В этом месяце Microsoft разрешила 80 новых CVE в дополнение к четырем предыдущим CVE, в результате чего количество проблем безопасности, решаемых в выпуске Patch вторника этого месяца, достигло 84.
К сожалению, у нас есть две уязвимости нулевого дня в Outlook (CVE-2023-23397) и Windows (CVE-2023-24880), которые требуют выпуска «Исправить сейчас» для обновлений Windows и Microsoft Office. Как и в прошлом месяце, больше не было обновлений для Microsoft Exchange Server или Adobe Reader. В этом месяце команда Application Readiness предоставила полезную инфографику, в которой описаны риски, связанные с каждым из обновлений этого цикла.
Содержание статьи
Известные вопросы
Каждый месяц Microsoft включает список известных проблем, связанных с операционной системой и платформами, включенными в цикл обновления.
- KB5022842: после установки KB5022842 на Windows Server 2022 с включенной безопасной загрузкой и двойной перезагрузки виртуальная машина VMware не смогла загрузиться с использованием нового bootmgr. Эта проблема все еще находится на рассмотрении Microsoft. После установки этого обновления поведение приложений WPF может измениться.
- После установки обновления Windows этого месяца на гостевые виртуальные машины (ВМ) под управлением Windows Server 2022 в некоторых версиях VMware ESXi Windows Server 2022 может не запуститься.
Microsoft все еще работает над проблемой производительности сети в Windows 11 22H2. Затрагиваются большие (несколько гигабайт) передачи файлов по сети (и, возможно, аналогичные большие локальные передачи). Эта проблема должна касаться в основном ИТ-администраторов.
Основные изменения
В этом месяце Microsoft опубликовала четыре основные версии:
- VE-2023-2156: Уязвимость службы интеграции Microsoft SQL Server (расширение VS), связанная с удаленным выполнением кода.
- CVE-2022-41099: Название: Уязвимость обхода функции безопасности BitLocker.
- CVE-2023-21716: Уязвимость, связанная с удаленным выполнением кода в Microsoft Word.
- CVE-2023-21808 Уязвимость .NET и Visual Studio, связанная с удаленным выполнением кода.
Все эти изменения были связаны с документацией и расширенными обновлениями программного обеспечения. Никаких дальнейших действий не требуется.
Смягчения и обходные пути
Microsoft опубликовала следующие меры по устранению уязвимостей для выпуска этого месяца:
- CVE-2023-23392: Уязвимость удаленного выполнения кода стека протоколов HTTP. Предпосылкой для того, чтобы сервер Windows 2022 был уязвим для этой проблемы безопасности, является то, что в сетевой привязке включен HTTP/3, а сервер использует буферизованный ввод-вывод. Включение HTTP/3 обсуждается здесь: Включение поддержки HTTP/3 в Windows Server 2022.
- CVE-2023-23397: Уязвимость Microsoft Outlook, связанная с несанкционированным получением прав. Корпорация Майкрософт опубликовала два способа устранения этой серьезной проблемы безопасности:
- Добавьте пользователей в группу безопасности защищенных пользователей, что предотвращает использование NTLM в качестве механизма проверки подлинности.
- Блокируйте TCP 445/SMB, исходящие из вашей сети, с помощью брандмауэра периметра, локального брандмауэра и настроек VPN.
Руководство по тестированию
Каждый месяц команда Readiness анализирует обновления по вторникам исправлений и предоставляет подробные практические рекомендации по тестированию; это руководство основано на оценке большого портфеля приложений и подробном анализе исправлений Microsoft и их потенциального влияния на платформы Windows и установки приложений.
Учитывая большое количество изменений, включенных в этом месяце, я разбил сценарии тестирования на группы высокого и стандартного риска.
Высокий риск
Microsoft опубликовала несколько изменений высокого риска в мартовском обновлении. Хотя они могут не привести к изменению функциональности, профиль тестирования для каждого обновления должен быть обязательным:
- Microsoft обновила реакцию DCOM на удаленные запросы в рамках недавних мер по усилению защиты. Этот процесс продолжается с июня 2021 года (этап 1), с обновлением в июне 2022 года (этап 2), а теперь в этом месяце все изменения внесены как обязательные. DCOM — это основной компонент Windows, используемый для связи между службами или процессами. Microsoft сообщила, что это (и полное развертывание прошлых рекомендаций) вызовет проблемы совместимости на уровне приложений. Компания предложила некоторую поддержку в отношении того, что меняется и как смягчить любые проблемы совместимости в результате этих недавних обязательных настроек.
- В этом месяце в основной системный файл Win32kfull.sys было внесено серьезное изменение, так как были обновлены две функции (DrvPlgBlt и nf-wingdi-plgblt). Microsoft сообщила, что в эти функции не внесены функциональные изменения. Перед полным развертыванием обновлений этого месяца необходимо будет протестировать приложения, зависящие от этих функций.
Эти сценарии требуют значительного тестирования на уровне приложений перед общим развертыванием.
- Bluetooth: попробуйте добавлять и удалять новые устройства Bluetooth. Настоятельно рекомендуется использовать сетевые устройства Bluetooth.
- Сетевой стек Windows (TCPIP.SYS): базового веб-серфинга, «нормальной» передачи файлов и потокового видео должно быть достаточно для проверки изменений сетевого стека Windows.
- Hyper-V: попробуйте протестировать виртуальные машины Gen1 и Gen2. Оба типа машин должны успешно запускаться, останавливаться, выключаться, приостанавливаться и возобновлять работу.
В дополнение к этим изменениям Microsoft обновила ключевую функцию памяти (D3DKMTCreateDCFromMemory), которая затрагивает два ключевых системных драйвера Windows (win32kbase.sys и win32kfull.sys). К сожалению, в прошлых обновлениях этих драйверов у некоторых пользователей возникали ошибки BSOD SYSTEM_SERVICE_EXCEPTION. Корпорация Майкрософт опубликовала информацию о том, как решить эти проблемы. Надеюсь, вам не придется решать подобные проблемы в этом месяце.
Обновление жизненного цикла Windows
Этот раздел содержит важные изменения в обслуживании (и большинстве обновлений безопасности) для настольных и серверных платформ Windows в течение следующих нескольких месяцев:
- Срок обслуживания Windows 10 Корпоративная (и для образовательных учреждений), версии 20H2 и Windows 10 IoT Корпоративная, а также Windows версии 20H2 истекает 9 мая 2023 г.
Каждый месяц мы разбиваем цикл обновления на семейства продуктов (согласно определению Microsoft) со следующими основными группами:
- Браузеры (Microsoft IE и Edge).
- Microsoft Windows (как настольная, так и серверная).
- Microsoft Office.
- Сервер Microsoft Exchange.
- Платформы разработки Microsoft (ASP.NET Core, .NET Core и Chakra Core).
- Adobe (на пенсии???, может быть, в следующем году).
Браузеры
В марте было выпущено 22 обновления (ни одно из них не было критическим), из них 21 было включено в канал выпуска Google и одно (CVE-2023-24892) от Microsoft. Все эти обновления представляют собой простые в развертывании обновления с незначительным или низким риском развертывания. Вы можете найти версию этих примечаний к выпуску от Microsoft здесь и примечания к выпуску канала Google Desktop здесь. Добавьте эти обновления в стандартный график выпуска исправлений.
Окна
Microsoft выпустила 10 критических обновлений и 48 исправлений, оцененных как важные для платформы Windows, которые охватывают следующие ключевые компоненты:
- Драйверы PostScript для принтеров Microsoft.
- Служба Bluetooth Windows.
- Windows Win32K и основные графические компоненты (GDI).
- Стек протоколов Windows HTTP и PPPoE.
Помимо недавнего изменения аутентификации DCOM (см. Усиление безопасности DCOM), большинство обновлений этого месяца имеют профиль с очень низким уровнем риска. У нас есть незначительное обновление подсистемы печати (Postscript 6) и другие изменения в сетевой обработке, хранении и графических компонентах. К сожалению, у нас есть реальная проблема нулевого дня с Windows (CVE-2023-24880) SmartScreen (он же Защитник Windows) с сообщениями как об эксплуатации, так и о публичном раскрытии. В результате добавьте эти обновления Windows в расписание выпуска «Исправление сейчас».
Microsoft Office
Microsoft выпустила 11 обновлений для платформы Microsoft Office, одно из которых было оценено как (супер) критическое, а остальные обновления были оценены как важные и затрагивающие только Excel и SharePoint. К сожалению, обновление Microsoft Outlook (CVE-2023-23397) придется исправлять немедленно. Я включил рекомендации, предложенные Microsoft, в наш раздел по смягчению последствий выше, которые включают добавление пользователей в группу с более высоким уровнем безопасности и блокировку портов 445/SMB в вашей сети. Учитывая низкий риск поломки других приложений и простоту развертывания этого исправления, у меня есть еще одна идея: добавить эти обновления Office в график выпуска «Исправление сейчас».
Сервер Microsoft Exchange
В этом месяце обновления Microsoft Exchange не требуются. Тем не менее, есть особенно тревожная проблема с Microsoft Outlook (CVE-2023-23397), с которой любой почтовый администратор сможет справиться в этом месяце.
Платформы разработки Майкрософт
Это очень легкий цикл исправлений для платформ разработки Microsoft, включающий всего четыре обновления Visual Studio (расширения GitHub) в этом месяце. Все эти обновления оцениваются Microsoft как важные и имеют очень низкий профиль риска развертывания. Добавьте эти обновления в стандартное расписание выпусков для разработчиков.
Adobe Reader (все еще здесь, но не в этом месяце)
Возможно, здесь наблюдается тенденция, поскольку Adobe не выпускала никаких обновлений для Adobe Reader. Также интересно, что это первый месяц из девяти, когда Microsoft не выпускает никаких критических обновлений для своей системы XPS, PDF или печати. Таким образом, обязательное тестирование принтера не требуется.
Авторское право © 2023 IDG Communications, Inc.