Die Patchday-Updates im Mai machen dringendes Patchen zu einem Muss

Der Patchday der vergangenen Woche begann mit 73 Updates, endete aber (bisher) mit drei Überarbeitungen und einer verspäteten HinzufügungCVE-2022-30138) für insgesamt 77 Sicherheitslücken, die diesen Monat behoben wurden. Im Vergleich zu den zahlreichen Updates, die im April veröffentlicht wurden, sehen wir eine größere Dringlichkeit beim Patchen von Windows – insbesondere mit drei Zero-Days und mehreren sehr schwerwiegenden Fehlern in wichtigen Server- und Authentifizierungsbereichen. Auch der Austausch erfordert Aufmerksamkeit neue Server-Update-Technologie.

Für Microsoft-Browser und Adobe Reader gab es diesen Monat keine Updates. Und Windows 10 20H2 (wir kannten Sie kaum) wird jetzt nicht mehr unterstützt.

Weitere Informationen zu den Risiken der Bereitstellung dieser Patchday-Updates finden Sie in diese hilfreiche Infografik, und das MSRC Center hat eine gute Übersicht darüber veröffentlicht, wie es mit Sicherheitsupdates umgeht hier.

Wichtige Testszenarien

Angesichts der großen Anzahl von Änderungen, die in diesem Mai-Patch-Zyklus enthalten sind, habe ich die Testszenarien in Hochrisiko- und Standardrisikogruppen unterteilt:

Hohes Risiko: Diese Änderungen umfassen wahrscheinlich Funktionsänderungen, können vorhandene Funktionen verwerfen und erfordern wahrscheinlich die Erstellung neuer Testpläne:

  • Testen Sie Ihre Unternehmens-CA-Zertifikate (sowohl neue als auch verlängerte). Ihr Domainserver KDC validiert automatisch die neuen Erweiterungen, die in diesem Update enthalten sind. Suchen Sie nach fehlgeschlagenen Validierungen!
  • Dieses Update enthält eine Änderung an den Treibersignaturen, die jetzt auch eine Zeitstempelprüfung umfassen Authenticode-Signaturen. Signierte Treiber sollten geladen werden. Nicht signierte Treiber sollten dies nicht tun. Überprüfen Sie Ihre Anwendungstestläufe auf fehlgeschlagene Treiberladevorgänge. Schließen Sie auch Prüfungen für signierte EXEs und DLLs ein.

Die folgenden Änderungen sind nicht als funktionale Änderungen dokumentiert, erfordern aber dennoch mindestens “Rauchtest“vor der allgemeinen Bereitstellung der May-Patches:

  • Testen Sie Ihre VPN-Clients bei der Verwendung RRAS Server: Verbinden, Trennen (unter Verwendung aller Protokolle: PPP / PPTP / SSTP / IKEv2).
  • Testen Sie, ob Ihre EMF-Dateien wie erwartet geöffnet werden.
  • Testen Sie Ihr Windows-Adressbuch (WAB) Anwendungsabhängigkeiten.
  • Testen Sie BitLocker: starten / stoppen Sie Ihre Maschinen mit BitLocker aktiviert und dann deaktiviert.
  • Bestätigen Sie, dass Ihre Anmeldeinformationen über VPN zugänglich sind (siehe Microsoft-Anmeldeinformations-Manager).
  • Testen Sie Ihre V4-Druckertreiber (insbesondere bei der späteren Ankunft von CVE-2022-30138).

Die Tests in diesem Monat erfordern mehrere Neustarts Ihrer Testressourcen und sollten sowohl (BIOS/UEFI) virtuelle als auch physische Maschinen umfassen.

Bekannte Probleme

Microsoft enthält eine Liste bekannter Probleme, die das Betriebssystem und die Plattformen betreffen, die in diesem Aktualisierungszyklus enthalten sind:

  • Nach der Installation des Updates dieses Monats können Windows-Geräte, die bestimmte GPUs verwenden, dazu führen, dass Apps unerwartet geschlossen werden oder einen Ausnahmecode (0xc0000094 im Modul d3d9on12.dll) in Apps generieren, die Direct3D Version 9 verwenden. Microsoft hat a Kir Gruppenrichtlinienaktualisierung, um dieses Problem mit den folgenden GPO-Einstellungen zu beheben: Download für Windows 10, Version 2004, Windows 10, Version 20H2, Windows 10, Version 21H1 und Windows 10, Version 21H2.
  • Nach der Installation der Updates vom 1. 11, 2022 oder höher können Apps, die das Microsoft .NET Framework zum Abrufen oder Festlegen von Active Directory-Gesamtstruktur-Vertrauensinformationen verwenden, fehlschlagen oder einen Zugriffsverletzungsfehler (0xc0000005) generieren. Es scheint, dass Anwendungen, die von der abhängen System.DirectoryServices-API sind betroffen.

Microsoft hat sein Spiel wirklich verbessert, als es um die neuesten Fixes und Updates für diese Version mit einem nützlichen diskutiert hat Update-Highlights Video.

Wichtige Überarbeitungen

Obwohl es diesen Monat im Vergleich zum April eine stark reduzierte Liste von Patches gibt, hat Microsoft drei Revisionen veröffentlicht, darunter:

  • CVE-2022-1096: Chromium: CVE-2022-1096 Typverwechslung in V8. Dieser März-Patch wurde aktualisiert, um Unterstützung für die neueste Version von Visual Studio (2022) einzuschließen, um das aktualisierte Rendern von webview2-Inhalten zu ermöglichen. Sind keine weiteren Maßnahmen erforderlich.
  • CVE-2022-24513: Sicherheitsanfälligkeit in Visual Studio bezüglich der Erhöhung von Berechtigungen. Dieser April-Patch wurde aktualisiert, um ALLE unterstützten Versionen von Visual Studio (15.9 bis 17.1) einzuschließen. Leider erfordert dieses Update möglicherweise einige Anwendungstests für Ihr Entwicklungsteam, da es sich auf die Darstellung von Webview2-Inhalten auswirkt.
  • CVE-2022-30138: Sicherheitsanfälligkeit im Windows-Druckspooler zur Erhöhung von Berechtigungen. Dies ist nur eine Informationsänderung. Sind keine weiteren Maßnahmen erforderlich.

Abhilfemaßnahmen und Problemumgehungen

Für Mai hat Microsoft eine wichtige Abschwächung für eine schwerwiegende Schwachstelle im Windows-Netzwerkdateisystem veröffentlicht:

  • CVE-2022-26937: Windows Network File System Remote Code Execution-Schwachstelle. Sie können einen Angriff abschwächen, indem Sie ihn deaktivieren NFSV2 und NFSV3. Der folgende PowerShell-Befehl deaktiviert diese Versionen: „PS C: Set-NfsServerConfiguration -EnableNFSV2 $ false -EnableNFSV3 $ false.“ Einmal getan. Sie müssen Ihren NFS-Server neu starten (oder vorzugsweise die Maschine neu starten). Und um zu bestätigen, dass der NFS-Server korrekt aktualisiert wurde, verwenden Sie den PowerShell-Befehl „PS C:Get-NfsServerConfiguration“.

Jeden Monat unterteilen wir den Aktualisierungszyklus in Produktfamilien (wie von Microsoft definiert) mit den folgenden grundlegenden Gruppierungen:

  • Browser (Microsoft IE und Edge);
  • Microsoft Windows (sowohl Desktop als auch Server);
  • Microsoft Office;
  • Microsoft Exchange;
  • Microsoft-Entwicklungsplattformen ( ASP.NET Core, .NET Core und Chakra Core);
  • Adobe (im Ruhestand???, vielleicht nächstes Jahr).

Browser

Microsoft hat diesen Monat keine Updates für seine Legacy- (IE) oder Chromium-Browser (Edge) veröffentlicht. Wir sehen einen Abwärtstrend bei der Anzahl kritischer Probleme, die Microsoft in den letzten zehn Jahren geplagt haben. Mein Gefühl ist, dass der Wechsel zum Chromium-Projekt sowohl für das Entwicklungsteam als auch für die Benutzer ein definitives „Super-Plus-Plus-Win-Win“ war.

Apropos Legacy-Browser, wir müssen uns darauf vorbereiten Ruhestand von IE kommt Mitte Juni. Mit „vorbereiten“ meine ich feiern – nachdem wir natürlich sichergestellt haben, dass Legacy-Apps keine expliziten Abhängigkeiten von der alten IE-Rendering-Engine haben. Bitte fügen Sie Ihrem Browser-Bereitstellungszeitplan „Feiern Sie die Einstellung des IE“ hinzu. Ihre Benutzer werden es verstehen.

Fenster

Die Windows-Plattform erhält diesen Monat sechs kritische Updates und 56 als wichtig eingestufte Patches. Leider haben wir auch drei Zero-Day-Exploits:

  • CVE-2022-22713Hinweis: Diese öffentlich bekannt gegebene Schwachstelle in Microsofts Virtualisierungsplattform Hyper-V erfordert von einem Angreifer, dass er eine interne Racebedingung erfolgreich ausnutzt, um zu einem potenziellen Denial-of-Service-Szenario zu führen. Es handelt sich um eine schwerwiegende Schwachstelle, die jedoch die Verkettung mehrerer Schwachstellen erfordert, um erfolgreich zu sein.
  • CVE-2022-26925: Sowohl öffentlich bekannt gegeben als auch als in freier Wildbahn ausgebeutet gemeldet, dies LSA-Authentifizierungsproblem ist ein echtes Anliegen. Es wird einfach zu patchen sein, aber das Testprofil ist groß, was es schwierig macht, es schnell bereitzustellen. Stellen Sie neben dem Testen Ihrer Domänenauthentifizierung sicher, dass die Sicherungs- (und Wiederherstellungs-) Funktionen wie erwartet funktionieren. Wir empfehlen dringend, die neuesten zu überprüfen Microsoft-Supporthinweise darauf laufendes Thema.
  • CVE-2022-29972: Diese öffentlich bekannt gegebene Schwachstelle in Redshift ODBC Der Treiber ist ziemlich spezifisch für Synapse-Anwendungen. Aber wenn Sie Kontakt zu einem der haben Azure Synapse-RBAC Rollen hat die Bereitstellung dieses Updates höchste Priorität.

Zusätzlich zu diesen Zero-Day-Problemen gibt es drei weitere Probleme, die Ihre Aufmerksamkeit erfordern:

  • CVE-2022-26923: Diese Schwachstelle in der Active Directory-Authentifizierung ist nicht ganz “entwurmbar„Aber es ist so einfach auszunutzen, dass ich nicht überrascht wäre, wenn es bald aktiv angegriffen würde. Einmal kompromittiert, wird diese Schwachstelle Zugriff auf Ihre gesamte Domäne ermöglichen. Bei dieser ist viel auf dem Spiel.
  • CVE-2022-26937: Dieser Fehler im Netzwerkdateisystem hat eine Bewertung von 9,8 – einer der höchsten, die in diesem Jahr gemeldet wurden. NFS ist standardmäßig nicht aktiviert, aber wenn Sie Linux oder Unix in Ihrem Netzwerk haben, verwenden Sie es wahrscheinlich. Beheben Sie dieses Problem, aber wir empfehlen auch ein Upgrade auf NFSv4.1 so bald wie möglich.
  • CVE-2022-30138: Dieser Patch wurde nach dem Patch Tuesday veröffentlicht. Dieses Problem mit dem Druckspooler betrifft nur ältere Systeme (Windows 8 und Server 2012), erfordert jedoch vor der Bereitstellung umfangreiche Tests. Es ist kein superkritisches Sicherheitsproblem, aber das Potenzial für druckerbasierte Probleme ist groß. Nehmen Sie sich Zeit, bevor Sie diese bereitstellen.

Angesichts der Anzahl schwerwiegender Exploits und der drei Zero-Days im Mai sollten Sie das Windows-Update dieses Monats zu Ihrem „Patch Now“-Zeitplan hinzufügen.

Microsoft Office

Microsoft hat nur vier Updates für die Microsoft Office-Plattform (Excel, SharePoint) veröffentlicht, die alle als wichtig eingestuft werden. Alle diese Updates sind schwer auszunutzen (erfordern sowohl Benutzerinteraktion als auch lokalen Zugriff auf das Zielsystem) und betreffen nur 32-Bit-Plattformen. Fügen Sie diese Office-Updates mit niedrigem Profil und geringem Risiko zu Ihrem standardmäßigen Veröffentlichungszeitplan hinzu.

Microsoft Exchange Server

Microsoft hat ein einzelnes Update für Exchange Server (CVE-2022-21978), die als wichtig eingestuft wird und ziemlich schwierig auszunutzen scheint. Diese Sicherheitsanfälligkeit zur Erhöhung der Rechte erfordert einen vollständig authentifizierten Zugriff auf den Server, und bisher gab es keine Berichte über eine öffentliche Offenlegung oder Ausnutzung in freier Wildbahn.

Noch wichtiger ist, dass Microsoft in diesem Monat eine neue eingeführt hat Methode zum Aktualisieren von Microsoft Exchange-Servern dazu gehören jetzt:

  • Windows Installer-Patchdatei (.MSP), die am besten für automatisierte Installationen geeignet ist.
  • Selbstextrahierendes Installationsprogramm mit automatischer Erhöhung (.exe), das am besten für manuelle Installationen geeignet ist.

Dies ist ein Versuch, das Problem zu lösen, dass Exchange-Administratoren ihre Serversysteme in einem Nicht-Administratorkontext aktualisieren, was zu einem schlechten Serverstatus führt. Das neue EXE-Format ermöglicht Befehlszeileninstallationen und eine bessere Protokollierung der Installation. Microsoft hat hilfreicherweise das folgende EXE-Befehlszeilenbeispiel veröffentlicht:

“Setup.exe / IAcceptExchangeServerLicenseTerms_DiagnosticDataON / PrepareAllDomains”

Beachten Sie, dass Microsoft empfiehlt, dass Sie die Umgebungsvariable % Temp% haben, bevor Sie das neue EXE-Installationsformat verwenden. Wenn Sie die neue Methode zur Verwendung der EXE-Datei zum Aktualisieren von Exchange befolgen, denken Sie daran, dass Sie die monatliche weiterhin (separat) bereitstellen müssen SSU aktualisieren, um sicherzustellen, dass Ihre Server auf dem neuesten Stand sind. Fügen Sie dieses Update (oder EXE) Ihrem standardmäßigen Veröffentlichungszeitplan hinzu und stellen Sie sicher, dass ein vollständiger Neustart durchgeführt wird, wenn alle Updates abgeschlossen sind.

Microsoft-Entwicklungsplattformen

Microsoft hat fünf als wichtig eingestufte Updates und einen einzelnen Patch mit niedriger Bewertung veröffentlicht. Alle diese Patches wirken sich auf Visual Studio und das .NET-Framework aus. Da Sie Ihre Visual Studio-Instanzen aktualisieren werden, um diese gemeldeten Sicherheitsanfälligkeiten zu beheben, empfehlen wir Ihnen, die zu lesen April-Updatehandbuch für Visual Studio.

Um mehr über die spezifischen Probleme zu erfahren, die aus Sicherheitsperspektive angesprochen werden, finden Sie die Mai 2022 .NET Update-Blogbeitrag wird nützlich sein. Bemerken, dass.NET 5.0 hat jetzt das Ende des Supports erreicht und bevor Sie auf .NET 7 aktualisieren, lohnt es sich möglicherweise, die Kompatibilität oder “brechende Änderungen“, die behoben werden müssen. Fügen Sie diese Updates mit mittlerem Risiko Ihrem Standard-Update-Zeitplan hinzu.

Adobe (eigentlich nur Reader)

Ich dachte, wir sehen vielleicht einen Trend. Keine Adobe Reader-Updates für diesen Monat. Allerdings hat Adobe eine Reihe von Updates für andere Produkte veröffentlicht, die hier zu finden sind: APSB22-21. Mal sehen, was im Juni passiert – vielleicht können wir uns zurückziehen beide Adobe Reader und IE.

Copyright © 2022 IDG Communications, Inc.

Leave a Reply

Your email address will not be published.