезагрузить машину). И чтобы убедиться, что сервер NFS был обновлен правильно, используйте команду PowerShell «PS C:\Get-NfsServerConfiguration».
Каждый месяц мы разбиваем цикл обновления на семейства продуктов (согласно определению Microsoft) со следующими основными группами:
- Браузеры (Microsoft IE и Edge);
- Microsoft Windows (как настольная, так и серверная);
- Microsoft Office;
- Обмен Майкрософт;
- Платформы разработки Microsoft ( ASP.NET Core, .NET Core и Chakra Core);
- Adobe (на пенсии???, может быть, в следующем году).
Браузеры
В этом месяце Microsoft не выпускала никаких обновлений ни для своих устаревших (IE), ни для Chromium (Edge) браузеров. Мы наблюдаем тенденцию к снижению количества критических проблем, с которыми Microsoft столкнулась за последнее десятилетие. Я чувствую, что переход на проект Chromium был определенным «супер плюс плюс беспроигрышный вариант» как для команды разработчиков, так и для пользователей.
Говоря об устаревших браузерах, нам нужно подготовиться к выходу IE из эксплуатации в середине июня. Под «подготовкой» я подразумеваю празднование — после того, как, конечно, мы убедились, что устаревшие приложения не имеют явных зависимостей от старого механизма рендеринга IE. Пожалуйста, добавьте «Отпразднуйте выход IE из эксплуатации» в расписание развертывания вашего браузера. Ваши пользователи поймут.
Окна
Платформа Windows получила шесть критических обновлений в этом месяце и 56 исправлений, оцененных как важные. К сожалению, у нас также есть три эксплойта нулевого дня:
- CVE-2022-22713 : Эта публично раскрытая уязвимость в платформе виртуализации Microsoft Hyper-V потребует от злоумышленника успешного использования состояния внутренней гонки, чтобы привести к потенциальному сценарию отказа в обслуживании. Это серьезная уязвимость, но для успеха требуется объединение нескольких уязвимостей.
- CVE-2022-26925 : Эта проблема аутентификации LSA , как публично раскрытая, так и заявленная как эксплуатация, вызывает реальную озабоченность. Это будет легко исправить, но профиль тестирования большой, что затрудняет быстрое развертывание. В дополнение к проверке подлинности вашего домена убедитесь, что функции резервного копирования (и восстановления) работают должным образом. Мы настоятельно рекомендуем ознакомиться с последними заметками службы поддержки Microsoft по этой нерешенной проблеме .
- CVE-2022-29972 : эта публично раскрытая уязвимость в драйвере ODBC Redshift довольно специфична для приложений Synapse. Но если у вас есть доступ к любой из ролей Azure Synapse RBAC , развертывание этого обновления является высшим приоритетом.
В дополнение к этим проблемам нулевого дня есть еще три проблемы, требующие вашего внимания:
- CVE-2022-26923 : эта уязвимость в аутентификации Active Directory не совсем « червячная », но ее настолько легко использовать, что я не удивлюсь, если вскоре на нее начнут активно нападать. После компрометации эта уязвимость предоставит доступ ко всему вашему домену. Ставки высоки с этим.
- CVE-2022-26937 : эта ошибка сетевой файловой системы имеет рейтинг 9,8 — один из самых высоких показателей, зарегистрированных в этом году. NFS не включена по умолчанию, но если в вашей сети есть Linux или Unix, вы, вероятно, используете ее. Исправьте эту проблему, но мы также рекомендуем как можно скорее обновиться до NFSv4.1 .
- CVE-2022-30138 : это исправление было выпущено после выпуска исправлений во вторник. Эта проблема с диспетчером очереди печати затрагивает только более старые системы (Windows 8 и Server 2012), но перед развертыванием требуется серьезное тестирование. Это не очень критическая проблема безопасности, но вероятность проблем с принтером велика. Не торопитесь, прежде чем развертывать это.
Учитывая количество серьезных эксплойтов и три нулевых дня в мае, добавьте обновление Windows в этом месяце в расписание «Исправление сейчас».
Microsoft Office
Microsoft выпустила всего четыре обновления для платформы Microsoft Office (Excel, SharePoint), и все они признаны важными. Все эти обновления сложно использовать (требуется как взаимодействие с пользователем, так и локальный доступ к целевой системе), и они затрагивают только 32-разрядные платформы. Добавьте эти низкопрофильные обновления Office с низким уровнем риска в свой стандартный график выпуска.
Сервер Microsoft Exchange
Microsoft выпустила единственное обновление для Exchange Server ( CVE-2022-21978 ), которое оценивается как важное и довольно сложное для использования. Эта уязвимость, связанная с повышением привилегий, требует полностью аутентифицированного доступа к серверу, и до сих пор не было никаких сообщений о публичном раскрытии или использовании в дикой природе.
Что еще более важно, в этом месяце Microsoft представила новый метод обновления серверов Microsoft Exchange, который теперь включает:
- Файл исправления установщика Windows (.MSP), который лучше всего подходит для автоматической установки.
- Самораспаковывающийся установщик с автоматическим повышением прав (.exe), который лучше всего подходит для ручной установки.
Это попытка решить проблему, когда администраторы Exchange обновляют свои серверные системы в контексте, не являющемся администратором, что приводит к плохому состоянию сервера. Новый формат EXE позволяет выполнять установку из командной строки и лучше вести журнал установки. Microsoft любезно опубликовала следующий пример командной строки EXE:
«Setup.exe/IAcceptExchangeServerLicenseTerms_DiagnosticDataON/PrepareAllDomains»
Обратите внимание: Microsoft рекомендует использовать переменную среды %Temp% перед использованием нового формата установки EXE. Если вы следуете новому методу использования EXE для обновления Exchange, помните, что вам все равно придется (отдельно) развертывать ежемесячное обновление SSU , чтобы обеспечить актуальность ваших серверов. Добавьте это обновление (или EXE) в свой стандартный график выпуска, обеспечив полную перезагрузку после завершения всех обновлений.
Платформы разработки Майкрософт
Microsoft выпустила пять важных обновлений и одно исправление с низким рейтингом. Все эти исправления затрагивают Visual Studio и платформу .NET. Поскольку вы будете обновлять свои экземпляры Visual Studio для устранения этих обнаруженных уязвимостей, мы рекомендуем вам прочитать руководство по обновлению Visual Studio за апрель .
Чтобы узнать больше о конкретных проблемах, решаемых с точки зрения безопасности, будет полезна запись в блоге об обновлении .NET за май 2022 года . Отметив это. Поддержка NET 5.0 подошла к концу, и перед обновлением до .NET 7, возможно, стоит проверить совместимость или « критические изменения », которые необходимо устранить. Добавьте эти обновления со средним уровнем риска в свой стандартный график обновлений.
Adobe (на самом деле просто Reader)
Я думал, что мы можем наблюдать тенденцию. В этом месяце нет обновлений Adobe Reader. Тем не менее, Adobe выпустила ряд обновлений для других продуктов, которые можно найти здесь: APSB22-21 . Посмотрим, что произойдет в июне — может быть, мы сможем отказаться от Adobe Reader и IE .
