Апрельский патч: много больших, разнообразных и срочных обновлений

Выпуск патча во вторник в этом месяце был большим и включал исправления для браузеров Microsoft и две уязвимости нулевого дня для Windows. Пора заняться обновлением!

Выпуск патча во вторник на этой неделе был огромным, разнообразным, рискованным и срочным, с поздним поступлением обновлений для браузеров Microsoft (CVE-2022-1364) и двумя уязвимостями нулевого дня, влияющими на Windows (CVE-2022-26809 и CVE-2022-24500).

Напомним, что Windows 10 1909/20H2 (Home и Pro) завершит свое обслуживание 10 мая. И если вы ищете простой способ обновить свои серверные .NET-компоненты, Microsoft now has.NET автоматическое обновление обновлений для серверов. Более подробную информацию о риске развертывания этих обновлений Patch Tuesday вы можете найти в этой полезной инфографике.

Известные проблемы

Каждый месяц Microsoft включает список известных проблем, связанных с операционной системой и платформами, включенными в последний цикл обновления. В этом месяце их больше, чем обычно, поэтому я упомянул несколько ключевых вопросов, связанных с последними сборками Microsoft, в том числе:

• После установки обновлений Windows, выпущенных 11 января 2022 года или более поздней версии Windows, диски восстановления (CD или DVD), созданные с помощью приложения Backup and Restore (Windows 7) в панели управления, могут не запуститься.
• После установки этого обновления Windows подключение к устройствам в ненадежном домене с помощью удаленного рабочего стола может не пройти аутентификацию при использовании аутентификации смарт - карты. Вы можете получить приглашение "Ваши учетные данные не работали. Учетные данные, которые использовались для подключения к [имя устройства], не работали. Пожалуйста, введите новые учетные данные" и "Попытка входа не удалась" красным цветом. Эта проблема решается с помощью известного отката проблемы (KIR) с использованием установочных файлов групповой политики: Windows Server 2022, Windows 10, версия 2004, Windows 10, версия 20H2, Windows 10, версия 21H1 и Windows 10, версия 21H2.
• После установки обновлений, выпущенных 11 января 2022 года или более поздней версии, у приложений, использующих Microsoft .NET Framework для получения или установки информации о Active Directory, могут возникнуть проблемы. Чтобы решить эту проблему вручную, примените эти Microsoft обновления.
• Некоторые организации сообщили о проблемах сопряжения Bluetooth и подключения. Если вы используете Windows 10 21H2 или более позднюю версию, Microsoft знает о ситуации и работает над разрешением.
• Служба Microsoft Exchange выходит из строя после установки обновления безопасности марта 2022 года. Для получения дополнительной информации:
• KB5012698 - Microsoft Exchange Server 2019 и 2016 (8 марта 2022)
• KB5010324 - Microsoft Exchange Server 2013 (8 марта 2022)

Для получения дополнительной информации об известных проблемах посетите сайт Windows Health Release.

Основные изменения

В этом месяце мы видим две основные редакции обновлений, которые были выпущены ранее:

• CVE-2022-8927: Уязвимость переполнения буфера библиотеки Brotli: Этот патч, выпущенный в прошлом месяце, был поднят как вопрос о том, как Internet Explorer будет обрабатывать изменения сжатых файлов, таких как CSS и пользовательские скрипты. Это последнее обновление просто расширяет количество затронутых продуктов и теперь включает Visual Studio 2022. Никаких других изменений внесено не было, и поэтому никаких дальнейших действий не требуется.
• CVE-2021-43877 | Уязвимость ASP.NET Core и Visual Studio Elevation of Privilege: Это еще одно обновление "затронутого продукта", которое также включает покрытие для Visual Studio 2022.

Меры по смягчению последствий и обходные пути

Это большое обновление для патча поэтому мы увидели большее, чем ожидалось, количество документированных мер по смягчению последствий для продуктов и компонентов Microsoft, включая:

• CVE-2022-26919

Уязвимость удаленного выполнения кода Windows LDAP — Microsoft предложила следующее смягчение: "Чтобы эту уязвимость можно было использовать, администратор должен увеличить параметр LDAP MaxReceiveBuffer по умолчанию".

• CVE-2022-26815

Уязвимость удаленного выполнения кода DNS-сервера Windows. Эта проблема применима только в том случае, если включены динамические обновления DNS.

И для следующих обнаруженных уязвимостей Microsoft рекомендует "блокировать порт 445 на брандмауэре периметра".

• CVE-2022-26809

уязвимость удаленного выполнения кода во время выполнения удаленных процедур.

• CVE-2022-26830

DiskUsage.exe Уязвимость удаленного выполнения кода

• CVE-2022-24541

Windows Server Service Remote Code Execution Vulnerability

• CVE-2022-24534

Уязвимость удаленного выполнения кода перечисления потоков Win32

Браузеры

Не было никаких критических обновлений ни для одного из браузеров Microsoft. В браузере Edge проекта Chromium было 17 обновлений, которые, учитывая, как они были реализованы, не должны влиять на развертывание предприятия. Все эти обновления были выпущены на прошлой неделе в рамках цикла обновления Chromium. Тем не менее, похоже, что мы увидим еще один набор критических/аварийных обновлений Chrome с отчетами о CVE-2022-1364, эксплуатируемых в дикой природе. Это будет третий набор экстренных обновлений в этом году.

Если ваша ИТ - команда видит большое количество неожиданных сбоев браузера, вы можете быть уязвимы для этой очень серьезной проблемы путаницы типов в движке V8 JavaScript.

Windows

Этот патч во вторник доставил большое количество обновлений на платформу Windows. С более чем 117 зарегистрированными исправлениями (сейчас 119), охватывающими ключевые компоненты как настольных, так и серверных платформ, включая:

• Hyper-V
• Сеть Windows (SMB).
• Установщик Windows.
• Общий журнал Windows (снова).
• Удаленный рабочий стол (снова и снова).
• Печать Windows (о нет, не снова).

Со всеми этими разнообразными патчами это обновление имеет разнообразный профиль тестирования и, к сожалению, с недавними отчетами CVE-2022-26809 и CVE-2022-24500. В дополнение к этим двум червеобразным эксплойтам нулевого дня Microsoft рекомендовала немедленно смягчить (заблокировать сетевые порты) обнаруженных уязвимостей. Было сообщено, что для большинства крупных организаций рекомендуется тестировать Windows installer (install, repair and uninstall) для основных приложений, что еще больше увеличивает некоторые технические усилия, необходимые перед общим развертыванием этих исправлений.

Microsoft Office

Хотя Microsoft выпустила пять обновлений для платформы Office (все они оценены как важные), и это действительно так "давайте обновим выпуск Excel" с CVE-2022-24473 и CVE-2022-26901 для решения потенциальных проблем с выполнением произвольного кода (ACE). Это две серьезные проблемы безопасности, которые в сочетании с уязвимостью повышения привилегий приводят к сценарию "click-to-own". Мы полностью ожидаем, что эта уязвимость будет сообщена как эксплуатируемая в ближайшие несколько дней.

Платформы разработки Microsoft

В течение этого цикла Microsoft выпустила шесть обновлений (все они были оценены как важные) для своей платформы разработки, затрагивающих Visual Studio, GitHub и .NET Framework. Уязвимости Visual Studio (CVE-2022-24513 и CVE-2022-26921) и GitHub (CVE-2022-24765, CVE-2022-24767) зависят от конкретного приложения и должны быть развернуты как обновления для конкретного приложения. Однако патч .NET (CVE-2022-26832) влияет на все поддерживаемые в настоящее время программы .NET версии и, скорее всего, будут поставляться в комплекте с последними обновлениями качества Microsoft .NET (подробнее об этих обновлениях читайте здесь). Мы рекомендуем развернуть .NET Апрель 22 качественные обновления с патчами этого месяца, чтобы сократить время тестирования и усилия по развертыванию.