Исправления недостаточно для декабрьского вторника исправлений

Обновление Patch Tuesday в этом месяце важно по нескольким причинам. С учетом 67 устраненных уникальных уязвимостей, шести проблем, о которых сообщалось в открытом доступе, и одной уже использованной, обновления этого месяца все еще блекнут по сравнению с устранением проблемы Log4j. (К счастью, нет обновлений браузера или Microsoft Exchange и минимальных изменений в Microsoft Office.)

Мы добавили обновления Windows и обновления Visual Studio в наши рекомендации цикла выпуска «Исправить сейчас» , в то время как обновления Office переводятся в обычную периодичность выпуска. Дополнительную информацию о риске развертывания этих обновлений Patch Monday можно найти в этой инфографике.

Содержание статьи

1 Ключевые сценарии тестирования
2 Известные проблемы
3 Меры по устранению и обходные пути
4 Браузеры
5 Windows
6 Microsoft Office
7 Microsoft Exchange Server
8 Платформы разработки Microsoft
9 Adobe (на самом деле просто Reader)
10 И если вы зашли так далеко …

Ключевые сценарии тестирования

В этом месяце не сообщалось об изменениях платформы Windows с высокой степенью риска. Однако есть одно функциональное изменение и дополнительная функция. Вот наши рекомендации по высокоуровневому тестированию:

Протестируйте локальную печать. Тестовая удаленная печать и тестовая печать через RDP.
Тестовое чтение или обработка файлов ETL и больших файлов WMF.
Протестируйте новые и существующие VPN-соединения. Включите тестирование VPN типа "сеть-сеть".
Протестируйте сценарии использования коротких имен NTFS и передачу больших файлов.

Известные проблемы

Каждый месяц Microsoft включает список известных проблем, связанных с операционной системой и платформами, включенными в этот цикл обновления. Я упомянул несколько ключевых проблем, связанных с последними сборками, в том числе:

После установки обновлений, выпущенных 22 апреля 2021 года или более поздних версий, возникает проблема, которая затрагивает версии Windows Server используется в качестве узла службы управления ключами (KMS). Клиентские устройства под управлением Windows 10 Enterprise LTSC 2019 и Windows 10 Enterprise LTSC 2016 могут не активироваться. Эти проблемы не повлияют на активацию Windows. В настоящее время Microsoft изучает проблему.
После установки этого обновления при подключении к устройствам в ненадежном домене с помощью удаленного рабочего стола подключения могут не пройти проверку подлинности при использовании проверки подлинности смарт-карты. Эта проблема решается с помощью отката по известной проблеме (KIR), который можно реализовать с помощью следующих файлов установки групповой политики:

Один из лучших способов узнать, есть ли известные проблемы, которые могут повлиять на вашу целевую платформу, — это проверить множество вариантов конфигурации для загрузки данных исправлений в Microsoft Security Update руководство или сводная страница для обновления безопасности этого месяца .

Основные изменения

Microsoft выпустила четыре обновления для информационных целей (обновления документации и часто задаваемых вопросов), включая: CVE-2021-43236 CVE-2021-43883 CVE-2021-43893 CVE-2021-43905 . Кроме того, Microsoft выпустила несколько основных обновлений предыдущих патчей, в том числе:

CVE-2019-0887 CVE-2020 -0655 и CVE-2021-1669 : эти обновления RCE службы удаленного рабочего стола получили уведомление о серьезной редакции из-за обновленной таблицы затронутой системы. Windows 11 подвержена этим проблемам безопасности, и данное исправление применяется соответствующим образом.
CVE-2021-24084 : объем затронутых систем обновлен до всех поддерживаемых систем Windows.

Из-за большого объема этих исправлений вы, возможно, не загрузили и не применили их в ноябре. В этом месяце все четыре обновления будут включены в цикл исправлений (хотя их даты могут соответствовать ноябрьской дате выпуска).

Меры по устранению и обходные пути

В этом месяце сообщается об одной уязвимости, которая включает в себя устранение и задокументированные обходные пути:

CVE-2021-43890 : Microsoft опубликовал обширный набор обходных путей для этой уязвимости подмены AppX. Используя политики GPO BlockNonAdminUserInstall и AllowAllTrustedAppToInstall, можно уменьшить площадь поверхности для атак с боковой загрузкой на установщик AppX. Microsoft опубликовала подробный практический документ по настройке политик GPO для AppX (а теперь и MSIX) .

Каждый месяц мы разбиваем цикл обновления на семейства продуктов (в соответствии с определением Microsoft) со следующими основными группами:

Браузеры ( Microsoft IE и Edge);
Microsoft Windows (настольный и серверный);
Microsoft Office;
Microsoft Exchange;
Платформы разработки Microsoft ( ASP.NET Core, .NET Core и Chakra Core);
И Adobe. (На пенсии? Может быть, в следующем году.)

Браузеры

В этом месяце проект Chromium выпустил 16 обновлений для браузера Microsoft Edge. Мы действительно наблюдаем здесь тенденцию к отсутствию обновлений для устаревших браузеров Microsoft. Эти обновления, скорее всего, являются частью процесса автоматического обновления для среды вашего рабочего стола, поскольку эти обновления не будут развертываться через Центр обновления Майкрософт.

Вы можете узнать больше в блоге Chrome Release а подробности о безопасности на странице Chrome Security Page . Учитывая характер Edge (не полностью интегрированный в ОС), в этом выпуске ожидается очень мало ожидаемых ошибок совместимости или интеграции. Добавьте эти обновления Chrome в свой регулярный график выпуска обновлений.

Windows

Декабрь приносит умеренное обновление Windows с 36 обновлениями; три из них оценены Microsoft как критические, а остальные 33 как важные. Обычно мы сосредотачиваемся на критических патчах. Но в этом месяце более уместно сосредоточиться на публично раскрытых и эксплуатируемых уязвимостях, в том числе:

В этом месяце у нас есть «только» одна уязвимость, о которой сообщалось, что она эксплуатируется в дикой природе, с боковой загрузкой атака спуфинга на компонент установщика Microsoft AppX ( CVE-2021-43890 ). К счастью, это сложная атака, требующая вмешательства пользователя, и Microsoft подтвердила официальное решение этой проблемы. С учетом того, что основное внимание уделяется обновлениям основных компонентов системы (NTFS, установщик и печать), мы включили некоторые рекомендации по тестированию:

Выполните тесты на сервере и настольном компьютере, отправляйте / получайте большой трафик. . Сосредоточьтесь на отдельных очень больших файлах.
Протестируйте свои файлы .WMF (в связи с обновлением кодека) и любые графически насыщенные приложения D3D.
Тестируйте различные условия сетевого трафика, особенно при передаче больших объемов данных — особенно SMB, зашифрованные файловые системы и удаленные общие ресурсы.
Установите, обновите и удалите основные приложения в тестовой среде. Убедитесь, что все удаления выполнены без ошибок.
Проверьте свою печать, особенно удаленную печать и печать через RDP.
Все приложения, использующие TLS / SSL, должны пройти базовый «дымовой тест».

А насчет этой проблемы с Log4j? Исправления для ОС недостаточно для защиты вашей среды. Мы настоятельно рекомендуем немедленно просканировать портфель приложений на предмет зависимостей JAVA и ссылок на компоненты Log4j. Новости на этой неделе о проблемах Log4j — это только начало. Ожидайте крупномасштабных промышленных атак в период Рождества и до Нового года. Будет плохо. Будет грязно.

Добавьте эти обновления Windows в свой график «Исправить сейчас» и приступайте к работе над уменьшением поверхности атаки вашего приложения.

Microsoft Office

Microsoft выпустила девять исправлений для Office, все из которых имеют рейтинг важных. Затронуты все версии SharePoint и Access, а также Word 2016 и 2019. В этом месяце нет векторов атак на панели предварительного просмотра, и все обнаруженные уязвимости требуют вмешательства пользователя. Добавьте эти обновления Microsoft Office в свой регулярный график выпуска исправлений.

Microsoft Exchange Server

Проблема Log4j может быть углем в вашем чулке, но Microsoft подарила нам отсрочку от любых обновлений Microsoft Exchange в этом месяце. Так что вы можете уделять больше внимания другим вещам, например Рождеству. Или Log4j. Вы выбираете.

Платформы разработки Microsoft

В этом месяце Microsoft опубликовала семь обновлений для своих платформ разработки (одно критическое, а остальные оценены как важные) которые влияют на Visual Studio, PowerShell и фреймворк ASP.NET/.NET . Единственный патч с критическим рейтингом ( CVE-2021-43907 ) относится к популярному расширению WSL; если не исправить, это может привести к сценарию удаленного выполнения кода. Это довольно серьезная проблема, которая затронет всех пользователей WSL. К сожалению, профиль тестирования будет довольно большим с требованиями тестирования для сервера .NET COM и выражений REGEX.

Мы предлагаем вам добавить это обновление Visual Studio в свое расписание «Исправить сейчас», а также ссылаться на дополнительные (и отдельные) обновления, связанные с .NET, опубликованные в блоге Microsoft Dev .

Adobe (на самом деле просто Reader)

В этом месяце Microsoft не выпускала никаких обновлений для Adobe Reader. Я все время думаю, что могу убрать этот раздел, но мы продолжаем получать периодические обновления от Adobe или важные обновления печати для файлов PDF. Давайте посмотрим, что произойдет в 2022 году.

И если вы зашли так далеко …

Из-за минимальных операций во время праздников и В преддверии новогодних каникул Microsoft не будет выпускать предварительную версию (известную как «C») в декабре. Обычное ежемесячное обслуживание выпусков Microsoft B и C возобновится в январе. В этом выпуске обслуживание Windows 10 версии 2004 подошло к концу. В следующем месяце мы, вероятно, увидим обновление протокола TLS для Windows Server 2008 с поддержкой TLS 1.2.