Patch ora per risolvere il difetto critico zero-day di Windows

Il primo Patch Tuesday dell’anno di Microsoft risolve 98 vulnerabilità di sicurezza, di cui 10 classificate come critiche per Windows. Una vulnerabilità (CVE-2023-21674) in una sezione principale del codice di Windows è un giorno zero che richiede attenzione immediata. E Adobe è tornato con un aggiornamento critico, abbinato ad alcune patch di basso profilo per il browser Microsoft Edge.

Abbiamo aggiunto gli aggiornamenti di Windows e Adobe al nostro elenco “Patch Now”, riconoscendo che le distribuzioni di patch di questo mese richiederanno test e sforzi ingegneristici significativi. Il team Application Readiness ha fornito un’utile infografica che delinea i rischi associati a ciascuno degli aggiornamenti per questo ciclo di aggiornamento di gennaio.

Problemi conosciuti

Ogni mese, Microsoft include un elenco di problemi noti relativi al sistema operativo e alle piattaforme incluse in questo ciclo di aggiornamento.

  • Microsoft Exchange (2016 e 2019): dopo l’installazione di questo aggiornamento di gennaio, le anteprime delle pagine Web per gli URL condivisi in Outlook sul Web (OWA) non venivano visualizzate correttamente. Microsoft sta ora lavorando a una soluzione per questo.
  • Windows 10: dopo aver installato KB5001342 o versioni successive, il Microsoft Cluster Service potrebbe non avviarsi perché non viene trovato alcun driver di rete cluster.

Ci sono ancora alcuni problemi noti in sospeso per Windows 7, Windows 8.xe Windows Server 2008, ma come i sistemi operativi che invecchiano rapidamente (e non molto sicuri), è tempo di andare avanti.

Principali cambiamenti

Microsoft non ha pubblicato modifiche importanti questo mese. Ci sono alcuni aggiornamenti alle patch precedenti, ma solo a scopo di documentazione. Nessun’altra azione è richiesta qui.

Mitigazioni e soluzioni alternative

Questo mese Microsoft non ha pubblicato alcuna mitigazione o soluzione alternativa specifica per il ciclo di rilascio del martedì delle patch di gennaio.

Guida alla prova

Ogni mese, il team Readiness esamina gli ultimi aggiornamenti del Patch Tuesday di Microsoft e fornisce indicazioni dettagliate e attuabili per i test. Questa guida si basa sull’analisi di un ampio portafoglio di applicazioni e su un’analisi dettagliata delle patch Microsoft e del loro potenziale impatto sulle piattaforme Windows e sulle installazioni delle applicazioni.

A causa dell’elevato numero di modifiche incluse in questo ciclo di patch di gennaio, ho suddiviso gli scenari di test in gruppi ad alto rischio e a rischio medio:

Molto delicato: questo aggiornamento di gennaio di Microsoft offre un gran numero di modifiche ad alto rischio al kernel di sistema e ai sottosistemi di stampa all’interno di Windows. Sfortunatamente, queste modifiche includono file di sistema critici come win32base.sys, sqlsrv32.dll e win32k.sys, espandendo ulteriormente il profilo di test per questo ciclo di patch.

Poiché tutte le modifiche ad alto rischio interessano il sottosistema di stampa di Microsoft Windows (sebbene non abbiamo trovato alcuna modifica di funzionalità pubblicata), consigliamo vivamente il seguente test orientato alla stampa:

  • Aggiungi e rimuovi filigrane durante la stampa.
  • Modificare la directory di spool di stampa predefinita.
  • Connettiti a una stampante Bluetooth e stampa pagine in bianco e nero e a colori.
  • Prova a utilizzare il driver (Microsoft) MS Publisher Imagesetter. È disponibile come driver di stampa “generico” e può essere installato su qualsiasi computer Windows 8.x o successivo. A causa dell’elevato numero di siti di download che forniscono questa unità, assicurarsi che il download sia firmato digitalmente e provenga da una fonte attendibile (ad es. Windows Update).

Tutti questi scenari richiederanno test significativi a livello di applicazione prima di una distribuzione generale dell’aggiornamento questo mese. Oltre a questi requisiti di prova specifici, suggeriamo di testare in generale le seguenti funzioni di stampa:

  • Stampa da stampanti collegate direttamente.
  • Stampa remota (utilizzando RDP e VPN).
  • Test di scenari fisici e virtuali con app a 32 bit su macchine a 64 bit.

In generale, a causa della natura estesa di questo aggiornamento, si consiglia di testare le seguenti funzionalità e componenti di Windows:

  • Testa scenari basati sull’utente che si basano sul supporto di touchpoint e gesti.
  • Prova a connettere/disconnettere le sessioni VPN STTP. Puoi leggere ulteriori informazioni su questi protocolli aggiornati qui.
  • Utilizzo di applicazioni di test con servizi Microsoft LDAP che richiedono l’accesso alle query di Active Directory.

Oltre a queste modifiche e ai successivi requisiti di test, ho incluso alcuni degli scenari di test più impegnativi per questo aggiornamento di gennaio:

  • Query SQL: costose. Devi assicurarti che le tue applicazioni business-critical che utilizzano SQL (e quali no?) funzionino effettivamente. Come nella “restituzione dei set di dati corretti da query di database molto complesse, con più origini e disparate”. Tutto sommato, Microsoft ha dichiarato: “Questo aggiornamento risolve un problema noto che interessa le app che utilizzano il driver SQL Server Microsoft Open Database Connectivity (ODBC) (sqlsrv32.dll) per connettersi ai database”. Quindi dovremmo vedere questa situazione migliorare questo mese.
  • Applicazioni legacy: se si dispone di un’applicazione precedente (legacy) che potrebbe utilizzare classi Windows obsolete, sarà necessario eseguire un test completo dell’applicazione oltre a eventuali controlli di fumo di base.

In tutti questi scenari di test più difficili, ti consigliamo di eseguire la scansione del tuo portafoglio di applicazioni per componenti dell’applicazione aggiornati o dipendenze a livello di sistema. Questa scansione dovrebbe fornire un elenco ristretto di applicazioni interessate, che dovrebbe ridurre i test e le successive attività di distribuzione.

Ciclo di vita dell’aggiornamento di Windows

Questa sezione conterrà importanti modifiche al servizio (e la maggior parte degli aggiornamenti della sicurezza) su piattaforme desktop e server Windows. Con Windows 10 21H2 ora fuori dal supporto mainstream, abbiamo le seguenti applicazioni Microsoft che raggiungeranno la fine del supporto mainstream nel 2023:

  • Microsoft Endpoint Configuration Manager, versione 2107 (abbiamo già Intune, quindi va bene).
  • Windows 10 Enterprise ed Education, versione 20H2 (abbiamo 5 mesi per eseguire la migrazione, dovrebbe andare bene).
  • Windows 10 Home e Pro, versione 21H2 (scadenza giugno 2023).
  • Supporto esteso per Exchange Server 2013 (11 aprile 2023).

Ogni mese, dividiamo il ciclo di aggiornamento in famiglie di prodotti (come definito da Microsoft) utilizzando i seguenti raggruppamenti principali:

  • Browser (Microsoft IE e Edge)
  • Microsoft Windows (sia desktop che server)
  • Microsoft Office
  • MicrosoftExchange Server
  • Piattaforme di sviluppo Microsoft (NET Core, .NET Core e Chakra Core)
  • Adobe (in pensione? forse l’anno prossimo)

Browser

Microsoft ha rilasciato cinque aggiornamenti al suo browser Chromium questo mese, tutti indirizzati alle vulnerabilità legate alla memoria “Use after free” nel motore Chromium. Puoi trovare la versione Microsoft di queste note sulla versione qui e le note sulla versione del canale Google Desktop qui. Non ci sono altri aggiornamenti ai browser Microsoft (o ai motori di rendering) questo mese. Aggiungi questi aggiornamenti al normale programma di rilascio delle patch.

finestre

Gennaio porta 10 aggiornamenti critici e 67 patch ritenute importanti per la piattaforma Windows. Coprono i seguenti componenti principali:

  • Server dell’autorità di sicurezza locale Microsoft (lsasrv)
  • Provider Microsoft WDAC OLE DB (e driver ODBC) per SQL
  • Motore di backup di Windows
  • Servizi di crittografia di Windows
  • Segnalazione errori di Windows (WER)
  • Windows LDAP – Protocollo leggero di accesso alla directory

Nel complesso, si tratta di un aggiornamento incentrato sull’aggiornamento della rete e dello stack di autenticazione locale con alcune correzioni nel ciclo di patch del mese scorso. Sfortunatamente, è stata segnalata pubblicamente una vulnerabilità (CVE-2023-21674) in una sezione centrale del codice Windows (ALPC). Microsoft descrive questo scenario come “un utente malintenzionato che ha sfruttato con successo questa vulnerabilità potrebbe ottenere privilegi SYSTEM”. Grazie, Steveper il tuo duro lavoro su questo.

Nota: a tutte le agenzie federali degli Stati Uniti è stato ordinato di correggere questa vulnerabilità entro la fine di gennaio come parte dell'”ordine operativo vincolante” (BOD) della CISA.

Aggiungi questo aggiornamento al tuo programma di rilascio “Patch Now”.

Microsoft Office

Microsoft sta risolvendo un problema critico in SharePoint Server (CVE-2023-21743) e altre otto vulnerabilità di sicurezza classificate come critiche da Microsoft che interessano le app Visio e Office 365. I nostri test non hanno sollevato problemi significativi relativi alle modifiche del Patch Tuesday, poiché la maggior parte delle modifiche è stata inclusa nelle versioni Microsoft Click-to-Run, con un profilo di distribuzione e test inferiore. Aggiungi questi aggiornamenti di Microsoft Office alla normale pianificazione della distribuzione.

MicrosoftExchange Server

Per questa versione della patch di gennaio per Microsoft Exchange Server, Microsoft ha fornito cinque aggiornamenti, tutti classificati come importanti per le versioni 2016 e 2019:

Nessuna di queste vulnerabilità è stata rilasciata al pubblico, segnalata come sfruttata in natura o documentata come causa dell’esecuzione di codice arbitrario. Con alcuni problemi di sicurezza a basso rischio, ti consigliamo di dedicare del tempo a testare e aggiornare ciascun server. Una cosa da notare è che Microsoft ha introdotto una nuova funzionalità (firma del certificato PowerShell) in questa versione “patch”, che potrebbe richiedere ulteriori test. Aggiungi questi aggiornamenti di Exchange Server alla normale pianificazione del rilascio del server.

Piattaforme di sviluppo Microsoft

Microsoft ha rilasciato due aggiornamenti alla sua piattaforma per sviluppatori (CVE-2023-21779 e CVE-2023-21538) che interessano Visual e Microsoft .NET 6.0. Entrambi questi aggiornamenti sono considerati importanti da Microsoft e possono essere aggiunti al normale programma di rilascio.

Adobe Reader

Gli aggiornamenti per Adobe Reader sono tornati questo mese, anche se le ultime patch non sono state pubblicate da Microsoft. L’ultimo set di aggiornamenti (APSB 23-01) risolve otto problemi critici relativi alla memoria e sette aggiornamenti importanti, il peggiore dei quali potrebbe portare all’esecuzione di codice arbitrario su quel sistema senza patch. Con una valutazione CVSS superiore alla media (7.8), ti consigliamo di aggiungere questo aggiornamento al tuo ciclo di rilascio “Patch Now”.

Copyright © 2023 IDG Communications, Inc.

Leave a Reply

Your email address will not be published. Required fields are marked *