April’s Patch Tuesday: banyak pembaruan besar, beragam, dan mendesak

Rilis Patch Tuesday minggu ini sangat besar, beragam, berisiko, dan mendesak, dengan kedatangan pembaruan yang terlambat untuk browser Microsoft (CVE-2022-1364) dan dua kerentanan zero-day yang memengaruhi Windows (CVE-2022-26809 dan CVE-2022-24500). Untungnya, Microsoft belum merilis tambalan apa pun untuk Microsoft Exchange, tetapi bulan ini kami harus berurusan dengan lebih banyak kerentanan terkait pencetakan Adobe (PDF) dan upaya pengujian terkait. Kami telah menambahkan pembaruan Windows dan Adobe ke jadwal “Patch Now” kami, dan akan mengawasi dengan cermat untuk melihat apa yang terjadi dengan pembaruan Microsoft Office lebih lanjut.

Sebagai pengingat, Windows 10 1909/20H2 (Home dan Pro) akan mencapai akhir tanggal layanannya pada 10 Mei. Dan jika Kamu mencari cara mudah untuk memperbarui komponen .NET berbasis server, Microsoft kini memiliki Pembaruan pembaruan otomatis .NET untuk server. Kamu dapat menemukan informasi lebih lanjut tentang risiko penggelaran pembaruan Patch Tuesday ini dalam infografik yang bermanfaat ini.

Skenario pengujian kunci

Mengingat apa yang kami ketahui sejauh ini, ada tiga perubahan berisiko tinggi yang dilaporkan termasuk dalam rilis patch bulan ini, termasuk:

• Pembaruan printer ke komponen SPOOL, yang dapat memengaruhi pencetakan halaman dari browser dan gambar padat grafis.
• Pembaruan jaringan untuk pipa bernama yang dapat menyebabkan masalah dengan layanan desktop jarak jauh Microsoft.

Secara lebih umum, mengingat banyaknya dan beragamnya sifat perubahan untuk siklus bulan ini, sebaiknya uji area berikut:

• Uji operasi DNS Zone dan Server Scope Kamu jika digunakan di server lokal Kamu (DNS Manager);
• Uji pencetakan PDF dari browser Kamu (baik desktop maupun server);
• Uji FAKS Kamu (Castelle siapa pun?) dan telepon (telepon) aplikasi berbasis;
• Dan instal, perbaiki, dan hapus instalan paket aplikasi inti Kamu (ini mungkin harus diotomatisasi, dengan data dasar untuk analisis terperinci).

Microsoft telah memperbarui sejumlah API, termasuk file kunci dan komponen kernel (Temukan File Selanjutnya, FindFirstStream dan FindNextStream). Mengingat panggilan API umum ini ada di mana-mana, kami menyarankan untuk membuat uji stres server yang menggunakan beban file lokal yang sangat berat dan memberi perhatian khusus pada pembaruan Pemasang Windows yang memerlukan pengujian pemasangan dan pencopotan pemasangan. Memvalidasi rutinitas pencopotan aplikasi akhir-akhir ini tidak lagi populer karena peningkatan penerapan aplikasi, tetapi hal berikut harus diingat saat aplikasi dihapus dari sistem:

• Apakah aplikasi dihapus? (File, registri, pintasan, layanan, dan pengaturan lingkungan);
• Apakah proses penghapusan menghapus komponen dari aplikasi atau sumber daya bersama?
• Apakah ada sumber daya utama (driver sistem) yang dihapus, dan apakah aplikasi lain memiliki ketergantungan bersama?

Saya telah menemukan bahwa menyimpan log Penginstal penghapusan aplikasi dan membandingkan (semoga sama) informasi di seluruh pembaruan mungkin satu-satunya metode yang akurat – “mengamati” sistem yang dibersihkan tidak cukup. Dan terakhir, mengingat perubahan pada kernel pada pembaruan ini, uji (uji asap) aplikasi lawas Kamu. Microsoft kini telah disertakan persyaratan deployment dan reboot dalam satu halaman.

Masalah Dikenal

Setiap bulan, Microsoft menyertakan daftar masalah umum yang terkait dengan sistem operasi dan platform yang disertakan dalam siklus pembaruan terbaru. Ada lebih banyak dari biasanya bulan ini, jadi saya telah mereferensikan beberapa masalah utama yang terkait dengan build terbaru dari Microsoft, termasuk:

• Setelah menginstal pembaruan Windows yang dirilis 11 Januari 2022 atau lebih baru pada versi Windows yang terpengaruh, cakram pemulihan (CD atau DVD) dibuat menggunakan Pencadangan dan Pemulihan (Windows 7) aplikasi di Panel Kontrol mungkin tidak dapat dimulai.
• Setelah menginstal pembaruan Windows ini, menyambungkan ke perangkat di domain yang tidak tepercaya menggunakan Desktop Jarak Jauh mungkin gagal mengautentikasi saat menggunakan autentikasi kartu pintar. Kamu mungkin menerima perintah, “Kredensial Kamu tidak berfungsi. Kredensial yang digunakan untuk menyambung ke [device name] tidak bekerja. Harap masukkan kredensial baru”, dan “Upaya login gagal” dengan warna merah. Masalah ini diselesaikan menggunakan Kembalikan Masalah yang Diketahui (KIR) menggunakan file instalasi kebijakan grup: Windows Server 2022, Windows 10, versi 2004, Windows 10, versi 20H2, Windows 10, versi 21H1, dan Windows 10, versi 21H2.
• Setelah menginstal pembaruan yang dirilis pada 11 Januari 2022 atau lebih baru, aplikasi yang menggunakan Microsoft .NET Framework untuk memperoleh atau menyetel Active Directory Forest Trust Information mungkin mengalami masalah. Untuk mengatasi masalah ini secara manual, terapkan pembaruan out-of-band Microsoft .NET ini.
• Beberapa organisasi telah melaporkan masalah pemasangan dan konektivitas Bluetooth. Jika Kamu menggunakan Windows 10 21H2 atau lebih baru, Microsoft mengetahui situasinya dan sedang mengerjakan penyelesaiannya.
• Layanan Microsoft Exchange gagal setelah menginstal pembaruan keamanan Maret 2022. Untuk informasi lebih lanjut silakan merujuk ke:

Untuk informasi lebih lanjut tentang masalah umum, silakan kunjungi Rilis Kesehatan Windows lokasi.

Revisi utama

Bulan ini, kami melihat dua revisi besar untuk pembaruan yang telah dirilis sebelumnya:

• CVE-2022-8927: Kerentanan Buffer Overflow Perpustakaan Brotli: Tambalan ini, dirilis bulan lalu, diangkat sebagai kekhawatiran tentang bagaimana Internet Explorer akan menangani perubahan pada file terkompresi seperti CSS dan skrip khusus. Pembaruan terbaru ini hanya menambah jumlah produk yang terpengaruh, dan sekarang menyertakan Visual Studio 2022. Tidak ada perubahan lain yang dilakukan, sehingga tidak diperlukan tindakan lebih lanjut.
• CVE-2021-43877 | ASP.NET Core dan Visual Studio Elevation of Privilege Vulnerability: Ini adalah pembaruan “produk yang terpengaruh” lainnya yang juga menyertakan cakupan untuk Visual Studio 2022. Tidak diperlukan tindakan lebih lanjut.

Mitigasi dan solusinya

Ini adalah pembaruan besar untuk Patch Tuesday, jadi kami telah melihat jumlah mitigasi terdokumentasi yang lebih besar dari perkiraan untuk produk dan komponen Microsoft, termasuk:

• CVE-2022-26919: Kerentanan Eksekusi Kode Jarak Jauh LDAP Windows — Microsoft telah menawarkan mitigasi berikut: “Agar kerentanan ini dapat dieksploitasi, administrator harus meningkatkan pengaturan LDAP MaxReceiveBuffer default.”
• CVE-2022-26815: Kerentanan Eksekusi Kode Jarak Jauh Server DNS Windows. Masalah ini hanya berlaku saat pembaruan DNS dinamis diaktifkan.

Dan untuk kerentanan yang dilaporkan berikut ini, Microsoft merekomendasikan “memblokir port 445 di firewall perimeter.”

• CVE-2022-26809: Remote Procedure Call Runtime Kerentanan Eksekusi Kode Jarak Jauh.
• CVE-2022-26830: DiskUsage.exe Kerentanan Eksekusi Kode Jarak Jauh
• CVE-2022-24541: Kerentanan Eksekusi Kode Jarak Jauh Layanan Windows Server
• CVE-2022-24534: Win32 Stream Enumerasi Kerentanan Eksekusi Kode Jarak Jauh

Kamu bisa baca lebih lanjut di sini tentang mengamankan kerentanan ini dan jaringan SMB Kamu.

Setiap bulan, kami memecah siklus pembaruan menjadi rangkaian produk (sebagaimana ditentukan oleh Microsoft) dengan pengelompokan dasar berikut:

• Browser (Microsoft IE dan Edge)
• Microsoft Windows (baik desktop maupun server)
• Microsoft Office
• Microsoft Exchange
• Platform Pengembangan Microsoft (ASP.NET Inti, Inti .NET dan Inti Cakra)
• Adobe (pensiun???, mungkin tahun depan)

Browser

Tidak ada pembaruan penting untuk browser Microsoft mana pun. Ada 17 pembaruan pada browser Edge proyek Chromium, yang, mengingat cara penerapannya, seharusnya memiliki sedikit atau tidak berpengaruh pada penerapan perusahaan. Semua pembaruan ini dirilis minggu lalu sebagai bagian dari siklus pembaruan Chromium. Namun, sepertinya kita akan melihat set lain pembaruan Chrome penting/darurat dengan laporan dari CVE-2022-1364 dieksploitasi secara liar. Ini akan menjadi rangkaian pembaruan darurat ketiga tahun ini.

Jika tim TI Kamu melihat sejumlah besar browser mogok yang tidak terdugaKamu mungkin rentan terhadap hal yang sangat serius ini jenis masalah kebingungan di mesin JavaScript V8. Microsoft belum merilis pembaruan apa pun bulan ini untuk browser lainnya. Jadi, sekarang adalah saat yang tepat untuk memastikan praktik manajemen perubahan darurat Kamu siap untuk mendukung perubahan yang besar dan sangat cepat pada komponen desktop utama (seperti pembaruan browser).

Windows

Patch Tuesday ini mengirimkan sejumlah besar pembaruan ke platform Windows. Dengan lebih dari 117 perbaikan yang dilaporkan (sekarang 119) yang mencakup komponen utama platform desktop dan server termasuk:

• Hiper-V
• Jaringan Windows (UKM).
• Pemasang Windows.
• Log Umum Windows (lagi).
• Remote Desktop (lagi, dan lagi).
• Pencetakan Windows (oh tidak, tidak lagi).

Dengan semua tambalan yang bervariasi ini, pembaruan ini membawa profil pengujian yang beragam dan, sayangnya dengan laporan terbaru CVE-2022-26809 dan CVE-2022-24500 dieksploitasi di alam liar, rasa urgensi. Selain dua eksploitasi zero-day yang dapat di-worm ini, Microsoft telah merekomendasikan mitigasi segera (memblokir port jaringan) terhadap lima kerentanan yang dilaporkan. Kami juga telah diberitahukan bahwa untuk sebagian besar organisasi besar, pengujian penginstal Windows (instal, perbaiki, dan hapus instalan) disarankan untuk aplikasi inti, yang selanjutnya meningkatkan beberapa upaya teknis yang diperlukan sebelum penerapan umum tambalan ini. Dan, ya, pencetakan akan menjadi masalah. Kami menyarankan fokus untuk mencetak file PDF besar melalui koneksi jarak jauh (VPN) sebagai awal yang baik untuk rezim pengujian Kamu.

Tambahkan pembaruan Windows besar ini ke jadwal rilis “Patch Now” Kamu.

Microsoft Office

Meskipun Microsoft telah merilis lima pembaruan untuk platform Office (semuanya dianggap penting), ini sebenarnya adalah “mari perbarui rilis Excel” dengan CVE-2022-24473 dan CVE-2022-26901 mengatasi potensi eksekusi kode arbitrer (KARTU AS) masalah. Ini adalah dua masalah keamanan serius yang ketika dipasangkan dengan kerentanan elevasi hak istimewa mengarah ke skenario “klik untuk memiliki”. Kami sangat berharap bahwa kerentanan ini akan dilaporkan telah dieksploitasi di alam liar dalam beberapa hari ke depan. Tambahkan pembaruan Microsoft Office ini ke jadwal rilis patch standar Kamu.

Server Microsoft Exchange

Untungnya bagi kami, Microsoft belum merilis pembaruan apa pun untuk Exchange Server bulan ini. Meskipun demikian, kembalinya masalah Adobe PDF seharusnya membuat kami sibuk.

Platform pengembangan Microsoft

Untuk siklus ini, Microsoft merilis enam pembaruan (semuanya dinilai penting) untuk platform pengembangannya yang memengaruhi Visual Studio, GitHub, dan .NET Framework. Baik Visual Studio (CVE-2022-24513 dan CVE-2022-26921) dan GitHub (CVE-2022-24765, CVE-2022-24767) kerentanan bersifat khusus aplikasi dan harus disebarkan sebagai pembaruan khusus aplikasi. Namun, tambalan .NET (CVE-2022-26832) memengaruhi semua versi .NET yang saat ini didukung dan kemungkinan akan dibundel dengan pembaruan kualitas Microsoft .NET terbaru (baca lebih lanjut tentang pembaruan ini di sini). Kami merekomendasikan untuk menyebarkan Pembaruan kualitas .NET 22 April dengan tambalan bulan ini untuk mengurangi waktu pengujian dan upaya penerapan Kamu.

Adobe (benar-benar hanya Pembaca)

Nah, nah, nah…, apa yang kita punya di sini? Adobe Reader kembali bulan ini dengan pencetakan PDF yang menyebabkan lebih banyak sakit kepala bagi pengguna Windows. Untuk bulan ini, Adobe telah merilis APSB22-16, yang mengatasi lebih dari 62 kerentanan kritis dalam cara Adobe Reader dan Acrobat menangani masalah memori (lihat Gunakan setelah Gratis) saat membuat file PDF. Hampir semua masalah keamanan yang dilaporkan ini dapat menyebabkan eksekusi kode jarak jauh pada sistem target. Selain itu, masalah terkait PDF ini terkait dengan beberapa masalah pencetakan Windows (baik desktop maupun server) yang ditangani bulan ini oleh Microsoft.

Tambahkan pembaruan ini ke jadwal rilis “Patch Now” Kamu.