May’s Patch Salı güncellemeleri acil yamalamayı bir zorunluluk haline getiriyor

Geçen haftanın Salı Yaması 73 güncelleme ile başladı, ancak (şimdiye kadar) üç revizyon ve geç bir ekleme ile sona erdi (CVE-2022-30138) bu ay ele alınan toplam 77 güvenlik açığı için. Nisan ayında yayınlanan geniş güncelleme seti ile karşılaştırıldığında, özellikle üç sıfır gün ve önemli sunucu ve kimlik doğrulama alanlarındaki birkaç çok ciddi kusur nedeniyle, Windows’a yama uygulanmasında daha büyük bir aciliyet görüyoruz. Değişim nedeniyle de dikkat gerektirecektir yeni sunucu güncelleme teknolojisi.

Bu ay Microsoft tarayıcıları ve Adobe Reader için güncelleme yapılmadı. Ve Windows 10 20H2 (sizi neredeyse hiç tanımıyorduk) artık desteklenmiyor.

Bu Salı Yaması güncellemelerini dağıtmanın riskleri hakkında daha fazla bilgiyi şurada bulabilirsiniz: bu faydalı infografik, ve MSRC Merkezi, güvenlik güncellemelerini nasıl ele aldığına dair iyi bir genel bakış yayınladı burada.

Anahtar test senaryoları

Bu Mayıs yama döngüsüne dahil edilen çok sayıda değişiklik göz önüne alındığında, test senaryolarını yüksek riskli ve standart risk gruplarına ayırdım:

Yüksek risk: Bu değişikliklerin işlevsellik değişiklikleri içermesi muhtemeldir, mevcut işlevleri kullanımdan kaldırabilir ve muhtemelen yeni test planları oluşturulmasını gerektirecektir:

• Kurumsal CA sertifikalarınızı test edin (hem yeni hem de yenilenmiş). etki alanı sunucunuz KDC bu güncellemeye dahil olan yeni uzantıları otomatik olarak doğrulayacaktır. Başarısız doğrulamaları arayın!
• Bu güncelleme, sürücü imzalarında artık zaman damgası denetiminin yanı sıra kimlik doğrulama imzaları. İmzalı sürücüler yüklenmelidir. İmzasız sürücüler olmamalıdır. Başarısız sürücü yüklemeleri için uygulama testi çalıştırmalarınızı kontrol edin. İmzalı EXE’ler ve DLL’ler için kontrolleri de dahil edin.

Aşağıdaki değişikliklerin işlevsel değişiklikleri içerdiği belgelenmemiştir, ancak yine de en azından “duman testi” Mayıs yamalarının genel dağıtımından önce:

• Kullanırken VPN istemcilerinizi test edin RRAS sunucular: bağlanmayı, bağlantıyı kesmeyi içerir (tüm protokolleri kullanarak: PPP/PPTP/SSTP/IKEv2).
• EMF dosyalarınızın beklendiği gibi açılıp açılmadığını test edin.
• Windows Adres Defterinizi test edin (WAB) uygulama bağımlılıkları.
• BitLocker’ı test edin: ile makinelerinizi başlatın/durdurun BitLocker etkinleştirilir ve ardından devre dışı bırakılır.
• Kimlik bilgilerinizin VPN aracılığıyla erişilebilir olduğunu doğrulayın (bkz. Microsoft Kimlik Bilgileri Yöneticisi).
• test edin V4 yazıcı sürücüleri (özellikle daha sonra gelmesiyle CVE-2022-30138).

Bu ayın testleri, test kaynaklarınızda birkaç yeniden başlatma gerektirecek ve hem (BIOS/UEFI) sanal hem de fiziksel makineleri içermelidir.

Bilinen Sorunlar

Microsoft, bu güncelleştirme döngüsüne dahil olan işletim sistemini ve platformları etkileyen bilinen sorunların bir listesini içerir:

• Bu ayın güncellemesini yükledikten sonra, belirli GPU’ları kullanan Windows cihazları, uygulamaların beklenmedik şekilde kapanmasına veya Direct3D Sürüm 9’u kullanan uygulamalarda bir istisna kodu (d3d9on12.dll modülünde 0xc0000094) oluşturmasına neden olabilir. KIR Bu sorunu aşağıdaki GPO ayarlarıyla çözmek için grup ilkesi güncellemesi: Windows 10, sürüm 2004, Windows 10, sürüm 20H2, Windows 10, sürüm 21H1 ve Windows 10, sürüm 21H2 için indirin.
• 11 Ocak 2022 veya sonrasında yayımlanan güncelleştirmeleri yükledikten sonra, Active Directory Orman Güveni Bilgilerini almak veya ayarlamak için Microsoft .NET Framework kullanan uygulamalar başarısız olabilir veya bir erişim ihlali (0xc0000005) hatası oluşturabilir. uygulamalara bağlı olduğu görülmektedir. System.DirectoryServices API’si etkilenirler.

Microsoft, bu sürüm için son düzeltmeleri ve güncellemeleri tartışırken oyununu gerçekten yükseltti. öne çıkanları güncelle video.

Ana revizyonlar

Bu ay Nisan ayına kıyasla çok daha az yama listesi olmasına rağmen, Microsoft aşağıdakileri içeren üç revizyon yayınladı:

• CVE-2022-1096: Krom: CVE-2022-1096 V8’de Tip Karışıklık. Bu Mart yaması, webview2 içeriğinin güncellenmiş oluşturulmasına izin vermek için Visual Studio’nun (2022) en son sürümüne destek içerecek şekilde güncellendi. Başka bir eylem gerekmez.
• CVE-2022-24513: Visual Studio’da Ayrıcalık Yükselmesi Güvenlik Açığı. Bu Nisan yaması, Visual Studio’nun TÜM desteklenen sürümlerini (15.9 – 17.1) içerecek şekilde güncellendi. Ne yazık ki, bu güncelleme, webview2 içeriğinin nasıl oluşturulacağını etkilediğinden, geliştirme ekibiniz için bazı uygulama testleri gerektirebilir.
• CVE-2022-30138: Windows Yazdırma Biriktiricisinde Ayrıcalık Yükselmesi Güvenlik Açığı. Bu yalnızca bilgilendirme amaçlı bir değişikliktir. Başka bir eylem gerekmez.

Azaltıcı etkenler ve geçici çözümler

Mayıs ayı için Microsoft, ciddi bir Windows ağ dosya sistemi güvenlik açığı için önemli bir azaltıcı önlem yayınladı:

• CVE-2022-26937: Windows Ağ Dosya Sistemi Uzaktan Kod Yürütme Güvenlik Açığı. Devre dışı bırakarak bir saldırıyı hafifletebilirsiniz NFSV2 ve NFSV3. Aşağıdaki PowerShell komutu bu sürümleri devre dışı bırakacaktır: “PS C:\Set-NfsServerConfiguration -EnableNFSV2 $false -EnableNFSV3 $false.” Bir kez yapıldı. NFS sunucunuzu yeniden başlatmanız (veya tercihen makineyi yeniden başlatmanız) gerekecektir. NFS sunucusunun doğru şekilde güncellendiğini doğrulamak için “PS C:\Get-NfsServerConfiguration” PowerShell komutunu kullanın.

Her ay, güncelleme döngüsünü aşağıdaki temel gruplamalarla ürün ailelerine (Microsoft tarafından tanımlandığı şekilde) ayırırız:

• Tarayıcılar (Microsoft IE ve Edge);
• Microsoft Windows (hem masaüstü hem de sunucu);
• Microsoft Office;
• Microsoft değişimi;
• Microsoft Geliştirme platformları ( ASP.NET Çekirdek, .NET Çekirdeği ve Çakra Çekirdeği);
• Adobe (emekli???, belki gelecek yıl).

tarayıcılar

Microsoft, bu ay eski (IE) veya Chromium (Edge) tarayıcılarında herhangi bir güncelleme yayınlamadı. Microsoft’u son on yılda rahatsız eden kritik sorunların sayısında düşüş eğilimi görüyoruz. Benim düşüncem, Chromium projesine geçişin hem geliştirme ekibi hem de kullanıcılar için kesin bir “süper artı artı kazan-kazan” olduğu yönünde.

Eski tarayıcılardan bahsetmişken, buna hazırlanmamız gerekiyor. IE’nin emekliliği haziran ortasında geliyor. “Hazırlan” derken kutlamayı kastediyorum – elbette, eski uygulamaların eski IE oluşturma motoruna açık bağımlılıkları olmadığından emin olduktan sonra. Lütfen tarayıcı dağıtım programınıza “IE’nin kullanımdan kaldırılışını kutlayın”ı ekleyin. Kullanıcılarınız anlayacaktır.

pencereler

Windows platformu bu ay altı kritik güncelleme ve önemli olarak derecelendirilen 56 yama aldı. Ne yazık ki, bizim de üç tane sıfırıncı gün açığımız var:

• CVE-2022-22713: Microsoft’un Hyper-V sanallaştırma platformundaki genel olarak açıklanan bu güvenlik açığı, bir saldırganın olası bir hizmet reddi senaryosuna yol açmak için dahili bir yarış koşulundan başarıyla yararlanmasını gerektirecektir. Bu ciddi bir güvenlik açığıdır, ancak başarılı olmak için birkaç güvenlik açığının zincirlenmesi gerekir.
• CVE-2022-26925: Hem kamuya açıklanmış hem de vahşi doğada sömürüldüğü bildirilmiş, bu LSA kimlik doğrulama sorunu gerçek bir endişedir. Yama yapmak kolay olacak, ancak test profili geniş, bu da onu hızlı bir şekilde dağıtmayı zorlaştırıyor. Etki alanı kimlik doğrulamanızı test etmenin yanı sıra, yedekleme (ve geri yükleme) işlevlerinin beklendiği gibi çalıştığından emin olun. En son kontrol etmenizi şiddetle tavsiye ederiz Microsoft destek notları bu konuda devam eden sorun.
• CVE-2022-29972: Redshift’teki herkese açık olan bu güvenlik açığı ODBC sürücü, Synapse uygulamalarına oldukça özeldir. Ancak herhangi birine maruz kalırsanız Azure Synapse RBAC roller, bu güncelleştirmeyi dağıtmak en büyük önceliktir.

Bu sıfır gün sorunlarına ek olarak, ilgilenmeniz gereken üç sorun daha var:

• CVE-2022-26923: Active Directory kimlik doğrulamasındaki bu güvenlik açığı tam değil “solucan” ancak istismar edilmesi o kadar kolay ki, yakında aktif olarak saldırıya uğradığını görmek beni şaşırtmayacak. Bir kez bu güvenlik açığı, tüm alan adınıza erişim sağlayacaktır. Bu konuda riskler yüksektir.
• CVE-2022-26937: Bu Ağ Dosya Sistemi hatası, bu yıl bildirilen en yüksek değerlerden biri olan 9.8 derecesine sahiptir. NFS varsayılan olarak etkin değildir, ancak ağınızda Linux veya Unix varsa, muhtemelen onu kullanıyorsunuzdur. Bu sorunu düzeltin, ancak şuna yükseltmenizi de öneririz: NFSv4.1 mümkün olan en kısa sürede.
• CVE-2022-30138: Bu yama Salı günü Yamadan sonra yayınlandı. Bu yazdırma biriktirici sorunu yalnızca eski sistemleri etkiler (Windows 8 ve Server 2012), ancak dağıtımdan önce önemli testler gerektirir. Bu çok kritik bir güvenlik sorunu değildir, ancak yazıcı tabanlı sorunların potansiyeli büyüktür. Bunu dağıtmadan önce zaman ayırın.

Ciddi istismarların sayısı ve Mayıs’taki üç sıfır gün göz önüne alındığında, bu ayın Windows güncellemesini “Şimdi Yama” programınıza ekleyin.

Microsoft Office

Microsoft, Microsoft Office platformu (Excel, SharePoint) için tümü önemli olarak derecelendirilen yalnızca dört güncelleştirme yayınladı. Tüm bu güncellemelerin istismar edilmesi zordur (hem kullanıcı etkileşimi hem de hedef sisteme yerel erişim gerektirir) ve yalnızca 32 bit platformları etkiler. Bu düşük profilli, düşük riskli Office güncelleştirmelerini standart yayın programınıza ekleyin.

Microsoft Exchange Sunucusu

Microsoft, Exchange Server için tek bir güncelleme yayınladı (CVE-2022-21978) önemli olarak derecelendirildi ve istismar edilmesi oldukça zor görünüyor. Bu ayrıcalık yükselmesi güvenlik açığı, sunucuya tam olarak kimliği doğrulanmış erişim gerektirir ve şimdiye kadar herhangi bir kamuya ifşa veya kötüye kullanım raporu olmamıştır.

Daha da önemlisi, bu ay Microsoft yeni bir Microsoft Exchange sunucularını güncelleme yöntemi bu şimdi şunları içerir:

• Otomatik yüklemeler için en iyi sonucu veren Windows Installer yama dosyası (.MSP).
• Manuel kurulumlar için en iyi sonucu veren, kendiliğinden açılan, otomatik yükselen yükleyici (.exe).

Bu, Exchange yöneticilerinin sunucu sistemlerini yönetici olmayan bir bağlamda güncelleyerek kötü bir sunucu durumuna yol açması sorununu çözme girişimidir. Yeni EXE formatı, komut satırı kurulumlarına ve daha iyi kurulum günlüğüne izin verir. Microsoft, aşağıdaki EXE komut satırı örneğini faydalı bir şekilde yayımladı:

“Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains”

Not, Microsoft, yeni EXE yükleme biçimini kullanmadan önce %Temp% ortam değişkenine sahip olmanızı önerir. Exchange’i güncellemek için EXE kullanmanın yeni yöntemini izlerseniz, yine de aylık olarak (ayrı olarak) dağıtmanız gerekeceğini unutmayın. SSU sunucularınızın güncel olduğundan emin olmak için güncelleme yapın. Bu güncellemeyi (veya EXE’yi) standart yayın programınıza ekleyin ve tüm güncellemeler tamamlandığında tam bir yeniden başlatmanın gerçekleştirilmesini sağlayın.

Microsoft geliştirme platformları

Microsoft, önemli olarak derecelendirilen beş güncelleme ve düşük dereceli tek bir yama yayınladı. Tüm bu yamalar Visual Studio’yu ve .NET çerçevesini etkiler. Bildirilen bu güvenlik açıklarını gidermek için Visual Studio örneklerinizi güncelleyeceğiniz için, aşağıdakileri okumanızı öneririz. Visual Studio Nisan güncelleme kılavuzu.

Güvenlik açısından ele alınan belirli konular hakkında daha fazla bilgi edinmek için, Mayıs 2022 .NET güncellemesi blog gönderisi yararlı olacaktır. Bunu not ederek.NET 5.0 artık desteğin sonuna ulaştı ve .NET 7’ye yükseltmeden önce, uyumluluk veya “değişiklikleri kırmak“Bunun ele alınması gerekiyor. Bu orta riskli güncellemeleri standart güncelleme programınıza ekleyin.

Adobe (gerçekten sadece Reader)

Bir eğilim görebileceğimizi düşündüm. Bu ay için Adobe Reader güncellemesi yok. Bununla birlikte, Adobe burada bulunan diğer ürünler için bir dizi güncelleme yayınladı: APSB22-21. Bakalım Haziran’da ne olacak – belki emekli olabiliriz ikisi birden Adobe Reader ve IE.