Patch Tuesday: Dua kelemahan zero-day di Windows perlu perhatian segera

Microsoft’s December Patch Tuesday diperbarui memberikan 59 perbaikan, termasuk dua hari nol (CVE-2022-44698 dan CVE-2022-44710) yang memerlukan perhatian segera pada platform Windows. Ini adalah pembaruan yang berfokus pada jaringan (TCP/IP dan RDP) yang akan memerlukan pengujian signifikan dengan penekanan pada koneksi ODBC, sistem Hyper-V, autentikasi Kerberos, dan pencetakan (baik lokal maupun jarak jauh).

Microsoft juga menerbitkan pembaruan out-of-band yang mendesak (CVE-2022-37966) untuk mengatasi masalah autentikasi Kerberos yang serius. (Tim di Kesiapan telah menyediakan a infografis yang membantu yang menguraikan risiko yang terkait dengan setiap pembaruan ini.)

Dan Windows Hot-Patching untuk Azure Virtual Machines (VMs). sekarang tersedia.

Masalah Dikenal

Setiap bulan, Microsoft menyertakan daftar masalah umum yang terkait dengan OS dan platform yang disertakan dalam siklus pembaruan ini.

  • ODBC: Setelah menginstal pembaruan Desember, aplikasi yang menggunakan koneksi ODBC melalui Microsoft ODBC SQL Server Driver (sqlsrv32.dll) untuk mengakses database mungkin tidak tersambung. Kamu mungkin menerima pesan kesalahan berikut: “Sistem EMS mengalami masalah. Pesan: [Microsoft] [ODBC SQL Server Driver] Token tidak dikenal diterima dari SQL Server”.
  • RDP dan Akses Jarak Jauh: Setelah Kamu menginstal pembaruan ini atau yang lebih baru di sistem desktop Windows, Kamu mungkin tidak dapat menyambung kembali ke (Microsoft) Akses langsung setelah kehilangan sementara konektivitas jaringan atau beralih antara jaringan Wi-Fi atau titik akses.
  • Hyper-V: Setelah menginstal pembaruan ini pada host Hyper-V yang dikelola oleh Manajer Mesin Virtual Pusat Sistem SDN yang dikonfigurasi (VMM), Kamu mungkin menerima kesalahan pada alur kerja yang melibatkan pembuatan Adaptor Jaringan baru (juga disebut Kartu Antarmuka Jaringan atau NIC) yang digabungkan ke jaringan VM atau Mesin Virtual (VM) baru.
  • Direktori Aktif: Karena persyaratan keamanan tambahan dalam mengatasi kerentanan keamanan di CVE-2022-38042, pemeriksaan keamanan baru diterapkan pada permintaan bergabung bersih domain. Pemeriksaan tambahan ini mungkin menghasilkan pesan kesalahan berikut: “Kesalahan 0xaac (2732): NERR_AccountReuseBlockedByPolicy: Akun dengan nama yang sama ada di Direktori Aktif. Menggunakan kembali akun diblokir oleh kebijakan keamanan.”

Sebagai persiapan untuk pembaruan bulan ini ke sistem Windows 10 dan 11, kami menyarankan untuk menjalankan penilaian pada semua paket aplikasi dan mencari ketergantungan pada file sistem SQLSRV32.DLL. Jika Kamu perlu memeriksa sistem tertentu, buka prompt perintah dan jalankan perintah “tasklist /m sqlsrv32.dll.” Ini harus mencantumkan semua proses yang bergantung pada file ini.

Revisi utama

Microsoft menerbitkan hanya satu revisi bulan ini, tanpa revisi lain untuk tambalan atau pembaruan sebelumnya yang dirilis.

  • CVE-2022-37966 Windows Kerberos RC4-HMAC Elevation of Privilege Vulnerability: Untuk mengatasi masalah umum di mana autentikasi Kerberos mungkin gagal untuk akun pengguna, komputer, layanan, dan GMSA saat dilayani oleh pengontrol domain Windows. Revisi tambalan ini telah dirilis sebagai barang langka pembaruan out-of-band dan akan membutuhkan perhatian segera, jika belum ditangani.

Mitigasi dan solusinya

Meskipun ada beberapa pembaruan dokumentasi dan FAQ yang ditambahkan ke rilis ini, Microsoft menerbitkan satu mitigasi:

  • CVE-2022-37976: Peningkatan Keistimewaan Sertifikat Direktori Aktif: Sistem rentan terhadap kerentanan keamanan ini hanya jika peran Layanan Sertifikat Direktori Aktif dan peran Layanan Domain Direktori Aktif diinstal pada sama server dalam jaringan. Microsoft telah menerbitkan satu set kunci registri (LegacyAuthenticationLevel) yang dapat membantu mengurangi luas permukaan masalah ini. Kamu dapat mengetahui lebih lanjut tentang melindungi sistem Kamu di sini.

Bimbingan pengujian

Setiap bulan, tim di Kesiapan menganalisis pembaruan terbaru dan memberikan panduan pengujian. Panduan ini didasarkan pada penilaian portofolio aplikasi besar dan analisis mendetail tentang tambalan Microsoft serta dampak potensialnya pada platform Windows dan penginstalan aplikasi.

Mengingat banyaknya perubahan yang termasuk dalam siklus ini, saya telah membagi skenario pengujian menjadi kelompok berisiko tinggi dan berisiko standar.

Berisiko tinggi: Bulan ini, Microsoft belum mencatat perubahan fungsionalitas berisiko tinggi. Ini berarti belum membuat perubahan besar pada API inti atau fungsionalitas pada salah satu komponen inti atau aplikasi yang termasuk dalam ekosistem desktop dan server Windows.

Secara lebih umum, mengingat sifat luas dari pembaruan ini (Office dan Windows), kami menyarankan untuk menguji fitur dan komponen Windows berikut ini:

  • Bluetooth: Microsoft telah memperbarui dua set file API/Header utama untuk driver Bluetooth termasuk: IOCTL_BTH_SDP_REMOVE_RECORD IOCTL dan fungsi DeviceIoControl. Tugas pengujian utama di sini adalah mengaktifkan dan menonaktifkan Bluetooth, memastikan bahwa koneksi data Kamu masih berfungsi seperti yang diharapkan.
  • GIT: Sistem File Virtual Git (VfSForGit) telah diperbarui dengan perubahan pada pemetaan file dan registri. Kamu dapat membaca lebih lanjut tentang alat pengembangan Windows kunci (internal) ini di sini.

Selain perubahan dan persyaratan pengujian ini, saya telah menyertakan beberapa skenario pengujian yang lebih sulit untuk pembaruan ini:

  • Kernel Windows: Bulan ini melihat pembaruan luas untuk kernel Windows (Win32kfull.sys) yang akan memengaruhi pengalaman UI desktop utama. Fitur utama yang ditambal termasuk menu Mulai, applet pengaturan, dan File Explorer. Mengingat permukaan pengujian UI yang besar, grup pengujian yang lebih besar mungkin diperlukan untuk peluncuran awal Kamu. Jika Kamu masih melihat desktop atau bilah tugas, anggap itu sebagai tanda positif.

Setelah pembaruan bulan lalu untuk autentikasi Kerberos, ada beberapa masalah yang dilaporkan terkait dengan autentikasi, terutama di seluruh koneksi remote-desktop. Microsoft merinci skenario berikut dan masalah terkait ditujukan bulan ini:

  • Login pengguna domain mungkin gagal. Ini juga dapat memengaruhi Layanan Federasi Direktori Aktif (AD FS) autentikasi.
  • Akun Layanan Terkelola Grup (gMSA) digunakan untuk layanan seperti Layanan Informasi Internet (Server Web IIS) mungkin gagal mengautentikasi.
  • Sambungan Desktop Jarak Jauh yang menggunakan pengguna domain mungkin gagal tersambung.
  • Kamu mungkin tidak dapat mengakses folder bersama di workstation dan berbagi file di server.
  • Pencetakan yang memerlukan autentikasi pengguna domain mungkin gagal.

Semua skenario ini memerlukan pengujian signifikan sebelum penerapan umum pembaruan Desember.

Kecuali ditentukan lain, kita sekarang harus berasumsi bahwa setiap pembaruan Patch Tuesday akan memerlukan pengujian fungsi pencetakan inti termasuk:

  • mencetak dari printer yang terhubung langsung.
  • tambahkan printer, lalu hapus printer (ini baru untuk bulan Desember).
  • pekerjaan cetak besar dari server (terutama jika mereka juga pengontrol domain).
  • pencetakan jarak jauh (menggunakan RDP dan VPN).
  • menguji skenario fisik dan virtual dengan aplikasi 32-bit pada mesin 64-bit.

Pembaruan siklus hidup Windows

Bagian ini mencakup perubahan penting pada layanan (dan sebagian besar pembaruan keamanan) untuk platform desktop dan server Windows. Karena ini adalah pembaruan akhir tahun, ada beberapa perubahan “Akhir Layanan”, antara lain:

  • Windows 10 (Perusahaan, Rumah, Pro) 21H2 – 12 Desember 2022.
  • Windows 8.1 – 10 Januari 2023.
  • Windows 7 SP1 (ESU) – 10 Januari 2023.
  • Windows Server 2008 SP2 (ESU) – 10 Januari 2023.

Setiap bulan, kami memecah siklus pembaruan menjadi rangkaian produk (sebagaimana ditentukan oleh Microsoft) dengan pengelompokan dasar berikut:

  • Browser (Microsoft IE dan Edge);
  • Microsoft Windows (baik desktop maupun server);
  • Microsoft Office;
  • Server Microsoft Exchange;
  • Platform Pengembangan Microsoft ( ASP.NET Inti, Inti .NET dan Inti Cakra)
  • Adobe (pensiun???, mungkin tahun depan),

Browser

Mengikuti tren sambutan tanpa pembaruan penting untuk browser Microsoft, pembaruan ini hanya memberikan tiga (CVE-2022-44668, CVE-2022-44708 dan CVE-2022-41115) semua dinilai penting. Pembaruan ini memengaruhi browser Microsoft Chromium dan akan berdampak kecil hingga rendah pada aplikasi Kamu. Tambahkan pembaruan ini ke jadwal rilis patch standar Kamu.

Windows

Microsoft merilis tambalan ke ekosistem Windows bulan ini yang membahas tiga pembaruan penting (CVE-2022-44676, CVE-2022-44670dan CVE-2022-41076), dengan 24 dinilai penting dan dua dinilai sedang. Sayangnya, bulan ini kami memiliki dua zero-days yang memengaruhi Windows dengan laporan CVE-2022-44698 yang dieksploitasi secara liar dan CVE-2022-44710 diungkapkan kepada publik. Kami telah menyusun rekomendasi pengujian khusus, mencatat bahwa ada masalah yang dilaporkan dengan koneksi Kerberos, Hyper-V, dan ODBC.

Tambahkan pembaruan ini ke jadwal rilis “Patch Now” Kamu.

Microsoft Office

Microsoft mengatasi dua kerentanan kritis di SharePoint Server (CVE-202244693 dan CVE-2022-44690) yang relatif mudah dieksploitasi dan tidak memerlukan interaksi pengguna. Dua kerentanan lainnya memengaruhi Microsoft Visio (CVE-2022-44696 dan CVE-2022-44695) dan merupakan perubahan profil rendah dan berdampak rendah. Kecuali jika Kamu menghosting server SharePoint Kamu sendiri (oh, mengapa?), tambahkan pembaruan Microsoft ini ke jadwal rilis standar Kamu.

Server Microsoft Exchange

Microsoft belum meluncurkan pembaruan, tambalan, atau mitigasi keamanan apa pun untuk Microsoft Exchange Server. Fiuh!

Platform pengembangan Microsoft

Microsoft mengatasi dua kerentanan kritis di Microsoft .NET (CVE-2022-41089) dan PowerShell (CVE-2022-41076) bulan ini. Meskipun kedua masalah keamanan tersebut dinilai kritis, keduanya memerlukan akses admin lokal dan dianggap sulit dan kompleks untuk dieksploitasi. Mark Russinovich Simmon juga membutuhkan pembaruan dengan kerentanan elevasi hak istimewa CVE-2022-44704 dan semua versi Visual Studio yang didukung akan ditambal. Tambahkan pembaruan ini ke jadwal rilis pengembang standar Kamu.

Adobe Reader (masih ada, tapi tidak bulan ini)

Adobe telah dirilis tiga kategori 3 (setara dengan peringkat penting Microsoft) memperbarui Illustrator, Manajer Pengalaman, dan Kampanye (Klasik). Tidak ada pembaruan untuk Adobe Reader bulan ini.

Post By 2022 Idnu.me, Inc.