Aplikasi lawas berisiko dengan pembaruan September Patch Tuesday

by

Patch Tuesday minggu ini adalah pembaruan yang tidak biasa dari Microsoft dan kami telah menambahkan Windows, platform pengembangan Microsoft, dan Adobe Reader ke jadwal “Patch Now” kami.

Pembaruan ini didorong oleh patch zero-day (CVE-2021-40444) ke pustaka browser inti Microsoft MSHTML. Selain menyebabkan kekhawatiran eksekusi kode jarak jauh yang signifikan, pembaruan ini juga dapat menyebabkan perilaku tak terduga pada aplikasi lawas yang bergantung pada atau menyertakan komponen browser ini. Pastikan untuk menilai portofolio Kamu untuk aplikasi utama yang memiliki dependensi ini dan melakukan pengujian fungsionalitas penuh sebelum diterapkan. (Kami telah mengidentifikasi beberapa strategi mitigasi utama untuk menangani kontrol ActiveX dan untuk melindungi sistem Kamu selama fase pengujian dan penerapan.)

Kamu juga dapat menemukan informasi lebih lanjut tentang risiko penggelaran tambalan Patch Tuesday inidalam infografis ini.

Skenario pengujian kunci

Tidak ada laporan perubahan berisiko tinggi pada platform Windows bulan ini. Namun, ada satu perubahan fungsi yang dilaporkan dan fitur tambahan:

  • Seperti biasa, konfirmasikan bahwa pencetakan berfungsi seperti yang diharapkan dengan printer fisik dan virtual. Pastikan tidak ada masalah dengan driver printer dan periksa perangkat lunak driver printer yang masih menggunakan kode 32-bit untuk manajemen aplikasi.
  • Verifikasi Pelacakan Peristiwa untuk Windows berfungsi seperti yang diharapkan; log muncul di Peraga Peristiwa.
  • Konfirmasikan bahwa koneksi yang memanfaatkan Remote Desktop Gateway dan Virtual Private Networks (VPNs) berfungsi seperti yang diharapkan.
  • Uji objek SCCRUN seperti Scripting.FileSystemObject, textStream, Scripting.Dictionary. Melihat dokumen Microsoft ini dan Objek kamus | Dokumen Microsoft untuk informasi tambahan.
  • Konfirmasi bahwa pengguna dengan izin dapat mengakses file pada share SMB. Verifikasi bahwa mengakses file menggunakan fungsi Buat / Salin / Hapus / Baca / Tulis / Ganti Nama / Tutup seperti yang diharapkan.

Menguji aplikasi dan pencetakan lawas Kamu akan menjadi tugas utama saat mengelola pembaruan bulan September ini (dan di masa mendatang). Mencari perangkat lunak driver printer yang masih menggunakan kode 32-bit untuk manajemen aplikasi penting untuk menghindari “berpikir”. Area perhatian ini berkaitan dengan bagaimana memori ditangani antara aplikasi 32-bit dan 64-bit. Jika Kamu mencari skenario di mana semuanya rusak, pada waktu yang tidak dapat diprediksi, dan memengaruhi sistem inti, coba temukan driver printer yang sudah tua dengan perangkat lunak manajemen printer lama.

Sebenarnya, kemungkinan besar hasilnya akan menemukan Kamu.

Meskipun kami sering berfokus pada pencetakan dan aplikasi lama, kerja jarak jauh telah mengalami peningkatan yang sangat besar selama pandemi. Kami menawarkan rekomendasi pengujian khusus VPN berikut bulan ini:

  • Verifikasi bahwa Pembaruan Windows dapat diinstal dengan andal melalui koneksi VPN dan non-VPN dan bahwa pembaruan berhasil diinstal.
  • Periksa apakah anti-virus Kamu berfungsi seperti yang diharapkan melalui koneksi VPN Kamu.
  • Pastikan kemampuan untuk memperoleh alamat DHCP dan konektivitas jaringan melalui koneksi jaringan kabel dan nirkabel dengan dan tanpa 802.1x.

Masalah Dikenal

Setiap bulan, Microsoft menyertakan daftar masalah umum yang terkait dengan sistem operasi dan platform dalam siklus pembaruan terbaru. Saya telah mereferensikan beberapa masalah utama yang terkait dengan build terbaru dari Microsoft, termasuk:

  • Bulan ini, semua pembaruan Windows 10 menyertakan perbaikan yang mengatasi masalah yang menyebabkan PowerShell membuat direktori anak dalam jumlah tak terbatas. Masalah ini terjadi saat Kamu menggunakan perintah PowerShell Move-Item untuk memindahkan direktori ke salah satu anaknya. Akibatnya, volume terisi dan sistem berhenti merespons.

Revisi utama

Pada saat penulisan (untuk siklus pembaruan Juli), ada empat pembaruan utama untuk pembaruan yang dirilis sebelumnya:

Mitigasi dan solusinya

Bulan ini, Microsoft menerbitkan solusi untuk MSHTML memperbarui. Perusahaan (bukan untuk pertama kalinya) merekomendasikan untuk menonaktifkan Active X. Kami menyarankan untuk menonaktifkan ActiveX sebagai aturan umum dan menggunakan Kebijakan Grup untuk platform terkelola Kamu. Berikut adalah beberapa langkah sederhana untuk memastikan bahwa ActiveX dinonaktifkan:

  1. Pilih Zona (Zona Internet, Zona Intranet, Zona Mesin Lokal, atau Zona Situs Tepercaya).
  2. Klik dua kali Unduh kontrol ActiveX yang ditandatangani dan Aktifkan kebijakan. Kemudian atur opsi dalam kebijakan menjadi Cacat.
  3. Klik dua kali Unduh kontrol ActiveX yang tidak ditandatangani dan Aktifkan kebijakan. Kemudian atur opsi dalam kebijakan menjadi Cacat.

Kamu juga dapat menentukan kunci registri dan ID komponen tertentu untuk masing-masing aplikasi (mis. Microsoft Word) —cari tahu lebih lanjut di sini. Microsoft juga menyarankan agar Kamu membuka dokumen di “Tampilan Terlindungi” dan gunakan versi Office dari Penjaga Aplikasi. Dan jika Kamu telah menggunakan tumpukan Microsoft lengkap dan telah menggunakan Defender, Kamu dapat menggunakannya pengurangan permukaan serangan aturan untuk mengurangi ancaman paparan masalah keamanan yang serius ini.

Setiap bulan, kami memecah siklus pembaruan menjadi rangkaian produk (sebagaimana ditentukan oleh Microsoft) dengan pengelompokan dasar berikut:

  • Browser (Microsoft IE dan Edge);
  • Microsoft Windows (baik desktop maupun server);
  • Microsoft Office;
  • Microsoft Exchange;
  • Platform Pengembangan Microsoft ( ASP.NET Inti, Inti .NET dan Inti Cakra);
  • Adobe (sudah pensiun? Belum).

Browser

Microsoft merilis 26 pembaruan untuk browser Edge berbasis Chromium bulan ini. Selain tambalan ini, proyek Chromium juga merilis 11 pembaruan terkait keamanan September ini (Catatan Rilis Chrome). Meskipun perang browser telah berakhir, dan sekarang Microsoft menggunakan Open Source, satu-satunya jenis masalah keamanan yang konstan adalah memori “Use After Free” (alias Pointer Menggantung) kesalahan alokasi. Ini kelas alokasi memori kesalahan masih yang paling umum dan pembaruan bulan ini (baca CVE-2021-30610) adalah contoh yang baik dari pertempuran yang sedang berlangsung untuk tetap berada di depan orang jahat. Perubahan yang diusulkan ke Edge akan berdampak minimal atau tidak sama sekali pada sistem perusahaan bulan ini. Tambahkan pembaruan ini ke jadwal pembaruan desktop standar Kamu.

Windows

Microsoft telah merilis 35 pembaruan untuk platform Windows dengan dua peringkat kritis (CVE-2021-36965 dan CVE-2021-26435) untuk siklus ini. Meskipun ini bukan pembaruan terbesar yang pernah kami lihat untuk sementara waktu, rilis ini memengaruhi sejumlah area platform utama: jaringan, driver kernel, Penginstal Windows, komponen grafik utama (GDI), dan beberapa alat diagnostik utama (Pelaporan Kesalahan Windows).

Namun, perhatian sebenarnya bulan ini untuk tim pengujian dan penerapan adalah apa yang telah dirilis ulang: CVE-2021-40444. Itu dirilis awal bulan ini dan telah melihat dua pembaruan sejak penerbitan awal. Masalah MSHTML menjadi perhatian nyata karena berkaitan dengan komponen browser inti yang biasa digunakan di sejumlah aplikasi. Ini seperti memiliki Internet Explorer yang disematkan di lini aplikasi bisnis inti Kamu (ya, saya tahu).

Kamu benar-benar tidak menginginkan komponen ini dalam portofolio pengembangan Kamu dan Kamu perlu mengetahui aplikasi mana yang bergantung padanya dengan cepat. Kami menjalankan pemindaian cepat terhadap aplikasi umum kami yang menggunakan pustaka MSHTML dan menemukan bahwa antara 5-10% “aplikasi lawas” (aplikasi yang lebih lama dari lima tahun) memiliki ketergantungan langsung pada MSHTML. Aplikasi ini akan memerlukan pengujian mendalam dan kemungkinan merupakan bidang yang menjadi perhatian bisnis apa pun. Sayangnya, kami harus menambahkan pembaruan Windows ini ke jadwal “Patch Now” kami untuk bulan ini.

Microsoft Office

Microsoft telah merilis 12 pembaruan untuk platform Office bulan ini, semuanya dinilai penting. (Benar, tidak ada pembaruan penting untuk Office, Exchange, atau SharePoint siklus tambalan ini.) Word, Excel, Visio, dan pustaka Microsoft Office bersama (mis. MSO dan kode bersama yang umum untuk semua komponen Microsoft Office) terpengaruh bulan ini. Tak satu pun dari masalah keamanan yang dilaporkan menyertakan “panel pratinjau” atau vektor serangan yang sangat rentan lainnya.

Tambahkan pembaruan Microsoft September ini ke jadwal rilis standar Kamu.

Server Microsoft Exchange

Kami berada dalam posisi yang beruntung pada bulan September ini karena tidak perlu menyebarkan pembaruan mendesak ke Microsoft Exchange Server. Yang mengatakan, ada dua pembaruan untuk SharePoint Server (CVE-2021-38651, CVE-2021-38652) yang membutuhkan perhatian. Keduanya membutuhkan reboot ke server. Jadi meski dengan tingkat urgensi yang berkurang, kami semua masih me-reboot server Office kami bulan ini.

Tidak diperlukan tindakan lebih lanjut untuk pembaruan terkait Exchange Server.

Platform pengembangan Microsoft

Microsoft telah merilis tiga pembaruan untuk platform Visual Studio (CVE-2021-36952, CVE-2021-26437, CVE-2021-26434) semuanya dinilai penting. Biasanya, kami melihat pembaruan ini dan menyarankan untuk menambahkannya ke jadwal rilis standar. Tapi kami berpikir CVE-2021-36952 dan CVE-2021-26434 memerlukan respons cepat karena potensi eksekusi kode jarak jauh (RCE) dan skenario elevasi-of-privilege.

Saya suka mengatakan bahwa masalah RCE adalah masalah hari ini. Kekhawatiran elevasi hak istimewa (EOP) adalah masalah sore ini. Tambahkan pembaruan pengembang Microsoft ini ke jadwal “Patch Now” Kamu. Dan, ya, kami belum membuat rekomendasi ini setidaknya selama dua tahun.

Adobe (benar-benar hanya Pembaca)

Bagian ini sebelumnya disiapkan untuk menangani banyak (dan terkadang menyakitkan) pembaruan Adobe Flash selama bertahun-tahun. Dengan pembaruan baru-baru ini (dan mudah-mudahan final) yang mencakup kill-bit untuk Flash dan Shockwave, kami berpikir bahwa kami harus menghentikan bagian ini. Namun, Adobe Reader adalah komponen inti dari sebagian besar desktop perusahaan dan kemungkinan akan berlanjut sebagai pembaca PDF default untuk beberapa tahun lagi.

Jadi, daripada berfokus pada semua produk Adobe, kami akan menangani masalah terkait keamanan dengan PDF (terutama pencetakan) dan Adobe Reader. Dan semoga beruntung, kami memiliki banyak pembaruan Adobe untuk bulan September (saya menyimpan “tumpah ruah” untuk bulan Oktober), dengan fokus khusus pada Acrobat.

Adobe telah dirilis 26 pembaruan dengan tujuh peringkat kritis karena berkaitan dengan masalah memori yang dapat menyebabkan eksekusi kode jarak jauh (RCE) skenario. Ada beberapa masalah serius dengan kerentanan yang dilaporkan ini, meskipun semuanya memerlukan interaksi pengguna dan tidak ada laporan pengungkapan atau eksploitasi publik. Tambahkan pembaruan Adobe Reader ini ke siklus rilis pembaruan “Patch Now” Kamu.

Dan, ya, ini adalah pertama kalinya kami membuat rekomendasi ini.

Post By 2021 Idnu.me, Inc.

Leave a Comment