Pembaruan May’s Patch Tuesday membuat patch yang mendesak menjadi suatu keharusan

by

Patch Selasa minggu lalu ini dimulai dengan 73 pembaruan, tetapi berakhir (sejauh ini) dengan tiga revisi dan tambahan yang terlambat (CVE-2022-30138) untuk total 77 kerentanan yang ditangani bulan ini. Dibandingkan dengan serangkaian pembaruan yang dirilis pada bulan April, kami melihat urgensi yang lebih besar dalam menambal Windows — terutama dengan tiga hari nol dan beberapa kelemahan yang sangat serius di server utama dan area autentikasi. Pertukaran akan membutuhkan perhatian juga, karena teknologi pembaruan server baru.

Tidak ada pembaruan bulan ini untuk browser Microsoft dan Adobe Reader. Dan Windows 10 20H2 (kami hampir tidak tahu kamu) sekarang tidak lagi didukung.

Kamu dapat menemukan informasi lebih lanjut tentang risiko penerapan pembaruan Patch Tuesday ini di infografis yang bermanfaat ini, dan Pusat MSRC telah memposting ikhtisar yang bagus tentang cara menangani pembaruan keamanan di sini.

Skenario pengujian kunci

Mengingat banyaknya perubahan yang disertakan dengan siklus tambalan bulan Mei ini, saya telah memecah skenario pengujian menjadi grup berisiko tinggi dan berisiko standar:

Berisiko tinggi: Perubahan ini kemungkinan mencakup perubahan fungsi, mungkin tidak lagi menggunakan fungsi yang sudah ada, dan kemungkinan akan memerlukan pembuatan rencana pengujian baru:

  • Uji sertifikat CA perusahaan Kamu (baru dan diperpanjang). Server domain Kamu KDC akan secara otomatis memvalidasi ekstensi baru yang disertakan dalam pembaruan ini. Cari validasi yang gagal!
  • Pembaruan ini mencakup perubahan pada tanda tangan driver yang sekarang juga menyertakan pemeriksaan stempel waktu tanda tangan kode otentik. Driver yang ditandatangani harus dimuat. Pengemudi yang tidak bertanda tangan seharusnya tidak. Periksa uji coba aplikasi Kamu untuk beban driver yang gagal. Sertakan cek untuk EXE dan DLL yang ditandatangani juga.

Perubahan berikut tidak didokumentasikan sebagai termasuk perubahan fungsional, tetapi masih memerlukan setidaknya “pengujian asap” sebelum penerapan umum tambalan May:

  • Uji klien VPN Kamu saat menggunakan RRA server: termasuk connect, disconnect (menggunakan semua protokol: PPP/PPTP/SSTP/IKEv2).
  • Uji apakah file EMF Kamu terbuka seperti yang diharapkan.
  • Uji Buku Alamat Windows Kamu (WAB) ketergantungan aplikasi.
  • Uji BitLocker: mulai/hentikan mesin Kamu dengan BitLocker diaktifkan dan kemudian dinonaktifkan.
  • Validasi bahwa kredensial Kamu dapat diakses melalui VPN (lihat Manajer Kredensial Microsoft).
  • Uji Kamu Driver pencetak V4 (terutama dengan kedatangan nanti CVE-2022-30138).

Pengujian bulan ini akan memerlukan beberapa kali reboot ke sumber daya pengujian Kamu dan harus menyertakan mesin virtual dan fisik (BIOS/UEFI).

Masalah Dikenal

Microsoft menyertakan daftar masalah umum yang memengaruhi sistem operasi dan platform yang disertakan dalam siklus pembaruan ini:

  • Setelah menginstal pembaruan bulan ini, perangkat Windows yang menggunakan GPU tertentu dapat menyebabkan aplikasi tertutup secara tiba-tiba, atau menghasilkan kode pengecualian (0xc0000094 dalam modul d3d9on12.dll) di aplikasi yang menggunakan Direct3D Versi 9. Microsoft telah menerbitkan sebuah KIR pembaruan kebijakan grup untuk mengatasi masalah ini dengan pengaturan GPO berikut: Unduh untuk Windows 10, versi 2004, Windows 10, versi 20H2, Windows 10, versi 21H1, dan Windows 10, versi 21H2.
  • Setelah menginstal pembaruan yang dirilis 11 Januari 2022 atau lebih baru, aplikasi yang menggunakan Microsoft .NET Framework untuk memperoleh atau mengatur Informasi Hutan Direktori Aktif mungkin gagal atau menghasilkan kesalahan pelanggaran akses (0xc0000005). Tampaknya aplikasi yang bergantung pada System.DirectoryServices API terpengaruh.

Microsoft benar-benar meningkatkan permainannya saat mendiskusikan perbaikan dan pembaruan terkini untuk rilis ini dengan bermanfaat perbarui sorotan video.

Revisi utama

Meskipun daftar tambalan bulan ini jauh lebih sedikit dibandingkan bulan April, Microsoft telah merilis tiga revisi termasuk:

  • CVE-2022-1096: Chromium: CVE-2022-1096 Jenis Kebingungan di V8. Patch bulan Maret ini telah diperbarui untuk menyertakan dukungan untuk Visual Studio versi terbaru (2022) untuk memungkinkan perenderan konten webview2 yang diperbarui. Tidak diperlukan tindakan lebih lanjut.
  • CVE-2022-24513: Visual Studio Peningkatan Kerentanan Privilege. Patch April ini telah diperbarui untuk menyertakan SEMUA versi Visual Studio yang didukung (15.9 hingga 17.1). Sayangnya, pembaruan ini mungkin memerlukan beberapa pengujian aplikasi untuk tim pengembangan Kamu, karena ini memengaruhi bagaimana konten webview2 dirender.
  • CVE-2022-30138: Windows Print Spooler Elevation of Privilege Vulnerability. Ini hanya perubahan informasi. Tidak diperlukan tindakan lebih lanjut.

Mitigasi dan solusinya

Untuk bulan Mei, Microsoft telah menerbitkan satu kunci mitigasi untuk kerentanan sistem file jaringan Windows yang serius:

  • CVE-2022-26937: Kerentanan Eksekusi Kode Jarak Jauh Sistem File Jaringan Windows. Kamu dapat mengurangi serangan dengan menonaktifkan NFSV2 dan NFSV3. Perintah PowerShell berikut akan menonaktifkan versi tersebut: “PS C:Set-NfsServerConfiguration -EnableNFSV2 $false -EnableNFSV3 $false.” Setelah selesai. Kamu perlu me-restart server NFS Kamu (atau sebaiknya me-reboot mesin). Dan untuk mengonfirmasi bahwa server NFS telah diperbarui dengan benar, gunakan perintah PowerShell “PS C:Get-NfsServerConfiguration.”

Setiap bulan, kami memecah siklus pembaruan menjadi rangkaian produk (sebagaimana ditentukan oleh Microsoft) dengan pengelompokan dasar berikut:

  • Browser (Microsoft IE dan Edge);
  • Microsoft Windows (baik desktop maupun server);
  • Microsoft Office;
  • Microsoft Exchange;
  • Platform Pengembangan Microsoft ( ASP.NET Inti, Inti .NET dan Inti Cakra);
  • Adobe (pensiun???, mungkin tahun depan).

Browser

Microsoft belum merilis pembaruan apa pun untuk browser lawas (IE) atau Chromium (Edge) bulan ini. Kami melihat tren penurunan jumlah masalah kritis yang melanda Microsoft selama dekade terakhir. Perasaan saya adalah bahwa pindah ke proyek Chromium telah menjadi “win-win plus plus plus” yang pasti untuk tim pengembangan dan pengguna.

Berbicara tentang browser lawas, kita perlu mempersiapkannya pensiun dari IE datang pertengahan Juni. Yang saya maksud dengan “mempersiapkan” merayakan — setelah, tentu saja, kami telah memastikan bahwa aplikasi lawas tidak memiliki ketergantungan eksplisit pada mesin rendering IE lama. Harap tambahkan “Rayakan penghentian IE” ke jadwal penerapan browser Kamu. Pengguna Kamu akan mengerti.

Windows

Platform Windows menerima enam pembaruan kritis bulan ini dan 56 tambalan dinilai penting. Sayangnya, kami juga memiliki tiga eksploitasi zero-day:

  • CVE-2022-22713: Kerentanan yang diungkapkan secara publik dalam platform virtualisasi Hyper-V Microsoft ini akan mengharuskan penyerang berhasil mengeksploitasi kondisi balapan internal untuk mengarah ke skenario penolakan layanan potensial. Ini adalah kerentanan yang serius, tetapi membutuhkan beberapa kerentanan untuk berhasil.
  • CVE-2022-26925: Keduanya diungkapkan secara terbuka dan dilaporkan sebagai dieksploitasi di alam liar, ini Masalah otentikasi LSA adalah keprihatinan nyata. Ini akan mudah untuk ditambal, tetapi profil pengujiannya besar, membuatnya sulit untuk diterapkan dengan cepat. Selain menguji autentikasi domain Kamu, pastikan fungsi pencadangan (dan pemulihan) berfungsi seperti yang diharapkan. Kami sangat menyarankan untuk memeriksa yang terbaru Catatan dukungan Microsoft hal ini masalah yang sedang berlangsung.
  • CVE-2022-29972: Kerentanan yang diungkapkan secara publik ini di Redshift ODBC driver cukup spesifik untuk aplikasi Synapse. Tetapi jika Kamu memiliki paparan salah satu dari Azure Synapse RBAC peran, menyebarkan pembaruan ini adalah prioritas utama.

Selain isu zero-day tersebut, ada tiga isu lain yang memerlukan perhatian Kamu:

  • CVE-2022-26923: kerentanan dalam autentikasi Direktori Aktif ini tidak cukup “cacing” tetapi sangat mudah untuk dieksploitasi, saya tidak akan terkejut melihatnya segera diserang secara aktif. Setelah disusupi, kerentanan ini akan memberikan akses ke seluruh domain Kamu. Taruhannya tinggi dengan kerentanan ini.
  • CVE-2022-26937: Bug Sistem File Jaringan ini memiliki peringkat 9,8 – salah satu yang tertinggi yang dilaporkan tahun ini. NFS tidak diaktifkan secara default, tetapi jika Kamu memiliki Linux atau Unix di jaringan Kamu, kemungkinan besar Kamu akan menggunakannya. Tambal masalah ini, tetapi kami juga menyarankan untuk memutakhirkan ke NFSv4.1 secepatnya.
  • CVE-2022-30138: Patch ini dirilis pasca-Patch Selasa. Masalah spooler cetak ini hanya memengaruhi sistem lama (Windows 8 dan Server 2012) tetapi akan membutuhkan pengujian yang signifikan sebelum penerapan. Ini bukan masalah keamanan yang sangat kritis, tetapi potensi masalah berbasis printer sangat besar. Luangkan waktu Kamu sebelum menggunakan yang ini.

Mengingat jumlah eksploitasi serius dan tiga hari nol di bulan Mei, tambahkan pembaruan Windows bulan ini ke jadwal “Patch Now” Kamu.

Microsoft Office

Microsoft hanya merilis empat pembaruan untuk platform Microsoft Office (Excel, SharePoint) yang semuanya dinilai penting. Semua pembaruan ini sulit untuk dieksploitasi (membutuhkan interaksi pengguna dan akses lokal ke sistem target) dan hanya memengaruhi platform 32-bit. Tambahkan pembaruan Office profil rendah dan berisiko rendah ini ke jadwal rilis standar Kamu.

Server Microsoft Exchange

Microsoft merilis pembaruan tunggal untuk Exchange Server (CVE-2022-21978) yang dinilai penting dan tampaknya cukup sulit untuk dieksploitasi. Kerentanan elevasi-of-privilege ini memerlukan akses terotentikasi penuh ke server, dan sejauh ini belum ada laporan pengungkapan atau eksploitasi publik di alam liar.

Lebih penting lagi bulan ini, Microsoft memperkenalkan yang baru metode untuk memperbarui server Microsoft Exchange yang sekarang meliputi:

  • File tambalan Penginstal Windows (.MSP), yang berfungsi paling baik untuk penginstalan otomatis.
  • Self-extracting, auto-elevating installer (.exe), yang bekerja paling baik untuk instalasi manual.

Ini adalah upaya untuk memecahkan masalah admin Exchange yang memperbarui sistem server mereka dalam konteks non-admin, yang mengakibatkan status server buruk. Format EXE yang baru memungkinkan penginstalan baris perintah dan pendataan penginstalan yang lebih baik. Microsoft telah membantu menerbitkan contoh baris perintah EXE berikut:

“Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains”

Catatan, Microsoft menganjurkan agar Kamu memiliki variabel lingkungan %Temp% sebelum menggunakan format penginstalan EXE yang baru. Jika Kamu mengikuti metode baru menggunakan EXE untuk memperbarui Exchange, ingatlah bahwa Kamu masih harus (secara terpisah) menerapkan SSU perbarui untuk memastikan server Kamu mutakhir. Tambahkan pembaruan ini (atau EXE) ke jadwal rilis standar Kamu, memastikan bahwa reboot penuh dilakukan saat semua pembaruan selesai.

Platform pengembangan Microsoft

Microsoft telah merilis lima pembaruan yang dinilai penting dan satu tambalan dengan peringkat rendah. Semua tambalan ini memengaruhi Visual Studio dan .NET framework. Karena Kamu akan memperbarui instans Visual Studio untuk mengatasi kerentanan yang dilaporkan ini, kami menyarankan Kamu untuk membaca Panduan pembaruan Visual Studio April.

Untuk mengetahui lebih lanjut tentang masalah spesifik yang ditangani dari perspektif keamanan, the Mei 2022 .NET memperbarui postingan blog akan berguna. Memperhatikan itu.NET 5.0 kini telah mencapai akhir dukungan dan sebelum Kamu memutakhirkan ke .NET 7, mungkin ada baiknya memeriksa beberapa kompatibilitas atau “perubahan yang melanggar” yang perlu ditangani. Tambahkan pembaruan berisiko menengah ini ke jadwal pembaruan standar Kamu.

Adobe (benar-benar hanya Pembaca)

Saya pikir kita mungkin melihat tren. Tidak ada pembaruan Adobe Reader untuk bulan ini. Konon, Adobe telah merilis sejumlah pembaruan untuk produk lain yang ditemukan di sini: APSB22-21. Mari kita lihat apa yang terjadi di bulan Juni — mungkin kita bisa pensiun keduanya Adobe Reader dan IE.

Post By 2022 Idnu.me, Inc.

Leave a Comment