本月的补丁星期二更新很重要,原因有几个。 由于解决了 67 个独特的漏洞、六个公开报告的问题和一个已被利用的问题,与处理 Log4j 问题相比,本月的更新仍然相形见绌。 (幸运的是,没有浏览器或 Microsoft Exchange 更新,并且对 Microsoft Office 的更改很小。)
我们已将 Windows 更新和 Visual Studio 更新添加到我们的“立即修补”发布周期建议中,而 Office 更新则降级为正常的发布节奏。 您可以在此信息图中找到有关部署这些周二补丁更新的风险的更多信息。
关键测试场景
本月没有报告 Windows 平台的高风险更改。 但是,有一个报告的功能更改和一个附加功能。 以下是我们的高级测试建议:
[ 进一步阅读:加速 Windows 10 的 17 种方法 ]
测试本地打印。 通过 RDP 测试远程打印和测试打印。
测试读取或处理 ETL 文件和大型 WMF 文件。
测试新的和现有的 VPN 连接。 包括站点到站点 VPN 的测试。
测试 NTFS 短名称方案和大文件传输。
已知的问题
每个月,Microsoft 都会包含一份与此更新周期中包含的操作系统和平台相关的已知问题列表。 我已经提到了一些与最新版本相关的关键问题,包括:
安装 2021 年 4 月 22 日或之后发布的更新后,会出现影响用作密钥管理服务 (KMS) 主机的 Windows Server 版本的问题。 运行 Windows 10 Enterprise LTSC 2019 和 Windows 10 Enterprise LTSC 2016 的客户端设备可能无法激活。 这些问题不会影响 Windows 激活。 Microsoft 目前正在调查该问题。
安装此更新后,当使用远程桌面连接到不受信任域中的设备时,使用智能卡身份验证时连接可能无法通过身份验证。 此问题已使用已知问题回滚 (KIR) 解决,可以使用以下组策略安装文件实施:
视窗服务器 2022
Windows 10 版本 2004、Windows 10 版本 20H2 和 Windows 10 版本 21H1
查看是否存在可能影响您的目标平台的已知问题的最佳方法之一是在 Microsoft 安全更新指南或本月安全更新的摘要页面上检查许多用于下载补丁数据的配置选项。
主要修订
Microsoft 出于信息原因发布了四个更新(文档和常见问题解答更新),包括:CVE-2021-43236、CVE-2021-43883、CVE-2021-43893、CVE-2021-43905。 此外,微软还针对之前的补丁发布了几项重大更新,包括:
[ 2023 年 CIO 100 奖:提名征集开始。 今天提交。 ]
CVE-2019-0887、CVE-2020-0655 和 CVE-2021-1669:由于更新了受影响的系统表,这些远程桌面服务 RCE 更新收到了重大修订通知。 Windows 11 受到这些安全问题的影响,因此应用此补丁。
CVE-2021-24084:受影响系统的范围已更新为所有受支持的 Windows 系统。
由于这些补丁的范围较大,您可能没有在 11 月下载并应用它们。 本月,所有四个更新都将包含在补丁周期中(尽管它们的发布日期可能是 11 月)。
缓解措施和解决方法
本月,有一个报告的漏洞,其中包括缓解措施和记录在案的变通办法:
CVE-2021-43890:Microsoft 已针对此 AppX 欺骗漏洞发布了一组广泛的解决方法。 使用 GPO 策略 BlockNonAdminUserInstall 和 AllowAllTrustedAppToInstall,可以减少对 AppX 安装程序进行侧载攻击的表面积。 Microsoft 发布了有关为 AppX(以及现在的 MSIX)设置 GPO 策略的详细操作文档。
每个月,我们都会将更新周期分解为具有以下基本分组的产品系列(由 Microsoft 定义):
浏览器(Microsoft IE 和 Edge);
Microsoft Windows(台式机和服务器);
微软办公软件;
微软交易所;
Microsoft 开发平台(ASP.NET Core、.NET Core 和 Chakra Core);
还有Adobe。 (退休?也许明年。)
浏览器
本月,Chromium 项目为 Microsoft Edge 浏览器发布了 16 个更新。 我们在这里确实看到了一种趋势,即没有更新 Microsoft 的旧版浏览器。 这些更新很可能是桌面环境自动更新过程的一部分,因为这些更新不会通过 Microsoft Update 部署。
您可以在 Chrome 发布博客和 Chrome 安全页面上的安全详细信息中找到更多信息。 鉴于 Edge 的性质(未完全集成到操作系统中),此版本预期的兼容性或集成错误很少。 将这些 Chrome 更新添加到您的常规更新发布计划中。
视窗
12 月为 Windows 带来了 36 个更新的适度更新; 三个被微软评为关键,其余 33 个被评为重要。 通常,我们会专注于关键补丁。 但本月更适合关注公开披露和利用的漏洞,包括:
CVE-2021-43240:NTFS 文件系统特权提升
CVE-2021-41333:Windows 后台打印程序 RCE
CVE-2021-43880:Windows Mobile 设备管理特权提升
CVE-2021-43883:Windows 安装程序特权提升
CVE-2021-43893:Windows EFS 特权提升
本月我们“只有”一个漏洞被报告为在野利用,即对 Microsoft AppX 安装程序组件的侧载欺骗攻击 (CVE-2021-43890)。 幸运的是,这是一个复杂的攻击,需要用户干预,微软已经确认了针对这个问题的官方修复。 鉴于对核心系统组件(NTFS、安装程序和打印)更新的关注,我们提供了一些测试建议:
在服务器和桌面上执行测试发送/接收大量流量。 专注于单一的、非常大的文件。
测试您的 .WMF 文件(由于编解码器更新)和任何图形密集型 D3D 应用程序。
测试各种网络流量条件,尤其是大数据传输——尤其是 SMB、加密文件系统和远程共享。
在测试环境中安装、更新和卸载您的核心应用程序。 确保所有卸载都是干净的。
测试您的打印,尤其是远程打印和通过 RDP 打印。
所有使用 TLS/SSL 的应用程序都应该进行基本的“冒烟测试”。
关于那个 Log4j 问题? 修补操作系统不足以保护您的环境。 我们强烈建议立即扫描您的应用程序组合以查找 JAVA 依赖项和对 Log4j 组件的引用。 本周有关 Log4j 问题的消息仅仅是个开始。 预计在圣诞节期间和新年期间会发生大规模的工业化袭击。 这会很糟糕。 会很乱的。
将这些 Windows 更新添加到您的“立即修补”计划中,并着手减少您的应用程序攻击面。
微软办公软件
微软为 Office 发布了九个补丁,所有补丁都被评为重要。 SharePoint 和 Access 的所有版本都会受到影响,Word 2016 和 2019 版本也会受到影响。 本月没有预览窗格攻击媒介,所有报告的漏洞都需要用户交互。 将这些 Microsoft Office 更新添加到您的常规补丁发布计划中。
微软交换服务器
Log4j 问题可能是您库存中的煤炭,但 Microsoft 已为我们提供了本月任何 Microsoft Exchange 更新的缓刑。 所以你可以多关注其他事情,比如圣诞节。 或者 Log4j。 你选。
微软开发平台
微软本月为其开发平台发布了七个更新(一个是关键的,其余的被评为重要),这些更新影响了 Visual Studio、PowerShell 和 ASP.NET/.NET 框架。 单一关键评级补丁 (CVE-2021-43907) 与流行的 WSL 扩展有关; 如果未打补丁,可能会导致远程代码执行场景。 这是一个非常严重的问题,将影响所有 WSL 用户。 不幸的是,测试配置文件将非常大,包含 .NET COM 服务器和 REGEX 表达式的测试要求。
我们建议您将此 Visual Studio 更新添加到您的“立即修补”计划中,并参考 Microsoft Dev 博客上发布的其他(和单独的).NET 相关更新。
Adobe(真的只是阅读器)
本月,微软没有发布任何 Adobe Reader 更新。 我一直在想我可以取消这一部分,但我们不断从 Adobe 获得定期更新或 PDF 文件的重要打印更新。 让我们看看 2022 年会发生什么。
而且,如果你走到这一步……
由于节假日和即将到来的新年假期期间运营极少,Microsoft 不会发布 12 月的预览版(称为“C”版)。 Microsoft B 和 C 版本的正常月度服务将于 1 月恢复。 截至此版本,Windows 10 版本 2004 已结束服务。 下个月我们可能会看到 Windows Server 2008 的 TLS 协议更新,支持 TLS 1.2。
