Выпущенный в этом месяце выпуск исправлений во вторник был большим и включает в себя исправления для браузеров Microsoft и две уязвимости нулевого дня для Windows. Пора заняться обновлением!

Выпуск исправлений на этой неделе был огромным, разнообразным, рискованным и срочным, с запоздалыми обновлениями для браузеров Microsoft ( CVE-2022-1364 ) и двумя уязвимостями нулевого дня, затрагивающими Windows ( CVE-2022-26809 и CVE-2022-24500 ) . . К счастью, Microsoft не выпустила никаких исправлений для Microsoft Exchange, но в этом месяце нам придется иметь дело с дополнительными уязвимостями, связанными с печатью Adobe (PDF), и связанными с этим усилиями по тестированию. Мы добавили обновления Windows и Adobe в наш график «Исправление сейчас» и будем внимательно следить за тем, что произойдет с любыми дальнейшими обновлениями Microsoft Office. 

Напоминаем, что срок службы Windows 10 1909/20H2 (Home и Pro) истекает 10 мая. И если вы ищете простой способ обновить серверные компоненты .NET, у Microsoft теперь есть .NET auto -обновление обновлений для серверов . Вы можете найти больше информации о риске развертывания этих обновлений Patch Tuesday в этой полезной инфографике .

Ключевые сценарии тестирования

Учитывая то, что нам известно на данный момент, сообщалось о трех изменениях с высокой степенью риска, включенных в выпуск исправления в этом месяце, в том числе:

• Обновления принтера для компонента SPOOL, которые могут повлиять на печать страниц из браузеров и графически насыщенных изображений.
• Сетевое обновление именованных каналов, которое может вызвать проблемы со службами удаленного рабочего стола Microsoft.

В целом, учитывая большое количество и разнообразный характер изменений в цикле этого месяца, мы рекомендуем протестировать следующие области:

• Протестируйте операции DNS Zone и Server Scope, если они используются на ваших локальных серверах (DNS Manager);
• Протестируйте печать PDF-файлов из ваших браузеров (как настольных, так и серверных);
• Протестируйте приложения для факса ( кто- нибудь Кастель ?) и телефона ( телефония );
• И устанавливать, восстанавливать и удалять пакеты основных приложений (это, вероятно, должно быть автоматизировано с базовыми данными для подробного анализа).

Microsoft обновила ряд API, включая ключевой файл и компоненты ядра ( FindNextFile , FindFirstStream и FindNextStream ). Учитывая повсеместное распространение этих общих вызовов API, мы предлагаем создать нагрузочный тест сервера, который использует очень большие локальные загрузки файлов, и уделить особое внимание обновлению установщика Windows, которое требует тестирования как установки, так и удаления. Проверка процедур удаления приложений в последнее время вышла из моды из-за улучшений в развертывании приложений, но при удалении приложений из системы следует помнить следующее:

• Приложение удаляется? (Файлы, реестр, ярлыки, службы и настройки среды);
• Удаляются ли в процессе удаления компоненты из приложений или общих ресурсов?
• Удалены ли какие-либо ключевые ресурсы (системные драйверы) и есть ли у других приложений общие зависимости?

Я обнаружил, что ведение журналов установщика удаления приложений и сравнение (надеюсь, одинаковой) информации об обновлениях, вероятно, является единственным точным методом — «на глазок» очистить систему недостаточно. И, наконец, учитывая изменения ядра в этом обновлении, протестируйте ( дымовой тест ) ваши устаревшие приложения. Microsoft теперь включила требования по развертыванию и перезагрузке на одной странице .

Известные вопросы

Каждый месяц Microsoft включает список известных проблем, связанных с операционной системой и платформами, включенными в последний цикл обновлений. В этом месяце их больше, чем обычно, поэтому я упомянул несколько ключевых проблем, связанных с последними сборками от Microsoft, в том числе:

• После установки обновлений Windows, выпущенных 11 января 2022 г. или более поздней версии, в уязвимой версии Windows диски восстановления (CD или DVD), созданные с помощью приложения « Резервное копирование и восстановление» (Windows 7) на панели управления, могут не запускаться.
• После установки этого обновления Windows при подключении к устройствам в ненадежном домене с помощью удаленного рабочего стола может произойти сбой проверки подлинности при использовании проверки подлинности с помощью смарт-карты. Вы можете получить сообщение «Ваши учетные данные не работают. Учетные данные, которые использовались для подключения к [имя устройства] не работают. Пожалуйста, введите новые учетные данные» и «Попытка входа не удалась» красным цветом. Эта проблема решается с помощью отката известной проблемы (KIR) с использованием файлов установки групповой политики: Windows Server 2022 , Windows 10, версия 2004, Windows 10, версия 20H2, Windows 10, версия 21H1 и Windows 10, версия 21H2 . 
• После установки обновлений, выпущенных 11 января 2022 г. или позже, в приложениях, использующих Microsoft .NET Framework для получения или установки информации о доверии леса Active Directory, могут возникать проблемы. Чтобы решить эту проблему вручную, примените эти внеплановые обновления Microsoft .NET .
• Некоторые организации сообщают о проблемах сопряжения и подключения Bluetooth. Если вы используете Windows 10 21H2 или более позднюю версию, Microsoft знает о ситуации и работает над ее решением.
• Служба Microsoft Exchange дает сбой после установки обновления для системы безопасности за март 2022 г. Для получения дополнительной информации см.:
  • KB5012698 — Microsoft Exchange Server 2019 и 2016 (8 марта 2022 г.)
  • KB5010324 — Microsoft Exchange Server 2013 (8 марта 2022 г.)

Дополнительные сведения об известных проблемах см. на сайте Windows Health Release .

Основные изменения

В этом месяце мы видим две основные версии обновлений, которые были выпущены ранее:

• CVE-2022-8927 : Уязвимость Brotli Library Buffer Overflow : это исправление, выпущенное в прошлом месяце, было вызвано опасениями по поводу того, как Internet Explorer будет обрабатывать изменения в сжатых файлах, таких как CSS и пользовательские скрипты. Это последнее обновление просто расширяет число затрагиваемых продуктов и теперь включает Visual Studio 2022. Никаких других изменений внесено не было, поэтому никаких дополнительных действий не требуется.
• CVE-2021-43877 | Уязвимость ASP.NET Core и Visual Studio, связанная с повышением привилегий. Это еще одно обновление «уязвимого продукта», которое также охватывает Visual Studio 2022. Никаких дополнительных действий не требуется.

Смягчения и обходные пути

Это большое обновление для вторника исправлений, поэтому мы увидели большее, чем ожидалось, количество задокументированных мер по устранению недостатков для продуктов и компонентов Microsoft, в том числе:

• CVE-2022-26919 : Уязвимость Windows LDAP, связанная с удаленным выполнением кода. Корпорация Майкрософт предложила следующее решение: «Чтобы эту уязвимость можно было использовать, администратор должен увеличить параметр LDAP MaxReceiveBuffer по умолчанию».
• CVE-2022-26815 : Уязвимость удаленного выполнения кода Windows DNS Server. Эта проблема применима только при включении динамических обновлений DNS.

А для следующих обнаруженных уязвимостей Microsoft рекомендует «заблокировать порт 445 на брандмауэре периметра».

• CVE-2022-26809 : Уязвимость удаленного вызова процедур во время выполнения удаленного выполнения кода.
• CVE-2022-26830 : Уязвимость DiskUsage.exe, связанная с удаленным выполнением кода
• CVE-2022-24541 : Уязвимость удаленного выполнения кода службы Windows Server
• CVE-2022-24534 : Уязвимость перечисления потоков Win32, связанная с удаленным выполнением кода

Каждый месяц мы разбиваем цикл обновления на семейства продуктов (согласно определению Microsoft) со следующими основными группами:

• Браузеры (Microsoft IE и Edge)
• Microsoft Windows (как настольная, так и серверная)
• Microsoft Office
• Обмен Майкрософт
• Платформы разработки Microsoft ( ASP.NET Core, .NET Core и Chakra Core)
• Adobe (на пенсии???, может быть, в следующем году)

Браузеры

Критических обновлений ни для одного из браузеров Microsoft не было. В браузере Edge проекта Chromium было 17 обновлений, которые, учитывая то, как они были реализованы, должны иметь незначительное влияние на корпоративные развертывания. Все эти обновления были выпущены на прошлой неделе в рамках цикла обновления Chromium. Тем не менее, похоже, что мы увидим еще один набор критических/аварийных обновлений Chrome  с сообщениями о CVE-2022-1364, эксплуатируемых в дикой природе. Это будет третий набор экстренных обновлений в этом году.

Если ваша ИТ-команда наблюдает большое количество неожиданных сбоев браузера , вы можете быть уязвимы к этой очень серьезной проблеме путаницы типов  в движке JavaScript V8. В этом месяце Microsoft не выпускала никаких обновлений для других своих браузеров. Итак, сейчас самое подходящее время, чтобы убедиться, что ваши методы управления экстренными изменениями поддерживают крупные и очень быстрые изменения ключевых компонентов рабочего стола (например, обновления браузера).

Окна

Этот вторник исправлений доставил большое количество обновлений для платформы Windows. Сообщается о более чем 117 исправлениях (теперь 119), охватывающих ключевые компоненты как настольных, так и серверных платформ, включая:

• Гипер-V
• Сеть Windows (SMB).
• Установщик Windows.
• Общий журнал Windows (снова).
• Удаленный рабочий стол (снова и снова).
• Печать Windows (о нет, только не снова).

Со всеми этими разнообразными исправлениями это обновление имеет разнообразный профиль тестирования и, к сожалению, с недавними сообщениями о CVE-2022-26809 и CVE-2022-24500, эксплуатируемых в дикой природе, ощущение срочности. В дополнение к этим двум эксплойтам нулевого дня, способным к червям, Microsoft рекомендовала немедленные меры (блокировка сетевых портов) против пяти зарегистрированных уязвимостей. Нам также сообщили, что для большинства крупных организаций рекомендуется тестирование установщика Windows (установка, восстановление и удаление) для основных приложений, что еще больше увеличивает некоторые технические усилия, необходимые для общего развертывания этих исправлений. Да и с печатью будут проблемы. Мы предлагаем сосредоточиться на печати больших PDF-файлов через удаленные (VPN) соединения в качестве хорошего начала режима тестирования.

Добавьте это крупное обновление Windows в расписание выпуска «Исправление сейчас».

Microsoft Office

Хотя Microsoft выпустила пять обновлений для платформы Office (все оценены как важные), на самом деле это «давайте обновим выпуск Excel» с CVE-2022-24473 и CVE-2022-26901, устраняющими потенциальные проблемы с выполнением произвольного кода ( ACE ). Это две серьезные проблемы безопасности, которые в сочетании с уязвимостью, связанной с повышением привилегий, приводят к сценарию «нажми и владей». Мы полностью ожидаем, что об этой уязвимости будет сообщено как об использовании в дикой природе в ближайшие несколько дней. Добавьте эти обновления Microsoft Office в стандартный график выпуска исправлений.

Сервер Microsoft Exchange

К счастью для нас, в этом месяце Microsoft не выпустила никаких обновлений для Exchange Server. Тем не менее, возвращение выпусков Adobe PDF должно занять нас.

Платформы разработки Майкрософт

В этом цикле Microsoft выпустила шесть обновлений (все оценены как важные) для своей платформы разработки, затрагивающих Visual Studio, GitHub и .NET Framework. Обе уязвимости Visual Studio ( CVE-2022-24513 и CVE-2022-26921 ) и GitHub ( CVE-2022-24765 , CVE-2022-24767 ) зависят от приложения и должны развертываться как обновления для приложения. Однако исправление .NET ( CVE-2022-26832 ) затрагивает все поддерживаемые в настоящее время версии .NET и, скорее всего, будет поставляться в комплекте с последними обновлениями качества Microsoft .NET (  подробнее об этих обновлениях читайте здесь ). Мы рекомендуем развернуть качественные обновления .NET от 22 апреля.   с исправлениями этого месяца, чтобы сократить время тестирования и усилия по развертыванию.

Adobe (на самом деле просто Reader)

Ну-ну-ну… что тут у нас? Adobe Reader возвращается в этом месяце, а печать PDF вызывает еще больше головной боли у пользователей Windows. В этом месяце Adobe выпустила APSB22-16 , в котором устранено более 62 критических уязвимостей в том, как Adobe Reader и Acrobat обрабатывают проблемы с памятью (см.  Использование после освобождения ) при создании PDF-файлов. Почти все эти сообщения о проблемах безопасности могут привести к удаленному выполнению кода в целевой системе. Кроме того, эти проблемы, связанные с PDF, связаны с несколькими проблемами печати в Windows (как настольных, так и серверных), решенными в этом месяце корпорацией Майкрософт.