Featured Post

Jalan-jalan di taman

Jalan-jalan di taman "Saya melihatnya setiap kali saya memejamkan mata: pistol di tangan saya dan tubuhnya tergeletak di genangan dara...

Недостатки нулевого дня означают, что пришло время исправить Exchange и Windows




В этом месяце обновление Patch Tuesday от Microsoft касается 84 недостатков и нулевого дня, влияющего на Microsoft Exchange, который на данный момент остается нерешенным. Обновления Windows сосредоточены на компонентах безопасности и сети Майкрософт с труднопроверяемым обновлением com и OLE db. И браузеры Microsoft получают 18 обновлений — ничего критического или срочного.


Это оставляет фокус в этом месяце на Microsoft Exchange и развертывании усилий по смягчению последствий, а не обновлений сервера, на следующей неделе. Дополнительные сведения о рисках, связанных с развертыванием этих обновлений во вторник исправлений, доступны в этой инфографике.


Microsoft продолжает улучшать как отчеты об уязвимостях, так и уведомления с помощью нового RSS-канала, и Adobe последовала этому примеру, улучшив отчетность и документацию по выпуску. В качестве мягкого напоминания, поддержка Windows 10 21H1 заканчивается в декабре.


Основные сценарии тестирования


Учитывая большое количество изменений, включенных в этом месяце, я разбил сценарии тестирования на группы высокого и стандартного риска:


Высокий риск: за октябрь корпорация Майкрософт не зафиксировала каких-либо изменений функциональности с высоким риском. Это означает, что он не внес существенных изменений в основные API или в функциональность каких-либо основных компонентов или приложений, включенных в экосистемы настольных компьютеров и серверов Windows.


В более общем плане, учитывая широкий характер этого обновления (Office и Windows), мы предлагаем протестировать следующие возможности и компоненты Windows:


Обновление GDI (GDIPLUS.DLL) требует тестирования EMF, как 16-, так и 32-разрядных файлов палитры (открытие, печать и создание).


Microsoft Desktop Application Manager был обновлен и потребует как подготовки, так и отмены подготовки приложений (требуется тестирование как установки, так и удаления).


Система Windows CLFS была обновлена, чтобы потребовать короткого теста по созданию, чтению, обновлению и удалению файлов журнала.


В дополнение к этим изменениям и требованиям к тестированию я включил некоторые из наиболее сложных сценариев тестирования:


OLE DB: Почтенная Microsoft OLE DB была обновлена и требует, чтобы все приложения, зависящие от SQL Server 2012 или ADO.NET, должны быть полностью протестированы перед развертыванием. Этот COM-компонент Microsoft (OLE DB) отделяет данные от логики приложения с помощью набора подключений, которые обращаются к источнику данных, сеансам, командам SQL и данным набора строк.


Перемещаемые учетные данные, криптографические ключи и сертификаты: чтобы узнать больше о перемещении учетных данных, ознакомьтесь с публикацией Джима Тирни из Microsoft и этим замечательным введением в перемещение учетных данных.


Зашифрованные VPN-подключения: в этом месяце корпорация Майкрософт обновила компоненты IKEv2 и L2TP/IPsec. Тестирование с удаленными подключениями должно длиться более восьми часов. Если у вас возникли проблемы с этим обновлением, корпорация Майкрософт опубликовала руководство по устранению неполадок L2TP/IPSec VPN.


Если не указано иное, мы должны предположить, что каждое обновление Patch Tuesday потребует тестирования основных функций печати, в том числе:


печать с непосредственно подключенных принтеров;


большие задания печати с серверов (особенно если они также являются контроллерами домена);


удаленная печать (с использованием RDP и VPN).


Известные проблемы


Каждый месяц корпорация Майкрософт включает список известных проблем, связанных с операционной системой и платформами, включенными в этот цикл обновления.


На устройствах с установками Windows, созданными на пользовательском автономном носителе или пользовательском ISO-образе, может быть удален Microsoft Edge Legacy этим обновлением, но не заменен автоматически новым Microsoft Edge. Для решения этой проблемы потребуется полная/новая установка Microsoft Edge.


Microsoft SharePoint: это обновление может повлиять на некоторые сценарии рабочих процессов SharePoint 2010. Он также создает теги событий "6ksbk" в журналах единой системы ведения журналов SharePoint (ULS).


Одна из обнаруженных проблем с последним обновлением стека обслуживания (SSU) KB5018410 заключается в том, что предпочтения групповой политики могут завершиться ошибкой. Корпорация Майкрософт работает над решением; тем временем компания опубликовала следующие меры по смягчению последствий:

Снимите флажок "Запустить контекст безопасности вошедшего в систему пользователя (параметр политики пользователя)". Примечание: это может не устранить проблему для элементов, использующих подстановочный знак (*).


В уязвимой групповой политике измените "Действие" с "Заменить" на "Обновить".


Если в расположении или месте назначения используется подстановочный знак (*), удаление заключительного "\" (обратная косая черта, без кавычек) из места назначения может привести к успешному копированию.


Основные изменения


До сих пор Microsoft не опубликовала никаких серьезных изменений в своих рекомендациях по безопасности. 


Меры по смягчению последствий и обходные пути


Существует два варианта смягчения последствий и четыре обходных пути для этого октябрьского патча во вторник, в том числе:


CVE-2022-41803: повышение прав кода Visual Studio. Корпорация Майкрософт опубликовала краткое решение для этой уязвимости системы безопасности, в котором говорится: «Создайте папку C:\ProgramData\jupyter\kernels\ и настройте ее так, чтобы она была доступна для записи только текущему пользователю».


CVE-2022-22041: Повышение прав диспетчера очереди печати Windows. Опубликованный корпорацией Майкрософт обходной путь для управления этой уязвимостью заключается в том, чтобы остановить службу диспетчера очереди печати принтера на целевом компьютере с помощью следующих команд PowerShell: «Остановка службы -Имя диспетчера очереди печати -Force и Set-Service -Имя диспетчера очереди печати -StartupType Отключено». Это остановит локальный диспетчер очереди печати на устройстве и все службы печати, используемые этой системой.


Корпорация Майкрософт также отметила, что в случае следующих обнаруженных сетевых уязвимостей эти системы не подвержены уязвимости, если IPv6 отключен, и их можно устранить с помощью следующей команды PowerShell: "Get-Service Ikeext:"


CVE-2022-37976: уязвимость драйвера TCP/IP для Windows, приводящая к отказу в обслуживании;


CVE-2022-34721: расширения протокола IKE;


CVE-2022-3471, CVE-2022-33645 и CVE-2022-34718: уязвимость Windows TCP/IP, делающая возможным удаленное выполнение кода.


Каждый месяц мы разбиваем цикл обновления на семейства продуктов (как определено корпорацией Майкрософт) со следующими основными группами:

Браузеры (Microsoft IE и Edge);

Microsoft Windows (как настольная, так и серверная);

Microsoft Office;

Microsoft Exchange;

Платформы разработки Microsoft (ASP.NET Core, .NET Core и Chakra Core);

Adobe (на пенсии???, возможно, в следующем году).


Браузеров


Microsoft выпустила 18 обновлений для Edge (Chromium). Только CVE-2022-41035 специально применяется к браузеру, в то время как остальные связаны с Chromium. Вы можете найти заметку о выпуске этого месяца здесь. Это низкопрофильные, некритические патчи к последнему браузеру Microsoft; их можно добавить в стандартное расписание выпуска.


Виндоус


Корпорация Майкрософт выпускает исправления для 10 критических и 57 важных уязвимостей, которые охватывают следующие группы компонентов в платформе Windows:


Сеть Windows (DNS, TLS, удаленный доступ и стек TCP/IP);

Криптография (расширения IKE и Kerberos);

Печать (повторно);

Microsoft COM и OLE DB;

Удаленный рабочий стол (диспетчер подключений и API).


Одна уязвимость, связанная с объектами COM+ (CVE-2022-41033), была зарегистрирована как эксплуатируемая в дикой природе. Это усложняет работу групп по установке исправлений и обновлений. Тестирование COM-объектов, как правило, затруднено из-за бизнес-логики, требуемой и содержащейся в приложении. Кроме того, определить, какие приложения зависят от этой функции, непросто. Это особенно актуально для приложений собственной разработки или бизнес-приложений из-за бизнес-критичности. Рекомендуется оценивать, изолировать и тестировать основные бизнес-приложения с зависимостями COM и OLE dB перед общим развертыванием октябрьского обновления. Добавьте это обновление Windows в расписание "Исправление сейчас.


Что касается более легкой стороны вещей, Microsoft выпустила еще одно видео с обновлением Windows 11.


Microsoft Office


В этом месяце мы получаем два критических обновления (CVE-2022-41038 и CVE-2022-38048) и четыре обновления, оцененные как важные для платформы Microsoft Office. Если вы не управляете несколькими серверами SharePoint, это относительно низкопрофильное обновление, без векторов атак на основе области предварительного просмотра и без сообщений об эксплойтах в дикой природе. Если в прошлом месяце у вас или вашей команды возникли проблемы со сбоем Microsoft Outlook (извините, «закрытие»), корпорация Майкрософт предлагает следующие советы:


Выйти из офиса;

Отключите диагностику поддержки;

Задайте следующий раздел реестра: [HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Options\General] "DisableSupportDiagnostics"=dword:00000001;

Перезагрузите систему.

Учитывая эти изменения и низкопрофильные обновления, мы предлагаем добавить эти исправления Office в стандартное расписание выпуска.


Сервер Microsoft Exchange


Мы должны были начать с обновлений Microsoft Exchange в этом месяце. Критические уязвимости удаленного выполнения PCODE (CVE-2022-41082 и CVE-2022-41040) в Exchange были зарегистрированы как эксплуатируемые в дикой природе и не были устранены с помощью этого обновления для системы безопасности. Есть доступные патчи, и они являются официальными от Microsoft. Однако эти два обновления для Microsoft Exchange Server не полностью устраняют уязвимости.


Блог группы разработчиков Microsoft Exchange явно указывает на это в середине заметки о выпуске:

«Su октября 2022 года не содержат исправлений для уязвимостей нулевого дня, о которых сообщалось публично 29 сентября 2022 года (CVE-2022-41040 и CVE-2022-41082). Пожалуйста, ознакомьтесь с этой записью блога, чтобы применить меры по устранению этих уязвимостей. Мы выпустим обновления для CVE-2022-41040 и CVE-2022-41082, когда они будут готовы.

Корпорация Майкрософт опубликовала рекомендации по устранению этих серьезных проблем безопасности Exchange, охватывающие:


CVE-2022-41040: служба экстренного смягчения последствий сбоев Exchange


CVE-2022-41082: отключение удаленной оболочки PowerShell для Exchange


Рекомендуется реализовать защиту URL-адресов и PowerShell для всех серверов Exchange. Следите за этим пространством, так как мы увидим обновление от Microsoft на предстоящей неделе. 


Платформы разработки Майкрософт


Корпорация Майкрософт выпустила четыре обновления (все оценены как важные) для Visual Studio и .NET. Хотя все четыре уязвимости (CVE-2022-41032, CVE-2022-41032, CVE-2022-41034 и CVE-2022-41083) имеют стандартные записи в Руководстве по обновлению безопасности Майкрософт (MSUG), команда Visual Studio также опубликовала эти заметки о выпуске 17.3. (И, как и в Windows 11, мы даже получаем видео.) Все эти четыре обновления являются низкорисковыми и низкопрофильными обновлениями платформы разработки. Добавьте их в стандартное расписание выпусков для разработчиков.


Adobe (на самом деле просто Reader)


Adobe Reader был обновлен (APSB22-46) для устранения шести уязвимостей, связанных с памятью. В этом выпуске Adobe также обновила документацию по выпуску, включив в нее известные проблемы и запланированные заметки о выпуске. Эти заметки охватывают как Windows, так и MacOS, а также обе версии Reader (DC и Continuous). Все шесть обнаруженных уязвимостей имеют самый низкий рейтинг Adobe, 3, для которого Adobe услужливо предлагает следующие советы по исправлению: «Adobe рекомендует администраторам устанавливать обновление по своему усмотрению».


Мы согласны с тем, что добавьте эти обновления Adobe Reader в стандартное расписание развертывания исправлений.


No comments:

Post a Comment

Informations From: Pusing Blogger

Popular Posts