Вторник исправлений на этой неделе был необычным обновлением от Microsoft, и мы добавили Windows, платформу разработки Microsoft и Adobe Reader в наш график «Исправить сейчас».
Эти обновления запускаются патчем нулевого дня ( CVE-2021-40444 ) для основной библиотеки браузера Microsoft MSHTML. Помимо серьезных проблем с удаленным выполнением кода, это обновление может также привести к неожиданному поведению в устаревших приложениях, которые зависят от этого компонента браузера или включают его. Обязательно оцените свое портфолио на предмет ключевых приложений, которые имеют эти зависимости, и выполните полный тест функциональности перед развертыванием. (Мы определили некоторые ключевые стратегии снижения рисков для работы с элементами управления ActiveX и защиты вашей системы на этапах тестирования и развертывания.)
Вы также можете найти дополнительную информацию о рисках развертывания этого патча Вторник патчи в этой инфографике .
Содержание статьи
Ключевые сценарии тестирования
В этом месяце не сообщалось об изменениях с высокой степенью риска в платформе Windows. Однако сообщается об одном функциональном изменении и дополнительной функции:
- Как всегда, убедитесь, что печать выполняется должным образом как на физических, так и на виртуальных принтерах. Убедитесь, что с драйверами принтера нет проблем, и проверьте, что программное обеспечение драйвера принтера все еще использует 32-разрядный код для управления приложениями.
- Убедитесь, что трассировка событий для Windows работает должным образом; журналы отображаются в средстве просмотра событий.
- Убедитесь, что соединения, использующие шлюз удаленных рабочих столов и виртуальные частные сети (VPN), работают должным образом.
- Тестируйте объекты SCCRUN, такие как Scripting.FileSystemObject, textStream, Scripting.Dictionary. См. Этот документ Microsoft и Объект словаря | Документы Microsoft для получения дополнительной информации.
- Убедитесь, что пользователи с разрешениями могут получать доступ к файлам на общих ресурсах SMB. Убедитесь, что доступ к файлам с помощью функций Create / Copy / Delete / Read / Write / Rename / Close выполняется должным образом.
Тестирование устаревших приложений и печати будет ключевой задачей при управлении сентябрьским обновлением (и в обозримом будущем). Поиск программного обеспечения драйвера принтера, по-прежнему использующего 32-разрядный код для управления приложениями, важен, чтобы избежать «перехвата». Эта проблемная область связана с тем, как обрабатывается память между 32-битными и 64-битными приложениями. Если вы ищете сценарий, при котором все ломается в непредсказуемое время и влияет на основные системы, попробуйте найти устаревший драйвер принтера со старым программным обеспечением для управления принтером.
На самом деле, более вероятно, что результаты найдут вас.
Хотя мы часто сосредотачиваемся на печати и устаревших приложениях, удаленной работе во время пандемии наблюдался огромный рост. В этом месяце мы предлагаем следующие рекомендации по тестированию для конкретных VPN:
- Убедитесь, что обновления Windows надежно устанавливаются через соединения VPN и без VPN и что обновления устанавливаются успешно.
- Убедитесь, что ваш антивирус работает должным образом через VPN-соединение.
- Обеспечение возможности получения адреса DHCP и подключения к сети через проводные и беспроводные сетевые подключения с 802.1x и без него.
Известные проблемы
Каждый месяц Microsoft включает список известных проблем, связанных с операционной системой и платформами в последнем цикле обновления. Я упомянул несколько ключевых проблем, связанных с последними сборками Microsoft, в том числе:
- В этом месяце все обновления Windows 10 включают исправление, устраняющее проблему что заставляет PowerShell создавать бесконечное количество дочерних каталогов. Эта проблема возникает при использовании команды PowerShell Move-Item для перемещения каталога в один из его дочерних элементов. В результате объем заполняется, и система перестает отвечать.
Основные изменения
На момент написания (для июльского цикла обновлений) было четыре основных обновления ранее выпущенных обновлений:
- CVE-2021-1678 : уязвимость подмены диспетчера очереди печати Windows.
- CVE-2021-36958 : уязвимость диспетчера очереди печати Windows, связанная с удаленным выполнением кода.
- CVE-2021-40444 : Уязвимость Microsoft MSHTML, связанная с удаленным выполнением кода.
Способы устранения и обходные пути
В этом месяце Microsoft опубликовала обходной путь для обновления MSHTML . Компания ( не в первый раз ) рекомендует отключить Active X. Мы рекомендуем отключать ActiveX как общее правило и использовать групповую политику для ваших управляемых платформ. Вот несколько простых шагов, чтобы убедиться, что ActiveX отключен:
- Выберите зону (Интернет-зона, интрасеть, локальная машинная зона или зона надежных сайтов).
- Дважды щелкните Загрузите подписанные элементы управления ActiveX и включите политику . Затем установите параметр в политике на Отключить .
- Дважды щелкните Загрузите неподписанные элементы управления ActiveX и включите политику . Затем установите параметр в политике на Отключить .
Вы также можете указать определенные ключи реестра и идентификаторы компонентов для отдельных приложений (например, Microsoft Word) — подробнее здесь . Microsoft также рекомендует размещать документы, открытые в « Protected View », и использовать версию Office Application Guard . А если вы использовали полный стек Microsoft и развернули Defender, вы можете использовать правила уменьшения поверхности атаки чтобы снизить угрозу воздействия этой серьезной проблемы безопасности.
Каждый месяц мы разбиваем цикл обновления на семейства продуктов (в соответствии с определением Microsoft) со следующими основными группами:
- Браузеры (Microsoft IE и Edge);
- Microsoft Windows (настольный и серверный);
- Microsoft Office;
- Microsoft Exchange;
- Платформы разработки Microsoft ( ASP.NET Core, .NET Core и Chakra Core);
- Adobe (на пенсии? Еще нет).
Браузеры
В этом месяце Microsoft выпустила 26 обновлений для браузера Edge на основе Chromium. Помимо этих патчей, в сентябре этого года проект Chromium также выпустил 11 обновлений, связанных с безопасностью ( Chrome Release Notes ). Хотя войны браузеров закончились, и теперь Microsoft использует Open Source, постоянным типом проблемы безопасности является ошибка выделения памяти «Use After Free» (также известная как Dangling Pointer ). Эти классы распределения памяти ошибок по-прежнему являются наиболее распространенными, и обновление этого месяца (прочтите CVE-2021-30610) является хорошим примером продолжающейся битвы за то, чтобы быть впереди плохие парни. Предлагаемые изменения в Edge в этом месяце окажут минимальное влияние на корпоративные системы или не повлияют вовсе. Добавьте эти обновления в стандартное расписание обновлений рабочего стола.
Windows
Microsoft выпустила 35 обновлений для платформы Windows, два из которых оценены как критические ( CVE-2021-36965 и CVE-2021-26435 ) для этого цикла. Хотя это не самое большое обновление, которое мы видели за последнее время, этот выпуск затрагивает ряд ключевых областей платформы: сеть, драйверы ядра, установщик Windows, ключевые графические компоненты ( GDI ) и некоторые ключевые инструменты диагностики ( Отчет об ошибках Windows ).
Однако реальная проблема в этом месяце для групп тестирования и развертывания — это то, что было повторно выпущено: CVE-2021-40444 . Он был выпущен ранее в этом месяце, и с момента его первоначальной публикации было выпущено два обновления. Проблема MSHTML вызывает серьезную озабоченность, поскольку связана с основным компонентом браузера, обычно используемым в ряде приложений. Это как если бы Internet Explorer был встроен в ваше основное бизнес-приложение (да, я знаю).
Вам действительно не нужен этот компонент в вашем портфеле разработки, и вам нужно будет быстро выяснить, какие приложения от него зависят. Мы провели быстрое сканирование наших общих приложений, использующих библиотеку MSHTML, и обнаружили, что от 5 до 10% «устаревших приложений» (приложений старше пяти лет) напрямую зависят от MSHTML. Эти приложения потребуют тщательного тестирования и, вероятно, могут вызвать беспокойство у любого бизнеса. К сожалению, мы должны добавить эти обновления Windows в наш график «Исправить сейчас» на этот месяц.
Microsoft Office
Microsoft выпустила 12 обновления платформы Office в этом месяце, все они были признаны важными. (Верно, никаких критических обновлений для Office, Exchange или SharePoint в этом цикле исправлений.) Word, Excel, Visio и общие библиотеки Microsoft Office (например, MSO и общий код, общий для всех компонентов Microsoft Office) затронуты в этом месяце. Ни одна из отмеченных проблем безопасности не включает "панель предварительного просмотра" или другие очень уязвимые векторы атак.
Добавьте эти сентябрьские обновления Microsoft в свой стандартный график выпуска.
Microsoft Exchange Server
В этом сентябре нам повезло, поскольку нам не пришлось развертывать срочные обновления для Microsoft Exchange Server. Тем не менее, есть два обновления для SharePoint Server ( CVE-2021-38651 CVE-2021-38652 ), которые потребуют внимания. Оба требуют перезагрузки сервера. Уровень срочности, мы все еще перезагружаем наши серверы Office в этом месяце.
Никаких дополнительных действий не требуется для обновлений, связанных с Exchange Server.
Платформы разработки Microsoft
Microsoft выпустила три обновления Vis Платформа ual Studio ( CVE-2021-36952 CVE-2021-26437 CVE-2021- 26434 ) все оценены как важные. Обычно мы смотрим на эти обновления и советуем добавить их в стандартный график выпуска. Но мы думаем, что CVE-2021-36952 и CVE-2021-26434 требуют быстрого реагирования из-за возможности удаленного выполнения кода ( RCE) и сценарии повышения привилегий .
Я хочу сказать, что проблемы RCE — это проблемы сегодняшнего дня. Проблемы, связанные с повышением привилегий (EOP), — это сегодняшние проблемы. Добавьте это обновление для разработчиков Microsoft в свое расписание «Исправить сейчас». И да, мы не делали эту рекомендацию по крайней мере два года.
Adobe (на самом деле просто Reader)
Этот раздел ранее был настроен для работы с многочисленными ( а иногда и болезненные) обновления Adobe Flash за эти годы. С недавним (и, надеюсь, последним) обновлением, которое включает биты уничтожения для Flash и Shockwave, мы думаем, что нам следует убрать этот раздел. Тем не менее, Adobe Reader является основным компонентом большинства корпоративных настольных компьютеров и, вероятно, продолжит использоваться в качестве программы для чтения PDF-файлов по умолчанию еще несколько лет.
Поэтому вместо того, чтобы сосредоточиться на всех продуктах Adobe, мы будем заниматься проблемами безопасности, связанными с PDF-файлами (особенно печатью) и Adobe Reader. И, как назло, у нас есть множество обновлений Adobe на сентябрь (я приберегаю «рог изобилия» на октябрь), с особым упором на Acrobat.
Adobe выпустила 26 обновлений с семью критическими уровнями, поскольку они связаны с проблемами памяти, которые могут привести к удаленному выполнению кода ( RCE ) сценарии. Эти обнаруженные уязвимости связаны с некоторыми серьезными проблемами, хотя все они требуют взаимодействия с пользователем и отсутствия отчетов о публичном раскрытии или эксплуатации. Добавьте эти обновления Adobe Reader в цикл выпуска обновлений «Исправить сейчас».
И да, мы впервые сделали эту рекомендацию.
Авторские права © 2021 IDG Communications, Inc.
