14 Haziran’da yayınlanan Haziran Yaması Salı güncellemeleri, Windows, SQL Server, Microsoft Office ve Visual Studio’daki 55 güvenlik açığını giderir (bu ay oo Microsoft Exchange Server veya Adobe güncellemeleri olsa da). Ve önemli bir Windows bileşeninde sıfır gün güvenlik açığı, CVE-2022-30190, .NET, Office ve SQL Server güncellemeleri standart bir yayın planına dahil edilebilirken, Windows için “Şimdi Yama Yap” önerisine yol açtı.
Bu Salı Yaması güncellemelerini dağıtma riski hakkında daha fazla bilgi bulabilirsiniz. bu infografikte.
Anahtar test senaryoları
Bu Haziran yama döngüsüne dahil edilen çok sayıda değişiklik göz önüne alındığında, yüksek risk ve standart risk grupları için test senaryolarını dağıttım.
Bu yüksek riskli değişikliklerin işlevsellik değişiklikleri içermesi muhtemeldir, mevcut işlevleri kullanımdan kaldırabilir ve muhtemelen yeni test planları gerektirecektir. İmzalı sürücülerinizi fiziksel ve sanal makineler (BIOS ve UEFI) kullanarak ve tüm platformlarda (x86, 64-bit) test edin:
- İmzalı ve imzasız ikili dosyalara (.EXE ve .DLL) sahip uygulamaları çalıştırın.
- İmzalı ve imzasız sürücüleri çalıştırın. İmzasız sürücüler yüklenmemelidir. İmzalı sürücüler yüklenmelidir.
- SHA-1 imzalı sürücülere karşı SHA-2 imzalı sürücüler kullanın.
Bu yüksek riskli test döngülerinin her biri bir manuel kapatma, yeniden başlatma ve yeniden başlatma içermelidir. Aşağıdaki değişikliklerin işlevsel değişiklikleri içerdiği belgelenmemiştir, ancak yine de en azından “duman testi” genel dağıtımdan önce:
- Uzaktan kumandayı test et Kimlik Bilgisi Muhafızı senaryolar. (Bu testler Kerberos kimlik doğrulaması gerektirir ve yalnızca RDP protokolü.)
- Hyper-V sunucularınızı test edin ve Sanal Makinelerinizi (VM) başlatın/durdurun/devam ettirin.
- kullanarak gölge kopyalama işlemlerini gerçekleştirin. VSS farkında SMB üzerinden uzak bir VSS dağıtımında uygulamaları yedekleyin.
- Kullanarak dağıtma örnek uygulamalarını test edin AADJ ve Intune. Test döngünüzün bir parçası olarak erişimi dağıttığınızdan ve iptal ettiğinizden emin olun.
Bu standart test yönergelerine ek olarak, tüm temel uygulamaların kendi kendine onarım, kaldırma ve güncellemeyi içeren bir test rejiminden geçmesini öneririz. Bunun nedeni, bu ay Windows Installer’da (MSI) yapılan değişikliklerdir. Yeterli BT departmanı, uygulama portföylerinin güncelleme, onarım ve kaldırma işlevlerini test etmiyor. Kurulum, etkinleştirme, güncelleme, onarım ve ardından kaldırmanın temel uygulama yaşam döngüsü aşamalarını içeren Kalite Güvencesi (QA) sürecinin bir parçası olarak her bir uygulama paketine meydan okumak iyidir.
Bu aşamaları test etmemek, BT sistemlerini istenmeyen bir durumda bırakabilir – en azından bilinmeyen bir durum olacaktır.
Bilinen Sorunlar
Microsoft her ay, bu döngüden etkilenen işletim sistemi ve platformlarla ilgili bilinen sorunların bir listesini içerir. Bu ay, aşağıdakiler de dahil olmak üzere dikkate alınması gereken bazı karmaşık değişiklikler var:
- Bu Haziran güncellemesini yükledikten sonra, belirli GPU’ları kullanan Windows cihazları, uygulamaların beklenmedik şekilde kapanmasına veya kesintili sorunlara neden olabilir. Microsoft, Windows 11 için KB makaleleri yayınladı (KB5013943) ve Windows 10, sürüm 21H2, tüm sürümler (KB5013942). Bildirilen bu sorunlar için henüz bir çözüm yok.
- Bu ayın güncellemesini yükledikten sonra, bazı .NET Framework 3.5 uygulamalarında sorun olabilir veya açılmayabilir. Microsoft, yeniden etkinleştirerek bu sorunu azaltabileceğinizi söyledi Windows Özelliklerinde .NET Framework 3.5 ve Windows Communication Foundation.
Bildiğiniz gibi, Microsoft bir bant dışı güncelleme (OOB) geçen ay (19 Mayıs’ta). Bu güncelleştirme, aşağıdaki temel Windows Server tabanlı ağ özelliklerini etkiledi:
Bu OOB güncelleştirmesi tarafından giderilen güvenlik açıkları, yalnızca etki alanı denetleyicileri olarak çalışan sunucuları ve etki alanı denetleyicisi sunucularında kimlik doğrulaması yapan uygulama sunucularını etkiler. Masaüstü platformları etkilenmez. Bu önceki yama nedeniyle, Microsoft şunu önerdi: Bu Haziran güncellemesi, kimliği doğrulanmış istemcilerden ilk olarak etki alanı denetleyicisine (DC) kimlik doğrulama sertifikalarını ileten tüm ara sunuculara veya uygulama sunucularına yüklenecektir. Ardından bu güncellemeyi tüm DC rol bilgisayarlarına yükleyin. Veya önceden doldurun SertifikaEşlemeYöntemleri ile 0x1F belgede belirtildiği gibi kayıt defteri anahtarı bilgileri bölümü KB5014754 tüm DC’lerde. Sil SertifikaEşlemeYöntemleri kayıt defteri ayarı sadece 14 Haziran güncellemesinin tüm ara sunuculara veya uygulama sunucularına ve tüm DC’lere yüklenmesinden sonra.
Bunu anladın mı? Microsoft’un şimdiye kadar yayınladığı (şimdiye kadar) en ayrıntılı, siparişe özel talimat dizisinin, çok uzun bir teknik makalenin ortasında, derinlere gömüldüğünü, belirli bir ironi duygusuyla belirtmeliyim. Umarım herkes dikkat eder.
Ana revizyonlar
Bu ay daha az sayıda “yeni” yama yayınlamış olsak da, önceki aylardan çok sayıda güncellenmiş ve yeni yayınlanmış yama var, bunlardan bazıları:
- CVE-2021-26414: Windows DCOM Sunucusu Güvenlik Özelliğini Atlama. Bu ayın güncellemeleri yüklendikten sonra, DCOM sunucularında RPC_C_AUTHN_LEVEL_PKT_INTEGRITY varsayılan olarak etkinleştirilecektir. Bunu yapması gereken müşteriler, RequireIntegrityActivationAuthenticationLevel kayıt defteri anahtarını kullanarak yine de devre dışı bırakabilir. Microsoft yayınladı KB5004442 gerekli yapılandırma değişikliklerine yardımcı olmak için.
- CVE-2022-23267: NET ve Visual Studio Hizmet Reddi Güvenlik Açığı. Bu, etkilenen uygulamalara yönelik küçük bir güncellemedir (artık MAC platformunu etkilemektedir). Daha fazla aksiyona gerek yok.
- CVE-2022-24513: Visual Studio’da Ayrıcalık Yükselmesi Güvenlik Açığı. Bu, etkilenen uygulamalar listesine yapılan küçük bir güncellemedir (artık MAC platformunu etkilemektedir). Daha fazla aksiyona gerek yok.
- CVE-2022-24527: Microsoft Endpoint Configuration Manager Ayrıcalık Yükselişi. Bu yamanın bu büyük güncellemesi biraz karışık. Bu yama yanlışlıkla Windows güvenlik güncelleme grubuna tahsis edildi. Microsoft, bu Uç Nokta yöneticisini Windows grubundan kaldırdı ve bu düzeltmeye erişmek ve bu düzeltmeyi yüklemek için aşağıdaki seçenekleri sağladı:
- Konsol içi güncelleme olarak sunulan Configuration Manager geçerli dalı 2203 (Derleme 5.00.9078) sürümüne yükseltin. Görmek Configuration Manager için 2203 güncellemesini yüklemek için kontrol listesi daha fazla bilgi için.
- Düzeltmeyi uygulayın. Configuration Manager Update 2203’ü (Derleme 5.00.9078) yükleyemeyen Microsoft Endpoint Configuration Manager, sürüm 1910 ile 2111 arasındaki sürümleri çalıştıran müşteriler düzeltmeyi indirip yükleyebilir KB12819689.
- CVE-2022-26832: .NET Framework Hizmet Reddi Güvenlik Açığı. Bu güncelleştirme artık aşağıdaki etkilenen platformları kapsamaktadır: Windows 10 sürüm 1607, Windows Server 2016 ve Windows Server 2016 (Sunucu Çekirdeği yüklemesi). Daha fazla aksiyona gerek yok.
- CVE-2022-30190: Microsoft Windows Destek Tanılama Aracı (MSDT) Uzaktan Kod Yürütme Güvenlik Açığı. Bu yama kişiseldir – sunucu performansında büyük artışlar olan bu sorundan etkilendik. MSDT ile ilgili sorunlarınız varsa, aşağıdakileri okumanız gerekir: MSRC Blog İleti, güncellemeler ve azaltmalar hakkında ayrıntılı talimatlar içerir. Sorunlarımızı çözmek için kendi sorunları olan MSDT URL protokolünü devre dışı bırakmak zorunda kaldık.
Visual Studio güncellemeleri üzerinde güvenle çalışabileceğimizi düşünüyorum ve Endpoint Configuration Manager değişikliklerinin uygulanması biraz zaman alacak, ancak her iki değişikliğin de önemli test profilleri yok. DCOM değişiklikleri farklıdır — test edilmesi zordur ve genellikle bir işletme sahibinin yalnızca DCOM nesnelerinin kurulumunu/başlatılmasını değil, aynı zamanda iş mantığını ve istenen sonuçları doğrulamasını gerektirir. DCOM bağımlılıkları olan ve bir iş mantığı testinden geçen tüm uygulamaların tam listesine sahip olduğunuzdan emin olun, aksi takdirde hata ayıklaması çok zor sorun giderme senaryolarıyla bazı hoş olmayan sürprizlerle karşılaşabilirsiniz.
Azaltıcı etkenler ve geçici çözümler
Salı günü bu Yama için Microsoft, ciddi bir Windows güvenlik açığı için önemli bir azaltma yayınladı:
- CVE-2022-30136: Windows Ağ Dosya Sistemi Uzaktan Kod Yürütme Güvenlik Açığı. Bunu ilk kez görüyorum, ancak bu hafifletme için Microsoft, önce Mayıs 2022 güncellemesini yüklemenizi şiddetle tavsiye ediyor. Bittiğinde, devre dışı bırakarak saldırı yüzey alanınızı azaltabilirsiniz. NFSV4.1 aşağıdaki PowerShell komutuyla: “PS C:\Set-NfsServerConfiguration -EnableNFSV4 $false”
Bu değişikliği yapmak, hedef sunucunun yeniden başlatılmasını gerektirecektir.
Her ay, güncelleme döngüsünü aşağıdaki temel gruplamalarla ürün ailelerine (Microsoft tarafından tanımlandığı şekilde) ayırırız:
- Tarayıcılar (Microsoft IE ve Edge);
- Microsoft Windows (hem masaüstü hem de sunucu);
- Microsoft Office;
- Microsoft değişimi;
- Microsoft Geliştirme platformları (ASP.NET Çekirdek, .NET Çekirdeği ve Çakra Çekirdeği);
- Adobe (emekli???, belki gelecek yıl).
tarayıcılar
Microsoft tarayıcı portföyünün tamamında giderek daha az kritik güncelleştirmenin hoş karşılandığını görüyoruz. Bu döngü için Microsoft, beş güncelleme için Krom Edge’in sürümü. Bunların tümü, aşağıdaki bildirilen güvenlik açıklarını dağıtmak ve çözmek için düşük risk taşır:
Tarayıcıyla ilgili güvenlik sorunlarının bu düşüş eğiliminde önemli bir faktör, Internet Explorer’ın (IE) düşüşü ve artık kullanımdan kaldırılmasıdır. IE, bu Temmuz itibariyle artık resmi olarak desteklenmemektedir. Microsoft’un tarayıcılarının geleceği Edge, Microsoft’a göre. Microsoft bize Internet Explorer’ın kullanımdan kaldırılmasıyla ilgili bir video özeti sağladı. Bu Chromium/Edge tarayıcı güncellemelerini standart uygulama yayın planınıza ekleyin.
pencereler
Bu ayın 55 Yama Salı güncellemesinden 33’üyle, özellikle Microsoft Tarayıcılar, Office ve geliştirme platformları (.NET) için düşük riskli, düşük profilli güncellemeler göz önüne alındığında, Windows platformu birincil odak noktasıdır. Windows güncellemeleri, aşağıdakiler dahil olmak üzere geniş bir işlevsellik tabanını kapsar: NTFS, Windows ağ iletişimi, codec bileşenleri (medya) kitaplıkları ve Hyper-V ve docker bileşenleri. Daha önce de belirtildiği gibi, test edilmesi ve sorun gidermesi en zor olan çekirdek güncellemeleri ve yerel güvenlik alt sistemi olacaktır (LSASS). Microsoft, bir halka tabanlı dağıtım Öncelikle erken testlerde alınması gereken temel altyapı değişikliklerinin sayısı nedeniyle bu ayın güncellemeleri için iyi çalışacak olan yaklaşım. (Microsoft, bu ay Windows 11 platformunda yapılan değişikliklerle ilgili bir video daha yayınladı, bulundu burada.)
Microsoft, yaygın olarak kullanılan Windows’u düzeltti Follina MSDT sıfır gün güvenlik açığı olarak rapor edildi CVE-2022-30190, diğer üç kritik güncellemeyi veren (CVE-2022-30136, CVE-2022-3063 ve CVE-2020-30139) “Şimdi Yama Yap” önerisine yol açar.
Microsoft Office
Microsoft, Microsoft Office platformunda (SharePoint, Excel ve Office Core temel kitaplığı) yedi güncelleştirme yayımladı ve bunların tümü önemli olarak derecelendirildi. SharePoint sunucu güncellemeleri nispeten düşük risklidir, ancak sunucunun yeniden başlatılmasını gerektirir. Başlangıçta endişeliydik RCE Excel’deki güvenlik açığı, ancak inceleme sırasında Uzaktan Kod Yürütme’deki “uzaktan” saldırganın konumuna atıfta bulunduğu görülüyor. Bu Excel güvenlik açığı, daha çok bir Rasgele Kod Yürütme güvenlik açığıdır; Kullanıcı etkileşimi ve yerel bir hedef sisteme erişim gerektirdiği göz önüne alındığında, çok daha düşük bir risktir. Bu düşük profilli Office güncelleştirmelerini standart yama dağıtım programınıza ekleyin.
Microsoft Exchange Sunucusu
biz bir SQL sunucusu güncellemesi bu ay, ancak Haziran ayı için Microsoft Exchange Server güncellemesi yok. Bu iyi haber.
Microsoft geliştirme platformları
Microsoft, nispeten düşük riskli (CVE-2022-30184) .NET ve Visual Studio platformuna güncelleme. Mac kullanıyorsanız ( Kodun Mac sürümü), Microsoft, güncellemenizi önerir. Mac Visual Studio 2022 (hala önizleme aşamasında) mümkün olan en kısa sürede. Temmuz ayından itibaren (evet, gelecek ay) Visual Studio 2019’un Mac sürümü artık desteklenmeyecektir. Ve evet, bir sonraki sürüm yayınlandığında aynı ayda yama desteğini kaybetmek zor. Bu tek .NET güncellemesini standart geliştirme yaması yayın planınıza ekleyin.
Adobe (gerçekten, sadece Reader)
Bu döngü için Adobe Reader veya Acrobat güncellemesi yok. Adobe yayınladı güvenlik bülteni diğer (Acrobat veya PDF ile ilgili olmayan) uygulamaları için – tümü Adobe tarafından en düşük seviye 3 olarak derecelendirilmiştir. Önümüzdeki haftalarda matbaacılarla ilgili çok çalışma olacak, bu yüzden bu hoş bir rahatlama.
Telif Hakkı © 2022 IDG Communications, Inc.