В обновлении Patch Tuesday, выпущенном в этом месяце, Microsoft устранила 130 уязвимостей безопасности, опубликовала два бюллетеня и включила четыре основные версии CVE. У нас также есть четыре нулевых дня для Windows (CVE-2023-32046, CVE-2023-32049, CVE-2023-36874 и CVE-2023-36884), что переводит платформу Windows в график «исправлений сейчас».
В этом месяце будет проще сосредоточиться на тестировании Microsoft Office и Windows, поскольку у нас нет обновлений Adobe, Exchange или браузера. Обязательно внимательно ознакомьтесь с Microsoft Storm 0978, поскольку в нем содержатся конкретные практические рекомендации по устранению серьезной уязвимости HTML в Microsoft Office (CVE-2022-38023).
Команда Readiness создала эту полезную инфографику, чтобы обозначить риски, связанные с каждым из обновлений.
Содержание статьи
Известные вопросы
Microsoft каждый месяц перечисляет известные проблемы, связанные с операционной системой и платформами, включенными в последний цикл обновлений.
- После установки этого обновления на гостевые виртуальные машины (ВМ) под управлением Windows Server 2022 в некоторых версиях VMware ESXi Windows Server 2022 может не запускаться. Затрагиваются только виртуальные машины Windows Server 2022 с включенной безопасной загрузкой. Microsoft и VMware изучают проблему и предоставят дополнительную информацию, когда она станет доступна.
- При использовании пакетов подготовки в Windows 11 версия 22H2 может работать не так, как ожидалось. Windows может быть настроена лишь частично, а стандартная работа может не завершиться или может неожиданно перезапуститься.
Основные изменения
Microsoft опубликовала две основные версии:
- CVE-2022-37967: Уязвимость Windows Kerberos, связанная с несанкционированным получением прав (4-е обновление). Это обновление удаляет возможность установить значение 1 для подраздела KrbtgtFullPacSignature и включить режим принудительного применения (по умолчанию) (KrbtgtFullPacSignature = 3), который может быть переопределен администратором с помощью явного параметра аудита. Если вы применяете обновление этого месяца, никаких дополнительных действий не требуется.
- CVE-2022-38023: Уязвимость Netlogon RPC, связанная с несанкционированным получением прав. (Предыдущие) обновления от апреля 2023 г. удаляют возможность отключения уплотнения RPC путем установки значения 0 для подраздела реестра RequireSeal.
Смягчения и обходные пути
Корпорация Майкрософт опубликовала следующие меры по устранению уязвимостей для этого выпуска:
- CVE-2023-32038: Уязвимость драйвера Microsoft ODBC, связанная с удаленным выполнением кода. Microsoft рекомендует, чтобы эта уязвимость не использовалась при подключении только к известным доверенным серверам — и если нет возможности перенастроить существующие подключения, чтобы они указывали на другое местоположение.
- CVE-2023-36884: Уязвимость удаленного выполнения кода Office и Windows HTML (один из эксплойтов нулевого дня этого цикла). Microsoft отмечает, что если вы используете Microsoft Defender, вы защищены. Для более циничных/избитых/опытных профессионалов мы рекомендуем вам (внимательно) прочитать сообщение Threat Intelligence (Storm-0978).
- CVE-2023-35367, CVE-2023-35366 и CVE-2023-35365: Уязвимость удаленного выполнения кода службы маршрутизации и удаленного доступа Windows (RRAS). Если вы не используете (и не устанавливали) службы маршрутизации и удаленного доступа Microsoft (RRAS), вы не уязвимы для этой уязвимости.
Руководство по тестированию
Каждый месяц группа готовности предоставляет подробные практические рекомендации по тестированию последних обновлений. Это руководство основано на оценке большого портфеля приложений и подробном анализе исправлений Microsoft и их потенциального влияния на платформы Windows и установки приложений.
Если вы использовали внутренние веб-серверы или серверы приложений, стоит протестировать протокол HTTP3, особенно с использованием Microsoft Edge. В дополнение к этому обновлению обработки протокола Microsoft внесла значительное количество изменений и обновлений в сетевой стек, требующих следующего тестирования:
- Протестируйте свой маршрутизатор RRAS с помощью команд UDP, pingback и traceroute, добавляя и удаляя записи в таблице маршрутизации.
- Убедитесь, что ваши серверы домена ведут себя должным образом с включенным полным принудительным режимом.
Учитывая большое количество изменений на уровне системы в этом месяце, я разделил сценарии тестирования на стандартные профили и профили высокого риска.
Высокий риск
Учитывая, что это обновление включает в себя исправления для четырех (некоторые говорят, пять) недостатков нулевого дня, у нас есть два основных фактора изменений в этом месяце: изменения ключевых функций в основных системах и срочная необходимость выпуска обновлений. Microsoft задокументировала, что две основные области были обновлены со значительными изменениями функциональности, включая печать и стек локальной сети (с упором на маршрутизацию). Поэтому перед общим развертыванием необходимо провести следующее тестирование:
- Печать: проверьте свои локальные принтеры, так как обработка ключевого драйвера была обновлена.
- Убедитесь, что зоны вашего DNS-сервера по-прежнему работают должным образом после этого обновления.
Стандартный риск
Следующие изменения были включены в этом месяце и не были отмечены как высокий риск (с неожиданными результатами) и не включают функциональные изменения.
- Windows Hello потребуется протестировать для включения единого входа (SSO) Active Directory (а также Azure AD).
- Проверьте подключения к удаленному рабочему столу (RDP) со шлюзом Microsoft RD Gateway и без него и убедитесь, что вы видите правильный уровень предупреждений о сертификатах (или нет, если они уже проигнорированы).
- (Для ИТ-администраторов) Проверьте свои журналы ошибок Windows (сосредоточьтесь на зависаниях службы) с помощью теста Create/Read/Update/Delete/Extend (CRUDE).
- Протестируйте свои сценарии шифрования и конфигурации шифрования. Особенно Kerberos на ваших контроллерах домена и изоляция ключей.
- Проверьте свои резервные копии. На этот раз вам не нужно беспокоиться о носителе для восстановления.
Все эти сценарии тестирования потребуют значительного тестирования на уровне приложений перед общим развертыванием. Учитывая изменения, включенные в исправления этого месяца, группа готовности рекомендует выполнить следующие тесты перед общим развертыванием:
- Устанавливайте, обновляйте и удаляйте основную линейку бизнес-приложений.
- Проверьте ваши (локальные) драйверы принтера.
- Проверьте свои сценарии VBScript и средства автоматизации пользовательского интерфейса (поскольку OLE был обновлен в этом месяце, см. CComClassFactorySingleton).
- Протестируйте потоковое аудио/видео, а затем Microsoft Teams (из-за его загрузки/выгрузки и требований к очередям сообщений).
В этом месяце может быть немного сложно протестировать автоматизацию/скрипты Microsoft Office и интеграцию со сторонними приложениями из-за изменений в OLE и того, как Microsoft решила проблему CVE-2023-36884. Мы рекомендуем провести полную проверку макросов Excel (если они используют OLE/COM/DCOM) и любых сценариев VBS, включающих Word.
Обновление жизненного цикла Windows
Вот важные изменения в обслуживании (и большинстве обновлений безопасности) для настольных и серверных платформ Windows.
- Обслуживание Windows 11 версии 21H2 завершится 10 октября 2023 г. Это относится к следующим выпускам, выпущенным в октябре 2021 г.: Windows 11 Домашняя, Pro, Education, Pro для рабочих станций.
Каждый месяц мы разбиваем цикл обновления на семейства продуктов (согласно определению Microsoft) со следующими основными группами:
- Браузеры (Microsoft IE и Edge);
- Microsoft Windows (как настольная, так и серверная);
- Microsoft Office;
- сервер Microsoft Exchange;
- Платформы разработки Microsoft (ASP.NET Core, .NET Core и Chakra Core);
- И Adobe (на пенсии???, может быть, в следующем году).
Браузеры
Трудно поверить, но в этом цикле обновлений нет обновлений браузера. И мы также не видим, чтобы что-то готовилось к выпуску в середине цикла. Это большое изменение и огромное улучшение по сравнению со днями больших, сложных и срочных обновлений браузера. Давай Майкрософт!
Окна
Microsoft выпустила восемь критических обновлений и 95 исправлений, которые считаются важными для платформы Windows и охватывают следующие ключевые компоненты:
Как упоминалось выше в разделе Microsoft Office, мы считаем, что в этом месяце основное внимание следует уделить немедленному устранению CVE-2023-36884. Несмотря на то, что Microsoft оценила ее как важную (извините за противоречие), мы считаем, что, поскольку она была публично раскрыта и использована, ее следует рассматривать как срочную. В сочетании с другими угрозами нулевого дня для Windows (CVE-2023-32046) это приводит к тому, что вся группа обновлений Windows попадает в расписание «Исправление сейчас» для наших клиентов. Как только крик прекратится, вы можете потратить некоторое время, чтобы посмотреть видео о выпуске Windows 11; мы находим это успокаивающим.
Microsoft Office
Нам нужно поговорить о Microsoft Office. Хотя существует два критических обновления для SharePoint (CVE-2023-33157 и CVE-2023-33160) и 14 обновлений, оцененных Microsoft как важные, слон в комнате — CVE-2023-36884 (Office и HTML RCE Vulnerability). Эта уязвимость была публично раскрыта и задокументирована как эксплуатируемая. Официально это обновление относится к группе Windows, но мы считаем, что истинное влияние заключается в том, как Microsoft Office обрабатывает данные HTML (передача/хранение/вычисление). CVE-2023-36884 напрямую влияет на Office, и ваш режим тестирования должен отражать это.
Добавьте эти обновления Office в свой стандартный график выпуска, учитывая, что ваш режим тестирования исправлений Office должен быть сопряжен с вашим графиком выпуска обновлений Windows.
Сервер Microsoft Exchange
К счастью, в этом месяце нет обновлений для Microsoft Exchange Server.
Платформы разработки Майкрософт
По сравнению с очень серьезными (и многочисленными) эксплойтами в Office и Windows в этом месяце, есть только пять обновлений, затрагивающих Visual Studio, ASP.NET и второстепенный компонент Mono (кроссплатформенная реализация C#). Все эти исправления оценены Microsoft как важные и должны быть добавлены в ваш стандартный график выпуска обновлений для разработчиков.
Adobe Reader (все еще здесь, только не в этом месяце)
Еще одна хорошая новость: в этом обновлении нет обновлений от Adobe или других сторонних поставщиков.
Авторское право © 2023 IDG Communications, Inc.
