本周的补丁星期二是 Microsoft 的一次不同寻常的更新,我们已将 Windows、Microsoft 开发平台和 Adobe Reader 添加到我们的“立即补丁”计划中。
这些更新由核心 Microsoft 浏览器库 MSHTML 的零日补丁 (CVE-2021-40444) 驱动。 除了导致严重的远程代码执行问题之外,此更新还可能导致依赖或包含此浏览器组件的遗留应用程序出现意外行为。 请务必评估具有这些依赖项的关键应用程序的产品组合,并在部署前执行完整的功能测试。 (我们已经确定了一些关键的缓解策略,用于处理 ActiveX 控件并在测试和部署阶段保护您的系统。)
您还可以在此信息图中找到有关部署这些星期二补丁程序补丁的风险的更多信息。
[如何保护 Windows 10 和 11 PC 免受勒索软件侵害]
关键测试场景
本月没有报告 Windows 平台的高风险更改。 但是,有一个报告的功能更改和一个附加功能:
与往常一样,确认使用物理打印机和虚拟打印机进行的打印均按预期执行。 确认打印机驱动程序没有问题,并检查打印机驱动程序软件是否仍在使用 32 位代码进行应用程序管理。
验证 Windows 事件跟踪是否按预期工作; 日志显示在事件查看器中。
确认利用远程桌面网关和虚拟专用网络 (VPN) 的连接按预期工作。
测试 SCCRUN 对象,例如 Scripting.FileSystemObject、textStream、Scripting.Dictionary。 请参阅此 Microsoft 文档和 Dictionary object | Microsoft 文档以获取更多信息。
确认具有权限的用户可以访问 SMB 共享上的文件。 验证是否按预期使用创建/复制/删除/读取/写入/重命名/关闭功能访问文件。
在管理今年 9 月的更新(以及可预见的未来)时,测试您的旧版应用程序和打印将是一项关键任务。 寻找仍然使用 32 位代码进行应用程序管理的打印机驱动程序软件对于避免“thunking”很重要。 此关注领域涉及如何在 32 位和 64 位应用程序之间处理内存。 如果您正在寻找一切都在不可预测的时间中断并影响核心系统的场景,请尝试使用旧的打印机管理软件查找老化的打印机驱动程序。
实际上,结果更有可能找到您。
尽管我们经常关注打印和遗留应用程序,但远程工作在大流行期间出现了巨大增长。 本月我们提供以下特定于 VPN 的测试建议:
[‘IT 有一个新的’It Crowd’:加入 CIO Tech Talk 社区]
确认 Windows 更新通过 VPN 和非 VPN 连接可靠地安装并且更新安装成功。
检查您的防病毒软件是否在您的 VPN 连接上按预期工作。
确保能够通过使用和不使用 802.1x 的有线和无线网络连接获取 DHCP 地址和网络连接。
已知的问题
每个月,微软都会在最新的更新周期中包含一份与操作系统和平台相关的已知问题列表。 我提到了一些与 Microsoft 最新版本相关的关键问题,包括:
本月,所有 Windows 10 更新都包含一个修复程序,解决了导致 PowerShell 创建无限数量子目录的问题。 当您使用 PowerShell Move-Item 命令将目录移动到其子项之一时,会出现此问题。 结果,卷被填满并且系统停止响应。
主要修订
在撰写本文时(针对 7 月更新周期),对之前发布的更新进行了四次重大更新:
CVE-2021-1678:Windows 后台打印程序欺骗漏洞。
CVE-2021-36958:Windows Print Spooler 远程代码执行漏洞。
CVE-2021-40444:Microsoft MSHTML 远程代码执行漏洞。
缓解措施和解决方法
本月,Microsoft 发布了 MSHTML 更新的解决方法。 该公司(不是第一次)建议禁用 Active X。我们建议作为一般规则禁用 ActiveX,并为您的托管平台使用组策略。 以下是确保禁用 ActiveX 的一些简单步骤:
选择区域(Internet 区域、Intranet 区域、本地计算机区域或受信任的站点区域)。
双击下载已签名的 ActiveX 控件并启用该策略。 然后将策略中的选项设置为禁用。
双击下载未签名的 ActiveX 控件并启用策略。 然后将策略中的选项设置为禁用。
您还可以为单个应用程序(例如 Microsoft Word)指定特定的注册表项和组件 ID——在此处了解更多信息。 微软还建议大家将打开的文档放在“受保护的视图”中,使用Office版的Application Guard。 如果你选择了完整的 Microsoft 堆栈并部署了 Defender,则可以使用攻击面减少规则来减少暴露于这一严重安全问题的威胁。
每个月,我们都会将更新周期分解为具有以下基本分组的产品系列(由 Microsoft 定义):
浏览器(Microsoft IE 和 Edge);
Microsoft Windows(台式机和服务器);
微软办公软件;
微软交易所;
Microsoft 开发平台(ASP.NET Core、.NET Core 和 Chakra Core);
Adobe(退休?还没有)。
浏览器
微软本月为基于 Chromium 的 Edge 浏览器发布了 26 个更新。 除了这些补丁之外,Chromium 项目还在今年 9 月发布了 11 个与安全相关的更新(Chrome 发行说明)。 虽然浏览器大战已经结束,现在微软正在使用开源,但一种常见的安全问题是“释放后使用”内存(又名悬挂指针)分配错误。 这些内存分配类错误仍然是最常见的,本月的更新(阅读 CVE-2021-30610)就是一个很好的例子,说明了为保持领先于坏人而进行的持续战斗。 本月对 Edge 的拟议更改对企业系统的影响很小或没有影响。 将这些更新添加到您的标准桌面更新计划中。
视窗
Microsoft 已针对此周期发布了 35 个 Windows 平台更新,其中两个被评为关键(CVE-2021-36965 和 CVE-2021-26435)。 虽然这不是我们一段时间以来看到的最大更新,但此版本影响了许多关键平台领域:网络、内核驱动程序、Windows Installer、关键图形组件 (GDI) 和一些关键诊断工具(Windows 错误报告) .
然而,本月测试和部署团队真正关心的是重新发布的内容:CVE-2021-40444。 它于本月早些时候发布,自首次发布以来已经进行了两次更新。 MSHTML 问题是一个真正令人担忧的问题,因为它涉及到许多应用程序中常用的核心浏览器组件。 这就像将 Internet Explorer 嵌入到您的核心业务应用程序中(是的,我知道)。
您确实不希望在您的开发组合中使用此组件,您需要快速找出哪些应用程序依赖它。 我们对使用 MSHTML 库的常见应用程序进行了快速扫描,发现 5-10% 的“遗留应用程序”(超过五年的应用程序)直接依赖于 MSHTML。 这些应用程序将需要深入测试,并且可能是任何企业都关注的领域。 不幸的是,我们必须将这些 Windows 更新添加到本月的“立即修补”计划中。
微软办公软件
微软本月发布了 12 项 Office 平台更新,所有更新都被评为重要。 (正确,此补丁周期没有针对 Office、Exchange 或 SharePoint 的重要更新。)Word、Excel、Visio 和共享的 Microsoft Office 库(例如 MSO 和所有 Microsoft Office 组件通用的共享代码)本月受到影响。 报告的安全问题均不包括“预览窗格”或其他高度易受攻击的攻击媒介。
将这些 9 月 Microsoft 更新添加到您的标准发布计划中。
微软交换服务器
今年 9 月,我们很幸运,不必为 Microsoft Exchange Server 部署紧急更新。 也就是说,SharePoint Server 有两个更新(CVE-2021-38651、CVE-2021-38652)需要引起注意。 两者都需要重新启动服务器。 因此,即使紧急程度有所降低,我们本月仍将重新启动我们的 Office 服务器。
与 Exchange Server 相关的更新不需要进一步的操作。
微软开发平台
微软发布了 Visual Studio 平台的三个更新(CVE-2021-36952、CVE-2021-26437、CVE-2021-26434),均被评为重要。 通常,我们会查看这些更新并建议将它们添加到标准发布计划中。 但我们认为 CVE-2021-36952 和 CVE-2021-26434 需要快速响应,因为它们存在潜在的远程代码执行 (RCE) 和特权提升场景。
我想说 RCE 问题是今天的问题。 特权提升 (EOP) 问题是今天下午的问题。 将此 Microsoft 开发人员更新添加到您的“立即修补”计划中。 而且,是的,我们至少两年没有提出此建议。
Adobe(真的只是阅读器)
此部分以前的设置是为了处理多年来对 Adobe Flash 的大量(有时是痛苦的)更新。 随着最近(希望是最终的)更新包括 Flash 和 Shockwave 的 kill-bit,我们的想法是我们应该取消这一部分。 然而,Adobe Reader 是大多数企业桌面的核心组件,并可能在未来几年继续作为默认的 PDF 阅读器。
因此,我们不会专注于所有 Adobe 产品,而是处理 PDF(尤其是打印)和 Adobe Reader 的安全相关问题。 幸运的是,我们在 9 月份有大量的 Adobe 更新(我将“聚宝盆”留到 10 月份),特别关注 Acrobat。
Adobe 发布了 26 个更新,其中有 7 个被评为关键更新,因为它们与可能导致远程代码执行 (RCE) 场景的内存问题有关。 这些报告的漏洞存在一些严重问题,但都需要用户交互并且没有公开披露或利用的报告。 将这些 Adobe Reader 更新添加到您的“立即修补”更新发布周期。
而且,是的,这是我们第一次提出此建议。
