Aralık ayının Salı Yaması için yama yeterli değil

Bu ayki Yama Salı güncellemesi birkaç nedenden dolayı önemlidir. 67 benzersiz güvenlik açığının ele alınması, kamuya açık olarak bildirilen altı sorun ve bir tanesi zaten yararlanılmış durumdayken, bu ayın güncellemeleri diğerlerine kıyasla hala sönük kalıyor. Log4j sorunuyla ilgilenmek. (Neyse ki, hiçbir tarayıcı veya Microsoft Exchange güncellemesi ve Microsoft Office’te minimum değişiklik yoktur.)

Windows güncellemelerini ve Visual Studio güncellemelerini “Şimdi Yamala” sürüm döngüsü önerilerimize ekledik, Office güncellemeleri ise normal bir sürüm kadansına indirgendi. Bu Salı Yaması güncellemelerini dağıtma riski hakkında daha fazla bilgi bulabilirsiniz. bu infografikte.

Anahtar test senaryoları

Bu ay Windows platformunda bildirilen yüksek riskli bir değişiklik yok. Ancak, bildirilen bir işlevsel değişiklik ve ek bir özellik vardır. İşte üst düzey test önerilerimiz:

• Yerel baskıyı test edin. Uzaktan yazdırmayı test edin ve RDP üzerinden yazdırmayı test edin.
• ETL dosyalarını ve büyük WMF dosyalarını okumayı veya işlemeyi test edin.
• Yeni ve mevcut VPN bağlantılarını test edin. Siteden siteye VPN testi ekleyin.
• NTFS kısa ad senaryolarını ve büyük dosya aktarımlarını test edin.

Bilinen Sorunlar

Microsoft her ay, bu güncelleme döngüsüne dahil edilen işletim sistemi ve platformlarla ilgili bilinen sorunların bir listesini içerir. Aşağıdakiler de dahil olmak üzere en son derlemelerle ilgili birkaç önemli konuya atıfta bulundum:

• 22 Nisan 2021 veya sonrasında yayınlanan güncellemeleri yükledikten sonra, Anahtar Yönetim Hizmetleri (KMS) ana bilgisayarı olarak kullanılan Windows Server sürümlerini etkileyen bir sorun oluşur. Windows 10 Enterprise LTSC 2019 ve Windows 10 Enterprise LTSC 2016 çalıştıran istemci cihazları etkinleştirilmeyebilir. Bu sorunlar Windows aktivasyonunu etkilemez. Microsoft şu anda sorunu araştırıyor.
• Bu güncelleştirmeyi yükledikten sonra, Uzak Masaüstü kullanılarak güvenilmeyen bir etki alanındaki cihazlara bağlanırken, akıllı kart kimlik doğrulaması kullanılırken bağlantıların kimlik doğrulaması başarısız olabilir. Bu sorun, aşağıdaki Grup İlkesi yükleme dosyalarıyla uygulanabilen Bilinen Sorun Geri Alma (KIR) kullanılarak çözülür:

Hedef platformunuzu etkileyebilecek bilinen sorunlar olup olmadığını görmenin en iyi yollarından biri, şu adresten yama verilerini indirmek için birçok yapılandırma seçeneğini kontrol etmektir. Microsoft Güvenlik Güncelleştirmesi kılavuzu ya da bu ayın güvenlik güncellemesi için özet sayfası.

Ana revizyonlar

Microsoft, aşağıdakiler dahil olmak üzere bilgi amaçlı (belgeler ve SSS güncellemeleri) dört güncelleme yayınladı: CVE-2021-43236, CVE-2021-43883, CVE-2021-43893, CVE-2021-43905. Ayrıca Microsoft, önceki yamalarda aşağıdakiler de dahil olmak üzere birkaç önemli güncelleme yayınladı:

• CVE-2019-0887, CVE-2020-0655 ve CVE-2021-1669: Bu uzak masaüstü hizmeti RCE güncellemeleri, güncellenmiş bir etkilenen sistem tablosu nedeniyle büyük bir revizyon bildirimi aldı. Windows 11, bu güvenlik sorunlarından etkilenir ve bu düzeltme eki buna göre uygulanır.
• CVE-2021-24084: Etkilenen sistemlerin kapsamı, desteklenen tüm Windows sistemlerine güncellendi.

Bu yamaların kapsamının daha geniş olması nedeniyle, bunları Kasım ayında indirip uygulamamış olabilirsiniz. Bu ay, dört güncellemenin tümü yama döngüsüne dahil edilecek (ancak tarihleri ​​Kasım yayın tarihini yansıtabilir).

Azaltıcı etkenler ve geçici çözümler

Bu ay, hem azaltma hem de belgelenmiş geçici çözümleri içeren bildirilen tek bir güvenlik açığı var:

• CVE-2021-43890: Microsoft, bu AppX sızdırma güvenlik açığı için kapsamlı bir dizi geçici çözüm yayımladı. BlockNonAdminUserInstall ve AllowAllTrustedAppToInstall GPO ilkelerini kullanarak, AppX yükleyicisine yandan yükleme saldırıları için yüzey alanını azaltmak mümkündür. Microsoft bir yayınladı ayrıntılı nasıl yapılır belgesi AppX (ve şimdi MSIX) için GPO ilkelerini ayarlama hakkında.

Her ay, güncelleme döngüsünü aşağıdaki temel gruplamalarla ürün ailelerine (Microsoft tarafından tanımlandığı şekilde) ayırırız:

• Tarayıcılar (Microsoft IE ve Edge);
• Microsoft Windows (hem masaüstü hem de sunucu);
• Microsoft Office;
• Microsoft değişimi;
• Microsoft Geliştirme platformları ( ASP.NET Çekirdek, .NET Çekirdeği ve Çakra Çekirdeği);
• Ve Adobe. (Emekli mi? Belki gelecek yıl.)

tarayıcılar

Bu ay, krom projesi Microsoft Edge tarayıcısı için 16 güncelleme yayınladı. Burada, Microsoft’un eski tarayıcılarında herhangi bir güncelleme olmadan gerçekten bir eğilim görüyoruz. Bu güncelleştirmeler, Microsoft Update aracılığıyla dağıtılmayacağından, bu güncelleştirmeler büyük olasılıkla masaüstü ortamınız için bir otomatik güncelleştirme sürecinin parçasıdır.

Daha fazlasını şuradan öğrenebilirsiniz: Chrome Sürümü blogu ve güvenlik detayları Chrome Güvenlik Sayfası. Edge’in doğası gereği (işletim sistemine tam olarak entegre edilmemiştir), bu sürümde beklenen çok az uyumluluk veya entegrasyon hatası vardır. Bu Chrome güncellemelerini normal güncelleme yayın planınıza ekleyin.

pencereler

Aralık, Windows’a 36 güncelleme ile orta düzeyde bir güncelleme getiriyor; üçü Microsoft tarafından kritik ve geri kalan 33’ü önemli olarak derecelendirildi. Normalde kritik yamalara odaklanırdık. Ancak bu ay, aşağıdakiler de dahil olmak üzere, genel olarak ifşa edilen ve istismar edilen güvenlik açıklarına odaklanmak daha uygundur:

Bu ay, Microsoft AppX yükleyici bileşenine (CVE-2021-43890). Neyse ki bu, kullanıcı müdahalesi gerektiren karmaşık bir saldırıdır ve Microsoft bu sorun için resmi bir düzeltmeyi onaylamıştır. Çekirdek sistem bileşenlerine (NTFS, Yükleyici ve yazdırma) yönelik güncellemelere odaklanıldığında, bazı test önerileri ekledik:

• Sunucu ve masaüstünde yoğun trafik gönderme/alma testleri gerçekleştirin. Tekil, çok büyük dosyalara odaklanın.
• .WMF dosyalarınızı (kodek güncellemesi nedeniyle) ve grafik açısından yoğun D3D uygulamalarınızı test edin.
• Özellikle SMB, şifreli dosya sistemleri ve uzak paylaşımlar başta olmak üzere büyük veri aktarımlarında çeşitli ağ trafiği koşullarını test edin.
• Temel uygulamalarınızı bir test ortamında yükleyin, güncelleyin ve kaldırın. Tüm kaldırmaların temiz olduğundan emin olun.
• Yazdırma işleminizi, özellikle uzaktan yazdırmayı ve RDP üzerinden yazdırmayı test edin.
• TLS/SSL kullanan tüm uygulamalar, temel bir “duman testinden” geçmelidir.

Ve bu Log4j sorunu hakkında? İşletim sistemini yamalamak, ortamınızı korumak için yeterli değildir. JAVA bağımlılıkları ve Log4j bileşenlerine yapılan referanslar için uygulama portföyünüzü hemen taramanızı önemle tavsiye ederiz. Bu haftanın Log4j sayılarının haberleri sadece bir başlangıç. Noel döneminde ve Yeni Yıl’da büyük ölçekli, sanayileşmiş saldırılar bekleyin. Kötü olacak. Dağınık olacak.

Bu Windows güncellemelerini “Şimdi Düzelt” programınıza ekleyin ve uygulama saldırı yüzeyinizi azaltmak için çalışmaya başlayın.

Microsoft Office

Microsoft, Office için tümü önemli olarak derecelendirilen dokuz yama yayınladı. Word’ün 2016 ve 2019 sürümleri gibi SharePoint ve Access’in tüm sürümleri etkilenir. Bu ay önizleme bölmesi saldırı vektörü yok ve bildirilen tüm güvenlik açıkları kullanıcı etkileşimi gerektiriyor. Bu Microsoft Office güncellemelerini normal yama yayın planınıza ekleyin.

Microsoft Exchange Sunucusu

Log4j sorunu, çorabınızdaki kömür olabilir, ancak Microsoft, bu ayki tüm Microsoft Exchange güncellemelerinden bize bir erteleme bahşetti. Böylece Noel gibi diğer şeylere daha fazla dikkat edebilirsiniz. Veya Log4j. Sen seç.

Microsoft Geliştirme Platformları

Microsoft, bu ay geliştirme platformlarında Visual Studio, PowerShell ve ASP.NET/.NET çerçeve. Tek kritik dereceli yama (CVE-2021-43907) popüler WSL uzantısıyla ilgilidir; yama uygulanmamışsa, uzaktan kod yürütme senaryosuna yol açabilir. Tüm WSL kullanıcılarını etkileyecek oldukça ciddi bir sorun. Ne yazık ki, test profili, .NET COM sunucusu ve REGEX ifadeleri için test gereksinimleriyle oldukça büyük olacaktır.

Bu Visual Studio güncellemesini “Şimdi Yamala” zamanlamanıza eklemenizi ve ayrıca .NET ile ilgili ek (ve ayrı) güncellemelere başvurmanızı öneririz. Microsoft Dev blogunda yayınlandı.

Adobe (gerçekten sadece Reader)

Bu ay Microsoft, Adobe Reader için herhangi bir güncelleme yayınlamadı. Bu bölümü emekli edebileceğimi düşünüyorum ama Adobe’den periyodik güncellemeler veya PDF dosyaları için kritik baskı güncellemeleri almaya devam ediyoruz. Bakalım 2022’de neler olacak.

Ve eğer buraya kadar geldiysen…

Tatiller ve yaklaşan yeni yıl tatili sırasındaki minimum işlemler nedeniyle Microsoft, Aralık ayı için bir önizleme sürümü (“C” sürümü olarak bilinir) yayınlamayacak. Hem Microsoft B hem de C sürümleri için normal aylık hizmet Ocak ayında devam edecektir. Windows 10, sürüm 2004, bu sürümden itibaren hizmetin sonuna ulaştı. Önümüzdeki ay, TLS 1.2 desteği ile Windows Server 2008 için TLS protokolünde bir güncelleme görmemiz muhtemel.