Microsoft 的 12 月补丁星期二更新提供了 59 个修复程序,其中包括两个需要立即关注 Windows 平台的零日漏洞(CVE-2022-44698 和 CVE-2022-44710)。 这是一个以网络为中心的更新(TCP/IP 和 RDP),需要进行大量测试,重点是 ODBC 连接、Hyper-V 系统、Kerberos 身份验证和打印(本地和远程)。
Microsoft 还发布了紧急带外更新 (CVE-2022-37966) 以解决严重的 Kerberos 身份验证问题。 (Readiness 团队提供了一个有用的信息图,其中概述了与这些更新相关的风险。)
Azure 虚拟机 (VM) 的 Windows 热补丁现在可用。
已知的问题
每个月,Microsoft 都会包含一份与此更新周期中包含的操作系统和平台相关的已知问题列表。
ODBC:安装 12 月更新后,通过 Microsoft ODBC SQL Server 驱动程序 (sqlsrv32.dll) 使用 ODBC 连接访问数据库的应用程序可能无法连接。 您可能会收到以下错误消息:“EMS 系统遇到问题。消息:[Microsoft] [ODBC SQL Server 驱动程序] 从 SQL Server 收到未知令牌”。
RDP 和远程访问:在 Windows 桌面系统上安装此更新或更高版本更新后,您可能无法在暂时失去网络连接或在 Wi-Fi 网络或访问点之间转换后重新连接到 (Microsoft) Direct Access。
Hyper-V:在由 SDN 配置的 System Center Virtual Machine Manager (VMM) 管理的 Hyper-V 主机上安装此更新后,您可能会在涉及创建新网络适配器(也称为网络接口卡或 NIC)的工作流程中收到错误消息 到 VM 网络或新的虚拟机 (VM)。
Active Directory:由于解决 CVE-2022-38042 中安全漏洞的额外安全要求,对域网络加入请求实施了新的安全检查。 这些额外的检查可能会生成以下错误消息:“错误 0xaac (2732):NERR_AccountReuseBlockedByPolicy:Active Directory 中存在同名帐户。安全策略已阻止重新使用该帐户。”
为准备本月的 Windows 10 和 11 系统更新,我们建议对所有应用程序包运行评估并查找对系统文件 SQLSRV32.DLL 的依赖性。 如果您需要检查特定系统,请打开命令提示符并运行命令“tasklist /m sqlsrv32.dll”。 这应该列出依赖于此文件的所有进程。
主要修订
微软本月只发布了一个修订版,没有发布对之前补丁或更新的其他修订版。
CVE-2022-37966 Windows Kerberos RC4-HMAC 特权提升漏洞:解决由 Windows 域控制器提供服务时,用户、计算机、服务和 GMSA 帐户的 Kerberos 身份验证可能失败的已知问题。 此补丁修订版已作为罕见的带外更新发布,如果尚未解决,将需要立即引起注意。
缓解措施和解决方法
虽然此版本中添加了多个文档更新和常见问题解答,但 Microsoft 发布了一个缓解措施:
CVE-2022-37976:Active Directory 证书特权提升:仅当 Active Directory 证书服务角色和 Active Directory 域服务角色安装在网络中的同一台服务器上时,系统才容易受到此安全漏洞的攻击。 Microsoft 发布了一组注册表项 (LegacyAuthenticationLevel),可帮助减少此问题的表面积。 您可以在此处找到有关保护系统的更多信息。
检测指导
每个月,Readiness 团队都会分析最新更新并提供测试指导。 本指南基于对大型应用程序组合的评估以及对 Microsoft 补丁及其对 Windows 平台和应用程序安装的潜在影响的详细分析。
鉴于此周期包含大量更改,我将测试场景分为高风险组和标准风险组。
高风险:本月,Microsoft 没有记录任何高风险功能更改。 这意味着它没有对核心 API 或 Windows 桌面和服务器生态系统中包含的任何核心组件或应用程序的功能进行重大更改。
更一般地说,鉴于此更新(Office 和 Windows)的广泛性,我们建议测试以下 Windows 功能和组件:
蓝牙:Microsoft 更新了蓝牙驱动程序的两组关键 API/头文件,包括:IOCTL_BTH_SDP_REMOVE_RECORD IOCTL 和 DeviceIoControl 函数。 这里的关键测试任务是启用然后禁用蓝牙,确保您的数据连接仍按预期工作。
GIT:Git 虚拟文件系统 (VfSForGit) 已更新,其中包含对文件和注册表映射的更改。 您可以在此处阅读有关此关键(内部)Windows 开发工具的更多信息。
除了这些更改和测试要求之外,我还为这次更新包括了一些更困难的测试场景:
Windows 内核:本月将对 Windows 内核 (Win32kfull.sys) 进行广泛更新,这将影响主要桌面 UI 体验。 修补的主要功能包括“开始”菜单、设置小程序和文件资源管理器。 鉴于巨大的 UI 测试表面,您的初始推出可能需要更大的测试组。 如果您仍然看到桌面或任务栏,请将其视为一个积极信号。
在上个月对 Kerberos 身份验证进行更新之后,报告了几个与身份验证相关的问题,尤其是跨远程桌面连接。 微软详细介绍了本月解决的以下场景和相关问题:
域用户登录可能会失败。 这也可能会影响 Active Directory 联合身份验证服务 (AD FS) 身份验证。
用于 Internet 信息服务(IIS Web 服务器)等服务的组托管服务帐户 (gMSA) 可能无法通过身份验证。
使用域用户的远程桌面连接可能无法连接。
您可能无法访问工作站上的共享文件夹和服务器上的文件共享。
需要域用户身份验证的打印可能会失败。
所有这些场景都需要在 12 月更新的一般部署之前进行大量测试。
除非另有说明,否则我们现在应该假设每个星期二补丁更新都需要测试核心打印功能,包括:
从直接连接的打印机打印。
添加打印机,然后删除打印机(这是 12 月的新增功能)。
来自服务器的大型打印作业(特别是如果它们也是域控制器)。
远程打印(使用 RDP 和 VPN)。
在 64 位计算机上使用 32 位应用程序测试物理和虚拟场景。
Windows 生命周期更新
本节包括对 Windows 桌面和服务器平台服务(以及大多数安全更新)的重要更改。 由于这是年终更新,因此有不少“服务终止”更改,包括:
Windows 10(企业版、家庭版、专业版)21H2 – 2022 年 12 月 12 日。
Windows 8.1 – 2023 年 1 月 10 日。
Windows 7 SP1 (ESU) – 2023 年 1 月 10 日。
Windows Server 2008 SP2 (ESU) – 2023 年 1 月 10 日。
每个月,我们都会将更新周期分解为具有以下基本分组的产品系列(由 Microsoft 定义):
浏览器(Microsoft IE 和 Edge);
Microsoft Windows(台式机和服务器);
微软办公软件;
微软交换服务器;
Microsoft 开发平台(ASP.NET Core、.NET Core 和 Chakra Core)
Adobe(退休???,也许明年),
浏览器
顺应 Microsoft 浏览器无关键更新的受欢迎趋势,此更新仅提供三个(CVE-2022-44668、CVE-2022-44708 和 CVE-2022-41115)均被评为重要。 这些更新会影响 Microsoft Chromium 浏览器,对您的应用程序的影响应该很小。 将这些更新添加到您的标准补丁发布计划中。
视窗
微软本月发布了 Windows 生态系统补丁,解决了三个关键更新(CVE-2022-44676、CVE-2022-44670 和 CVE-2022-41076),其中 24 个被评为重要,两个被评为中等。 不幸的是,本月我们发现了两个影响 Windows 的零日漏洞,报告了 CVE-2022-44698 在野外被利用和 CVE-2022-44710 公开披露。 我们制定了具体的测试建议,并注意到报告的 Kerberos、Hyper-V 和 ODBC 连接问题。
将此更新添加到您的“立即修补”发布计划中。
微软办公软件
Microsoft 解决了 SharePoint Server 中的两个关键漏洞(CVE-202244693 和 CVE-2022-44690),这两个漏洞相对容易利用并且不需要用户交互。 其余两个漏洞影响 Microsoft Visio(CVE-2022-44696 和 CVE-2022-44695)并且是低调、低影响的更改。 除非您托管自己的 SharePoint 服务器(哦,为什么?),将这些 Microsoft 更新添加到您的标准发布计划中。
