Patch Tuesday: Due difetti zero-day in Windows attenzione immediata zero giorni

Notizie e aggiornamenti | 0 Commenti

L'aggiornamento di December Patch Tuesday di Microsoft fornisce 59 correzioni, incluse due correzioni zero-day (CVE-2022-44698 e CVE-2022-44710) che richiedono attenzione immediata sulla piattaforma Windows. Si tratta di un aggiornamento incentrato sulla rete (TCP/IP e RDP) che richiederà test significativi con particolare attenzione alle connessioni ODBC, ai sistemi Hyper-V, all'autenticazione Kerberos e alla stampa (locale e remota).

Microsoft ha inoltre rilasciato un aggiornamento fuori banda urgente (CVE-2022-37966) per risolvere gravi problemi di autenticazione Kerberos. (Il team Readiness ha fornito un'utile infografica che delinea i rischi associati a ciascuno di questi aggiornamenti.)

E ora è disponibile Windows Hot-Patching per macchine virtuali (VM) di Azure.

Sommario

Problemi noti

Ogni mese, Microsoft include un elenco di problemi noti relativi al sistema operativo e alle piattaforme incluse nel ciclo di aggiornamento.

  • ODBC: dopo l'installazione dell'aggiornamento di dicembre, le applicazioni che utilizzano connessioni ODBC tramite il driver Microsoft ODBC SQL Server (sqlsrv32.dll) per accedere ai database potrebbero non essere in grado di connettersi. È possibile che vengano visualizzati i seguenti messaggi di errore: "EMS ha riscontrato un problema. Messaggio: [Microsoft] [Driver ODBC SQL Server] Token sconosciuto ricevuto da SQL Server."
  • RDP e accesso remoto: dopo aver installato questo aggiornamento o gli aggiornamenti successivi sui sistemi desktop Windows, potrebbe non essere possibile riconnettersi a (Microsoft) Direct Access dopo aver perso temporaneamente la connettività di rete o aver effettuato la transizione tra reti Wi-Fi o punti di accesso.
  • Hyper-V: dopo aver installato questo aggiornamento sugli host Hyper-V gestiti da System Center Virtual Machine Manager (VMM) configurati per SDN, potresti ricevere un errore nei flussi di lavoro relativi alla creazione di una nuova scheda (chiamata anche scheda di interfaccia di rete o NIC ) connesso a una rete di macchine virtuali o a una nuova macchina virtuale (VM).
  • Active Directory: a causa di ulteriori requisiti di sicurezza per affrontare le vulnerabilità di sicurezza in CVE-2022-38042, vengono implementati nuovi controlli di sicurezza sulle richieste di netjoin del dominio. Questi controlli aggiuntivi possono generare il seguente messaggio di errore: "Errore 0xaac (2732): NERR_AccountReuseBlockedByPolicy: in Active Directory esiste un account con lo stesso nome. La politica di sicurezza ha bloccato il riutilizzo dell'account."

In preparazione dell'aggiornamento di questo mese per i sistemi Windows 10 e 11, ti consigliamo di eseguire una valutazione su tutti i pacchetti dell'applicazione e verificare la presenza di una dipendenza dal file di sistema SQLSRV32.DLL. Se è necessario ispezionare un sistema specifico, aprire un prompt dei comandi ed eseguire il comando "tasklist /m sqlsrv32.dll". Questo dovrebbe elencare tutti i processi che dipendono da questo file.

Revisioni importanti

Microsoft ha rilasciato solo un aggiornamento rapido questo mese, senza ulteriori aggiornamenti rapidi per patch o aggiornamenti precedenti.

  • CVE-2022-37966 Windows Kerberos RC4-HMAC Elevation of Privilege Vulnerability – Per risolvere un problema noto a causa del quale l'autenticazione Kerberos potrebbe non riuscire per gli account utente, computer, servizio e GMSA se gestiti dai controller di dominio Windows. Questa revisione della patch è stata rilasciata come un raro aggiornamento fuori banda e richiederà attenzione immediata, se non è già stata affrontata.

Mitigazione e soluzioni alternative

Sebbene a questa versione siano stati aggiunti numerosi aggiornamenti della documentazione e domande frequenti, Microsoft ha rilasciato solo una mitigazione:

  • CVE-2022-37976: Elevazione del certificato di Active Directory: un sistema è vulnerabile a questa vulnerabilità di sicurezza solo se il ruolo Servizi certificati Active Directory e il ruolo Servizi di dominio Active Directory sono installati sullo stesso server di sistema. Microsoft ha rilasciato un set di chiavi di registro (LegacyAuthenticationLevel) che possono aiutare a ridurre la superficie di questo problema. Puoi saperne di più su come proteggere i tuoi sistemi qui.

guida alla prova

Ogni mese, il team di preparazione esamina gli ultimi aggiornamenti e fornisce indicazioni sui test. Questo consiglio si basa sulla valutazione di un ampio portafoglio di applicazioni e su un'analisi dettagliata delle patch Microsoft e del loro potenziale impatto sulle piattaforme Windows e sulle installazioni delle applicazioni.

Dato l'elevato numero di modifiche incluse in questo ciclo, ho suddiviso i test case in gruppi ad alto rischio ea rischio standard.

Ad alto rischio: Questo mese, Microsoft non ha registrato modifiche alle funzionalità ad alto rischio. Ciò significa che non hai apportato modifiche sostanziali alle API principali o alla funzionalità di nessuno dei componenti o delle applicazioni principali inclusi negli ecosistemi desktop e server di Windows.

Più in generale, data la natura ampia di questo aggiornamento (Office e Windows), suggeriamo di testare le seguenti funzionalità e componenti di Windows:

  • Bluetooth: Microsoft ha aggiornato due set di file API/header chiave per i driver Bluetooth, tra cui: IOCTL_BTH_SDP_REMOVE_RECORD IOCTL e la funzione DeviceIoControl. L'attività di test chiave qui è attivare e disattivare il Bluetooth, assicurandosi che le connessioni dati continuino a funzionare come previsto.
  • Git: il file system virtuale Git (VfSForGit) è stato aggiornato con modifiche ai mapping di file e registro. Puoi leggere ulteriori informazioni su questo strumento chiave (interno) per gli sviluppatori Windows qui.

Oltre a queste modifiche e requisiti di test, ho incluso alcuni degli scenari di test più difficili per questo aggiornamento:

  • Kernel di Windows: questo mese è disponibile un importante aggiornamento del kernel di Windows (Win32kfull.sys) che influenzerà l'esperienza dell'interfaccia utente del desktop hub. Le principali funzionalità fisse includono il menu Start, l'applet Impostazioni e Esplora file. Data l'enorme impronta di test dell'interfaccia utente, potrebbe essere necessario un pool di test più ampio per la distribuzione iniziale. Se vedi ancora il desktop o la barra delle applicazioni, consideralo un segno positivo.

Dopo l'aggiornamento dell'autenticazione Kerberos del mese scorso, sono stati segnalati diversi problemi relativi all'autenticazione, in particolare con le connessioni desktop remote. Microsoft ha dettagliato i seguenti scenari e problemi correlati risolti questo mese:

  • L'accesso dell'utente al dominio potrebbe non riuscire. Ciò può influire anche sull'autenticazione di Active Directory Federation Services (AD FS).
  • Gli account del servizio gestito di gruppo (gMSA) utilizzati per servizi come Internet Information Services (server Web IIS) potrebbero non essere autenticati.
  • Le connessioni desktop remote che utilizzano gli utenti del dominio potrebbero non riuscire.
  • Potrebbe non essere possibile accedere alle cartelle condivise sulle workstation e alle condivisioni di file sui server.
  • La stampa che richiede l'autenticazione dell'utente di dominio potrebbe non riuscire.

Tutti questi scenari richiedono test significativi prima di una versione generale dell'aggiornamento di dicembre.

Salvo diversa indicazione, dobbiamo ora presumere che ogni aggiornamento del Patch Tuesday richiederà il test delle funzionalità di stampa di base, tra cui:

  • Stampa da stampanti collegate direttamente.
  • aggiungi una stampante, quindi elimina una stampante (questa è una novità di dicembre).
  • lavori di stampa di grandi dimensioni dai server (soprattutto se sono anche controller di dominio).
  • stampa remota (tramite RDP e VPN).
  • testare scenari fisici e virtuali con applicazioni a 32 bit su macchine a 64 bit.

Aggiornamento del ciclo di vita di Windows

Questa sezione include importanti modifiche alla manutenzione (e la maggior parte degli aggiornamenti della sicurezza) per le piattaforme desktop e server Windows. Poiché si tratta di un aggiornamento di fine anno, ci sono alcune modifiche alla "Fine del servizio", tra cui:

  • Windows 10 (Enterprise, Home, Pro) 21H2 – 12 dicembre 2022.
  • Windows 8.1 – 10 gennaio 2023.
  • Windows 7 SP1 (ESU) – 10 gennaio 2023.
  • Windows Server 2008 SP2 (ESU): 10 anni nel 2023.

Ogni mese suddividiamo il ciclo di rilascio in famiglie di prodotti (come definite da Microsoft) con i seguenti raggruppamenti di base:

  • Browser (Microsoft IE e Edge);
  • Microsoft Windows (desktop e server);
  • Microsoft Office;
  • MicrosoftExchange Server;
  • Piattaforme di sviluppo Microsoft (ASP.NET Core, .NET Core e Chakra Core)
  • Adobe (in pensione???, forse l'anno prossimo),

browser

Seguendo una gradita tendenza di aggiornamenti non critici per i browser Microsoft, questo aggiornamento ne offre solo tre (CVE-2022-44668, CVE-2022-44708 e CVE-2022-41115), tutti considerati importanti. Questi aggiornamenti interessano il browser Microsoft Chromium e dovrebbero avere un impatto minimo o marginale sulle tue applicazioni. Aggiungi questi aggiornamenti al programma di rilascio delle patch standard.

le finestre

Questo mese Microsoft ha rilasciato patch all'ecosistema Windows che risolvono tre aggiornamenti critici (CVE-2022-44676, CVE-2022-44670 e CVE-2022-41076), con 24 classificati importanti e due moderati. Sfortunatamente questo mese abbiamo questi due giorni zero che interessano Windows con segnalazioni di CVE-2022-44698 sfruttate in natura e CVE-2022-44710 trapelate pubblicamente. Abbiamo sviluppato consigli specifici per i test, rilevando che sono stati segnalati problemi con le connessioni Kerberos, Hyper-V e ODBC.

Aggiungi questo aggiornamento al tuo programma di rilascio "Patch Now".

Microsoft Office

Microsoft ha corretto due vulnerabilità critiche in SharePoint Server (CVE-202244693 e CVE-2022-44690) che sono relativamente facili da sfruttare e non richiedono alcuna interazione da parte dell'utente. Le restanti due vulnerabilità interessano Microsoft Visio (CVE-2022-44696 e CVE-2022-44695) e sono modifiche discrete a basso impatto. A meno che tu non ospiti i tuoi server SharePoint (perché?), aggiungi questi aggiornamenti di Microsoft al tuo programma di rilascio standard.

Server di Microsoft Exchange

Microsoft non ha rilasciato aggiornamenti della sicurezza, correzioni o attenuazioni per Microsoft Exchange Server. Uff!

Piattaforme di sviluppo Microsoft

Questo mese Microsoft ha risolto due vulnerabilità critiche in Microsoft .NET (CVE-2022-41089) e PowerShell (CVE-2022-41076). Sebbene entrambi i problemi di sicurezza siano classificati come critici, richiedono l'accesso dell'amministratore locale e sono considerati difficili e complessi da sfruttare. Anche Sysmon di Mark Russinovich necessita di un aggiornamento con vulnerabilità di elevazione dei privilegi CVE-2022-44704 e tutte le versioni supportate di Visual Studio verranno patchate. Aggiungi questi aggiornamenti al tuo programma di rilascio standard per sviluppatori.

Adobe Reader (ancora disponibile, ma non questo mese)

Adobe ha rilasciato tre aggiornamenti di Categoria 3 (equivalenti a Microsoft Important Notice) per Illustrator, Experience Manager e Campaign (Classic). Questo mese non ci sono aggiornamenti di Adobe Reader.

Copyright © 2022 IDG Communications, Inc.

Lascia un commento

Condividi questo