Patch Tuesday: Due difetti zero-day nell’attenzione immediata zero-day di Windows

by Posted on

L’aggiornamento di December Patch Tuesday di Microsoft fornisce 59 correzioni, inclusi due zero-day (CVE-2022-44698 e CVE-2022-44710) che richiedono un’attenzione immediata sulla piattaforma Windows. Si tratta di un aggiornamento incentrato sulla rete (TCP/IP e RDP) che richiederà test significativi con particolare attenzione alle connessioni ODBC, ai sistemi Hyper-V, all’autenticazione Kerberos e alla stampa (sia locale che remota).

Microsoft ha anche pubblicato un aggiornamento immediato fuori banda (CVE-2022-37966) per risolvere gravi problemi di autenticazione Kerberos. (Il team Readiness ha fornito un’utile infografica che delinea i rischi associati a ciascuno di questi aggiornamenti.)

E Windows Hot-Patching è ora disponibile per le macchine virtuali di Azure (VM).

Problemi conosciuti

Ogni mese, Microsoft include un elenco di problemi noti relativi al sistema operativo e alle piattaforme incluse in questo ciclo di aggiornamento.

  • ODBC: dopo l’installazione dell’aggiornamento di dicembre, le applicazioni che utilizzano connessioni ODBC potrebbero non connettersi tramite il driver Microsoft ODBC SQL Server (sqlsrv32.dll) per accedere ai database. È possibile che vengano visualizzati i seguenti messaggi di errore: “Il sistema EMS ha riscontrato un problema. Messaggio: [Microsoft] [ODBC SQL Server Driver] Token sconosciuto ricevuto da SQL Server”.
  • RDP e accesso remoto: dopo aver installato questo o successivi aggiornamenti del sistema desktop di Windows, potrebbe non essere possibile riconnettersi all’accesso diretto (Microsoft) dopo aver perso temporaneamente la connessione di rete o essere passati dalla rete Wi-Fi al punto di accesso.
  • Hyper-V: dopo aver installato questo aggiornamento su host Hyper-V gestiti da un System Center Virtual Machine Manager (VMM) configurato con SDN, potresti ricevere un errore nei flussi di lavoro che comportano la creazione di una nuova scheda di rete (chiamata anche scheda di interfaccia di rete o NIC ) per accedere a una rete VM o a una nuova macchina virtuale (VM).
  • Active Directory: a causa di ulteriori requisiti di sicurezza nell’affrontare le vulnerabilità di sicurezza in CVE-2022-38042, vengono implementati nuovi controlli di sicurezza sulle richieste di accesso alla rete del dominio. Questi controlli aggiuntivi possono generare il seguente messaggio di errore: “Errore 0xaac (2732): NERR_AccountReuseBlockedByPolicy: in Active Directory esiste un account con lo stesso nome. Il riutilizzo dell’account è bloccato dal criterio di sicurezza.”

In preparazione dell’aggiornamento mensile sui sistemi Windows 10 e 11, si consiglia di eseguire un’analisi di tutti i pacchetti dell’applicazione e cercare una dipendenza dal file di sistema SQLSRV32.DLL. Se è necessario controllare un sistema specifico, aprire un prompt dei comandi ed eseguire il comando “tasklist /m sqlsrv32.dll”. Dovrebbe elencare tutti i processi che dipendono da questo file.

Principali cambiamenti

Microsoft ha pubblicato solo una revisione questo mese, senza altre modifiche alle patch precedenti o agli aggiornamenti rilasciati.

  • CVE-2022-37966 Windows Kerberos RC4-HMAC Vulnerabilità relativa all’acquisizione di privilegi più elevati: per risolvere un problema noto a causa del quale l’autenticazione Kerberos potrebbe non riuscire per utenti, computer, servizi e account GMSA quando serviti da controller di dominio Windows. Questa revisione della patch viene rilasciata come un raro aggiornamento fuori banda e richiederà un’attenzione immediata, se non già affrontata.

Mitigazioni e soluzioni alternative

Sebbene in questa versione siano stati aggiunti alcuni aggiornamenti della documentazione e domande frequenti, Microsoft ha pubblicato una mitigazione:

  • CVE-2022-37976: elevazione dei privilegi del certificato di Active Directory: un sistema è vulnerabile a questa vulnerabilità di sicurezza solo se sia il ruolo di Servizi di certificazione di Active Directory che il ruolo di Servizi di dominio di Active Directory sono installati su Entrambi server sulla rete. Microsoft ha pubblicato un set di chiavi di registro (LegacyAuthenticationLevel) che possono aiutare a ridurre la superficie di questo problema. Puoi saperne di più sulla protezione dei tuoi sistemi qui.

Guida alla prova

Ogni mese, il team Readiness esamina gli ultimi aggiornamenti e fornisce indicazioni sui test. Questa guida si basa sull’analisi di un ampio portafoglio di applicazioni e su un’analisi dettagliata delle patch Microsoft e del loro potenziale impatto sulle piattaforme Windows e sulle installazioni delle applicazioni.

A causa dell’elevato numero di modifiche con questo ciclo, ho suddiviso gli scenari di test in gruppi ad alto rischio e a rischio medio.

Molto delicato: Questo mese, Microsoft non ha registrato modifiche di funzionalità ad alto rischio. Ciò significa che non ha apportato modifiche sostanziali alle API o alle funzionalità principali in nessuno dei componenti o delle applicazioni principali inclusi nell’ecosistema desktop e server di Windows.

In generale, a causa dell’ampia natura di questo aggiornamento (Office e Windows), consigliamo di testare le seguenti funzionalità e componenti di Windows:

  • Bluetooth: Microsoft ha aggiornato due serie di file API/intestazione principali per i driver Bluetooth, tra cui: IOCTL_BTH_SDP_REMOVE_RECORD IOCTL e funzioni DeviceIoControl. L’attività di test principale qui è abilitare e quindi disabilitare il Bluetooth, assicurandosi che le connessioni dati funzionino ancora come previsto.
  • GIT: Git Virtual File System (VfSForGit) è stato aggiornato con modifiche ai mapping di file e registro. Puoi leggere ulteriori informazioni sullo strumento di sviluppo chiave (interno) di Windows qui.

Oltre a queste modifiche e requisiti di test, ho incluso alcuni scenari di test più impegnativi per questo aggiornamento:

  • Kernel di Windows: questo mese vede un aggiornamento completo al kernel di Windows (Win32kfull.sys) che influenzerà l’esperienza dell’interfaccia utente desktop principale. Le funzionalità principali che sono state aggiornate includono il menu Start, l’applet delle impostazioni e Esplora file. A causa dell’ampia superficie di test dell’interfaccia utente, potrebbe essere necessario un team di test più numeroso per il lancio iniziale. Se riesci ancora a vedere il desktop o la barra delle applicazioni, prendilo come un segno positivo.

Dopo l’aggiornamento del mese scorso all’autenticazione Kerberos, sono stati segnalati diversi problemi relativi all’autenticazione, in particolare con le connessioni desktop remoto. Microsoft ha dettagliato i seguenti scenari e problemi correlati affrontati questo mese:

  • L’accesso dell’utente al dominio potrebbe non riuscire. Può anche influire sull’autenticazione di Active Directory Federation Services (AD FS).
  • Gli account del servizio gestito di gruppo (gMSA) utilizzati per servizi come Internet Information Services (server Web IIS) potrebbero non riuscire ad autenticarsi.
  • Le connessioni Desktop remoto che utilizzano utenti di dominio potrebbero non riuscire a connettersi.
  • Potrebbe non essere possibile accedere alle cartelle condivise sulle workstation e alle condivisioni di file sui server.
  • La stampa che richiede l’autenticazione dell’utente di dominio potrebbe non riuscire.

Tutti questi scenari richiedono test significativi prima di una distribuzione generale dell’aggiornamento a dicembre.

Se non diversamente specificato, dovremmo presumere che ogni aggiornamento del Patch Tuesday richiederà il test delle funzioni di stampa di base, tra cui:

  • stampa da stampanti collegate direttamente.
  • aggiungi una stampante, quindi rimuovi una stampante (questa è una novità di dicembre).
  • lavori di stampa di grandi dimensioni dai server (soprattutto se sono anche controller di dominio).
  • stampa remota (utilizzando RDP e VPN).
  • testare scenari fisici e virtuali con app a 32 bit su macchine a 64 bit.

Ciclo di vita dell’aggiornamento di Windows

Questa sezione include importanti modifiche alla manutenzione (e la maggior parte degli aggiornamenti della sicurezza) su piattaforme desktop e server Windows. Poiché si tratta di un aggiornamento di fine anno, ci sono alcune modifiche a “Fine del servizio”, tra cui:

  • Windows 10 (Enterprise, Home, Pro) 21H2 – Dic. 12, 2022.
  • Windows 8.1 – gen. 10, 2023.
  • Windows 7 SP1 (ESU) – Gen. 10, 2023.
  • Windows Server 2008 SP2 (ESU) – Gen. 10, 2023.

Ogni mese, dividiamo il ciclo di aggiornamento in famiglie di prodotti (come definito da Microsoft) utilizzando i seguenti raggruppamenti principali:

  • Browser (Microsoft IE e Edge);
  • Microsoft Windows (sia desktop che server);
  • Microsoft Office;
  • MicrosoftExchange Server;
  • Piattaforme di sviluppo Microsoft (ASP.NET Core, .NET Core e Chakra Core)
  • Adobe (in pensione???, forse l’anno prossimo),

Browser

Seguendo una tendenza positiva senza aggiornamenti critici nei browser di Microsoft, questo aggiornamento fornisce solo tre (CVE-2022-44668, CVE-2022-44708 e CVE-2022-41115) tutti classificati come importanti Questi aggiornamenti influiscono sul browser Microsoft Chromium e dovrebbero avere un impatto minimo o minimo sulle tue applicazioni. Aggiungi questi aggiornamenti al normale programma di rilascio delle patch.

finestre

Questo mese Microsoft ha rilasciato patch all’ecosistema Windows che risolvono tre aggiornamenti critici (CVE-2022-44676, CVE-2022-44670 e CVE-2022-41076), con 24 classificati come importanti e due classificati come moderati. Sfortunatamente, questo mese abbiamo avuto due zero-day che hanno interessato Windows con segnalazioni di CVE-2022-44698 sfruttate in natura e CVE-2022-44710 divulgate pubblicamente. Abbiamo formulato raccomandazioni specifiche per i test, rilevando che sono stati segnalati problemi con le connessioni Kerberos, Hyper-V e ODBC.

Aggiungi questo aggiornamento al tuo programma di rilascio “Patch Now”.

Microsoft Office

Microsoft sta affrontando due vulnerabilità critiche in SharePoint Server (CVE-202244693 e CVE-2022-44690) che sono relativamente facili da sfruttare e non richiedono l’interazione dell’utente. Le restanti due vulnerabilità interessano Microsoft Visio (CVE-2022-44696 e CVE-2022-44695) e sono modifiche di basso profilo e di basso impatto. A meno che tu non ospiti i tuoi server SharePoint (oh, perché?), aggiungi questi aggiornamenti Microsoft al tuo normale programma di rilascio.

MicrosoftExchange Server

Microsoft non ha rilasciato aggiornamenti, patch o attenuazioni della sicurezza per Microsoft Exchange Server. Uff!

Piattaforme di sviluppo Microsoft

Microsoft sta affrontando due vulnerabilità critiche in Microsoft .NET (CVE-2022-41089) e PowerShell (CVE-2022-41076) questo mese. Sebbene entrambi i problemi di sicurezza siano classificati come critici, richiedono l’accesso dell’amministratore locale e sono considerati sia difficili che complessi da sfruttare. Anche Sysmon di Mark Russinovich necessita di un aggiornamento con la vulnerabilità di elevazione dei privilegi CVE-2022-44704 e tutte le versioni supportate di Visual Studio devono essere corrette. Aggiungi questi aggiornamenti al normale programma di rilascio degli sviluppatori.

Adobe Reader (ancora qui, ma non questo mese)

Adobe ha rilasciato tre aggiornamenti di categoria 3 (equivalenti alla valutazione Microsoft di importante) per Illustrator, Experience Manager e Campaign (Classic). Questo mese non sono disponibili aggiornamenti per Adobe Reader.

Copyright © 2022 IDG Communications, Inc.

Published by onantif.com

Leave a Reply

Your email address will not be published. Required fields are marked *