Menambal tidak cukup untuk Patch Selasa bulan Desember

by

Pembaruan Patch Tuesday bulan ini penting karena beberapa alasan. Dengan 67 kerentanan unik yang ditangani, enam masalah yang dilaporkan secara publik dan satu sudah dieksploitasi, pembaruan bulan ini masih kalah dibandingkan dengan berurusan dengan masalah Log4j. (Untungnya, tidak ada pembaruan browser atau Microsoft Exchange dan sedikit perubahan pada Microsoft Office.)

Kami telah menambahkan pembaruan Windows dan pembaruan Visual Studio ke rekomendasi siklus rilis “Tambalan Sekarang”, sementara pembaruan Office diturunkan ke irama rilis normal. Kamu dapat menemukan informasi lebih lanjut tentang risiko penggelaran pembaruan Patch Tuesday ini dalam infografis ini.

Skenario pengujian kunci

Tidak ada laporan perubahan berisiko tinggi pada platform Windows bulan ini. Namun, ada satu perubahan fungsi yang dilaporkan, dan fitur tambahan. Berikut adalah rekomendasi pengujian tingkat tinggi kami:

  • Uji pencetakan lokal. Uji pencetakan jarak jauh dan uji pencetakan melalui RDP.
  • Tes membaca atau memproses file ETL dan file WMF besar.
  • Uji koneksi VPN baru dan yang sudah ada. Sertakan uji VPN situs-ke-situs.
  • Uji skenario nama pendek NTFS dan transfer file besar.

Masalah Dikenal

Setiap bulan, Microsoft menyertakan daftar masalah umum yang terkait dengan sistem operasi dan platform yang disertakan dalam siklus pembaruan ini. Saya telah mereferensikan beberapa masalah utama yang terkait dengan build terbaru, termasuk:

  • Setelah menginstal pembaruan yang dirilis 22 April 2021 atau lebih baru, terjadi masalah yang memengaruhi versi Windows Server yang digunakan sebagai host Layanan Manajemen Kunci (KMS). Perangkat klien yang menjalankan Windows 10 Enterprise LTSC 2019 dan Windows 10 Enterprise LTSC 2016 mungkin gagal diaktifkan. Masalah ini tidak akan memengaruhi aktivasi Windows. Microsoft saat ini sedang menyelidiki masalah tersebut.
  • Setelah menginstal pembaruan ini, saat menyambungkan ke perangkat di domain yang tidak tepercaya menggunakan Remote Desktop, sambungan mungkin gagal diautentikasi saat menggunakan autentikasi kartu pintar. Masalah ini diatasi dengan menggunakan Known Issue Rollback (KIR), yang dapat diterapkan dengan file instalasi Kebijakan Grup berikut:

Salah satu cara terbaik untuk mengetahui apakah ada masalah umum yang dapat memengaruhi platform target Kamu adalah dengan memeriksa banyak opsi konfigurasi untuk mengunduh data tambalan di Panduan Pembaruan Keamanan Microsoft atau halaman ringkasan untuk pembaruan keamanan bulan ini.

Revisi utama

Microsoft merilis empat pembaruan untuk alasan informasi (dokumentasi dan pembaruan FAQ) termasuk: CVE-2021-43236, CVE-2021-43883, CVE-2021-43893, CVE-2021-43905. Selain itu, Microsoft merilis beberapa pembaruan besar untuk tambalan sebelumnya, termasuk:

  • CVE-2019-0887, CVE-2020-0655 dan CVE-2021-1669: Pembaruan RCE layanan desktop jarak jauh ini menerima pemberitahuan revisi besar karena tabel sistem yang terpengaruh diperbarui. Windows 11 dipengaruhi oleh masalah keamanan ini dan tambalan ini berlaku sesuai dengan itu.
  • CVE-2021-24084: Cakupan sistem yang terpengaruh telah diperbarui ke semua sistem Windows yang didukung.

Karena cakupan tambalan ini lebih besar, Kamu mungkin belum mengunduh dan menerapkannya pada bulan November. Bulan ini, keempat pembaruan akan disertakan dalam siklus tambalan (meskipun tanggalnya mungkin mencerminkan tanggal rilis November).

Mitigasi dan solusinya

Bulan ini, ada satu kerentanan yang dilaporkan yang mencakup mitigasi dan solusi yang terdokumentasi:

  • CVE-2021-43890: Microsoft telah menerbitkan serangkaian solusi ekstensif untuk kerentanan spoofing AppX ini. Dengan menggunakan kebijakan GPO BlockNonAdminUserInstall dan AllowAllTrustedAppToInstall, area permukaan untuk serangan pemuatan samping pada penginstal AppX dapat dikurangi. Microsoft telah menerbitkan a dokumen cara kerja yang terperinci tentang pengaturan kebijakan GPO untuk AppX (dan sekarang MSIX).

Setiap bulan, kami memecah siklus pembaruan menjadi rangkaian produk (sebagaimana ditentukan oleh Microsoft) dengan pengelompokan dasar berikut:

  • Browser (Microsoft IE dan Edge);
  • Microsoft Windows (baik desktop maupun server);
  • Microsoft Office;
  • Microsoft Exchange;
  • Platform Pengembangan Microsoft ( ASP.NET Inti, Inti .NET dan Inti Cakra);
  • Dan Adobe. (Pensiun? Mungkin tahun depan.)

Browser

Bulan ini, proyek kromium merilis 16 pembaruan untuk browser Microsoft Edge. Kami benar-benar melihat tren di sini, tanpa pembaruan pada browser lawas Microsoft. Pemutakhiran ini kemungkinan besar merupakan bagian dari proses pemutakhiran otomatis untuk lingkungan desktop Kamu, karena pemutakhiran ini tidak akan disebarkan melalui Pemutakhiran Microsoft.

Kamu dapat mengetahui lebih lanjut di Blog Rilis Chrome dan detail keamanan di Halaman Keamanan Chrome. Mengingat sifat Edge (tidak sepenuhnya terintegrasi ke dalam OS), ada sangat sedikit kesalahan kompatibilitas atau integrasi yang diharapkan dengan rilis ini. Tambahkan pembaruan Chrome ini ke jadwal rilis pembaruan rutin Kamu.

Windows

Desember membawa pembaruan moderat ke Windows dengan 36 pembaruan; tiga dinilai kritis oleh Microsoft dan 33 sisanya dianggap penting. Biasanya, kami akan fokus pada tambalan kritis. Tapi bulan ini lebih tepat untuk fokus pada kerentanan yang diungkapkan dan dieksploitasi secara publik, termasuk:

Bulan ini kami memiliki “hanya” satu kerentanan yang dilaporkan telah dieksploitasi secara liar, dengan serangan spoof pemuatan samping pada komponen penginstal Microsoft AppX (CVE-2021-43890). Untungnya, ini adalah serangan kompleks yang memerlukan campur tangan pengguna dan Microsoft telah mengonfirmasi perbaikan resmi untuk masalah ini. Mengingat fokus pada pembaruan komponen sistem inti (NTFS, Penginstal, dan pencetakan), kami menyertakan beberapa rekomendasi pengujian:

  • Lakukan pengujian pada server dan desktop untuk mengirim/menerima lalu lintas yang padat. Fokus pada file tunggal yang sangat besar.
  • Uji file .WMF Kamu (karena pembaruan codec) dan aplikasi D3D yang intensif secara grafis.
  • Uji berbagai kondisi lalu lintas jaringan, khususnya dengan transfer data besar — ​​terutama SMB, sistem file terenkripsi, dan pembagian jarak jauh.
  • Instal, perbarui, dan hapus instalan aplikasi inti Kamu di lingkungan pengujian. Pastikan semua pencopotan pemasangan bersih.
  • Uji pencetakan Kamu, terutama pencetakan jarak jauh, dan pencetakan melalui RDP.
  • Semua aplikasi yang menggunakan TLS/SSL harus menjalani “tes asap” dasar.

Dan tentang masalah Log4j itu? Menambal OS tidak cukup untuk melindungi lingkungan Kamu. Kami sangat merekomendasikan pemindaian langsung portofolio aplikasi Kamu untuk dependensi JAVA dan referensi ke komponen Log4j. Berita minggu ini tentang masalah Log4j hanyalah permulaan. Harapkan serangan industri skala besar selama periode Natal dan memasuki Tahun Baru. Ini akan menjadi buruk. Ini akan menjadi berantakan.

Tambahkan pembaruan Windows ini ke jadwal “Patch Now” Kamu dan mulai bekerja untuk mengurangi permukaan serangan aplikasi Kamu.

Microsoft Office

Microsoft merilis sembilan tambalan untuk Office, semuanya dinilai penting. Semua versi SharePoint dan Access terpengaruh, begitu pula versi Word 2016 dan 2019. Tidak ada vektor serangan panel pratinjau bulan ini, dan semua kerentanan yang dilaporkan memerlukan interaksi pengguna. Tambahkan pembaruan Microsoft Office ini ke jadwal rilis patch reguler Kamu.

Server Microsoft Exchange

Masalah Log4j mungkin menjadi batu bara di stok Kamu, tetapi Microsoft telah memberi kami penangguhan hukuman dari pembaruan Microsoft Exchange apa pun bulan ini. Jadi Kamu bisa lebih memperhatikan hal-hal lain, seperti Natal. Atau Log4j. Kamu memilih.

Platform Pengembangan Microsoft

Microsoft menerbitkan tujuh pembaruan untuk platform pengembangannya bulan ini (satu kritis dan sisanya dinilai penting) yang memengaruhi Visual Studio, PowerShell, dan ASP.NET/.NET kerangka. Patch berperingkat kritis tunggal (CVE-2021-43907) berkaitan dengan ekstensi WSL yang populer; jika tidak ditambal, ini dapat menyebabkan skenario eksekusi kode jarak jauh. Ini adalah masalah yang cukup serius yang akan memengaruhi semua pengguna WSL. Sayangnya, profil pengujian akan cukup besar dengan persyaratan pengujian untuk server .NET COM dan ekspresi REGEX.

Kami menyarankan agar Kamu menambahkan pembaruan Visual Studio ini ke jadwal “Patch Now” Kamu dan juga mereferensikan pembaruan terkait .NET tambahan (dan terpisah) diterbitkan di blog Microsoft Dev.

Adobe (benar-benar hanya Pembaca)

Bulan ini, Microsoft tidak merilis pembaruan apa pun untuk Adobe Reader. Saya terus berpikir bahwa saya dapat menghentikan bagian ini, tetapi kami terus mendapatkan pembaruan berkala dari Adobe atau pembaruan pencetakan penting untuk file PDF. Mari kita lihat apa yang terjadi di tahun 2022.

Dan, jika Kamu sampai sejauh ini…

Karena operasi minimal selama liburan dan liburan tahun baru mendatang, Microsoft tidak akan merilis rilis pratinjau (dikenal sebagai rilis “C”) untuk bulan Desember. Servis bulanan normal untuk rilis Microsoft B dan C akan dilanjutkan pada bulan Januari. Windows 10, versi 2004 telah mencapai akhir layanan sejak rilis ini. Bulan depan kami kemungkinan akan melihat pembaruan protokol TLS untuk Windows Server 2008 dengan dukungan untuk TLS 1.2.

Post By 2021 Idnu.me, Inc.

Leave a Comment