由于本周发布的二月补丁星期二集合中只有 53 个更新——并且没有针对 Microsoft 浏览器的更新——你会认为我们又度过了一个轻松的月份(在轻松的 12 月和 1 月之后),这是情有可原的。 尽管更新和补丁的数量低于平均水平,但已公开披露了四个漏洞,我们看到越来越多的漏洞利用报告。
简而言之:这是一个重要的重大更新,需要立即关注并对测试和部署做出快速响应。
例如,Microsoft 刚刚发布了带外更新以修复导致蓝屏死机 (BSOD) 的 Wi-Fi 问题。 除非快速解决,否则有人会遇到麻烦。 我们提供了一个有用的信息图,这个月看起来有点不平衡(再次),因为所有的注意力都应该放在 Windows 组件上
[如何保护 Windows 10 和 11 PC 免受勒索软件侵害]
关键测试场景
我们与 Microsoft 合作开发了一个系统,该系统可以查询 Microsoft 更新并将每个月发布的任何文件更改(增量)与我们的测试库进行匹配。 结果是一个“热点”矩阵,有助于推动我们的投资组合测试过程。 本月,我们对周二补丁发布的分析生成了以下测试场景:
本月预计不会发生高风险的功能变化,但我们建议采用以下测试制度:
Exchange Server 测试——确保您的服务按预期运行。
.NET — 确保包含对象的引用计数正确:Windows 运行时 C++ 模板库 (WRL) | 微软文档。
加密库更改需要测试 PFX 证书导出过程:创建 PFX 证书配置文件 – Configuration Manager | 微软文档。
更新备份和还原引擎,需要测试:Windows (microsoft.com) 中的文件历史记录。
测试在 Microsoft 照片和文件资源管理器以及处理此文件类型的任何其他应用程序中打开和查看 .ORF(奥林巴斯原始文件)和 .CR2(佳能原始文件)图像。
创建隔离的 Hyper-V 容器:隔离模式 | 微软文档
更新到 Windows 更新过程将需要验证 Microsoft 更新过程通过 VPN 工作。
已知的问题
每个月,Microsoft 都会包含一份与此更新周期中包含的操作系统和平台相关的已知问题列表。 我提到了一些与 Microsoft 最新版本相关的关键问题,包括:
Microsoft .NET (4.x):如果您仍在使用 Windows 7(或 Server 2008),Microsoft 发布了关于 WPF 应用程序崩溃的说明,该说明适用于所有当前支持的 .NET 版本。
Windows 10 1809、1909 和 2004:将设备从 Windows 10 版本 1809 或更高版本更新到较新版本的 Windows 10 时,系统和用户证书可能会丢失。这可能是混合使用不同更新的媒体和安装的结果 /修补方法。 结果可能意味着某些驱动程序和设备在更新后可能无法启动或无法正常运行。
您还可以在单个页面中找到 Microsoft 对此版本的已知问题的摘要。
[‘IT 有一个新的’It Crowd’:加入 CIO Tech Talk 社区]
主要修订
本月,我们对之前的更新进行了几项重大修订,可能需要您注意:
CVE-2020-1472:此服务器更新可追溯到去年 8 月 11 日,当时发布了分为两部分的更新中的第一部分。 这是一个超级复杂的更新,需要进行一些研究(阅读:MS-NRPC)并且需要对您的站点配置进行一些更改(请参阅:如何管理与 CVE-2020-1472 相关的 Netlogon 安全通道连接的更改) . 我认为本周是所有受影响服务器的受限安全模型的实施阶段,因此需要进行一些规划和部署工作。
CVE-2020-17162:Microsoft 在 9 月解决了此安全漏洞,但忘记将文档包含在更新周期中。 这只是一个信息更新。 无需采取进一步行动。
CVE-2021-1692:此 Microsoft CVE 条目已更新以涵盖 Windows 10 1803(之前已省略)。 如果您运行的是更高版本的 Windows 10,则无需执行进一步操作。
缓解措施和解决方法
本月,Microsoft 发布了一些复杂而重要的缓解措施和解决方法,尤其是针对企业 IT 管理员的:
CVE-2021-24094 和 CVE-2021-24086:Microsoft 提供了一种相当技术性的解决方法来缓解此漏洞,包括在您的服务器上运行以下命令“Netsh int ipv6 set global reassemblylimit=0”。 相关的 MSRC 博客指出:“IPv4 解决方法只需要进一步加强对源路由的使用,这在 Windows 默认状态下是不允许的。” 此解决方法也记录在 CVE-2021-24074 中,可以通过组策略或运行不需要重启的 NETSH 命令来应用。 处理此问题时需要阅读大量资料,此处提供了更多信息。
CVE-2021-24077:此更新涉及 Microsoft 传真服务和相关驱动程序。 此处提供的解决方法是停止传真服务。 (嘿,谁再使用 FAX 了?)我认为这是个好主意,因为整个 Windows 子系统很容易被滥用。 除了安全问题之外,由于 XDDM 驱动程序弃用和兼容性问题,一些遗留的传真相关驱动程序在更高版本的 Windows 10 上不再受支持。 对您的应用程序组合运行服务依赖扫描,查看哪些应用程序受到影响。 (提示:Castelle Faxpress)。
每个月,我们都会将更新周期分解为具有以下基本分组的产品系列(由 Microsoft 定义):
浏览器(Microsoft IE 和 Edge);
Microsoft Windows(台式机和服务器);
Microsoft Office(包括 Web Apps 和 Exchange);
Microsoft 开发平台(NET Core、.NET Core 和 Chakra Core);
Adobe Flash 播放器。
浏览器
本月,微软还没有(再一次)对其内部浏览器发布任何更新。 相反,我们受益于开源 Chromium 团队的“早期和经常”发布周期,自我们上次星期二补丁发布以来进行了以下(多次)更新:
2月5日:微软发布最新的Microsoft Edge Stable Channel(版本88.0.705.63)。 此更新包括最新的 Chromium 安全更新,据报道其中的 CVE-2021-21148 已被广泛利用。
2月4日:微软发布最新的Microsoft Edge Stable Channel(版本88.0.705.62),其中包含最新的Chromium安全更新。
1月21日:微软发布最新的Microsoft Edge Stable Channel(版本88.0.705.50),
所有这些更新都很好地包含在 Chromium 桌面库中,根据我们的研究,我们发现很难想象它们会影响其他应用程序或导致兼容性问题。 将这些更新添加到您的标准发布计划中。
微软Windows
Windows 生态系统的这个 2 月更新周期带来了 9 个更新,其中 9 个更新被评为关键,18 个更新为中等,其余被 Microsoft 评为低。 不同寻常的是,本月公开披露了四项 Windows 更新,尽管所有更新都被评为重要:CVE-2021-1733、CVE2021-1727、CVE-2021-24098 和 CVE-2021-24106。 引用 Microsoft MSRC 的话:“我们相信攻击者将能够更快地创建 DoS 攻击,并预计所有三个问题都可能在发布后不久被 DoS 攻击利用。因此,我们建议客户迅速采取行动,在本月应用 Windows 安全更新。 “
除了这些已经涉及的披露之外,以下两个漏洞已被报告为在野利用:
CVE-2021-1732:Windows Win32k 特权提升漏洞。
CVE-2021-1647:Microsoft Defender 远程代码执行漏洞。
尽管我们只有九个更新被 Microsoft 评为关键更新,但它们会影响 Windows 桌面的核心区域,包括:
Microsoft 图形组件 (CVE-2021-24093)。
Windows TCP/IP (CVE-2021-24074)。
DNS 服务器 (CVE-2021-24078)。
Microsoft Windows 编解码器库 (CVE-2021-24081)。
Windows 后台打印程序组件 (CVE-2021-24088)。
其余功能分组受微软重要更新的影响
Windows 加密库和 PFX 加密。
Windows 传真服务。
Windows 安装程序。
Windows 备份引擎。
Windows PowerShell。
Windows 事件跟踪。
按照上面列出的测试建议,我会将此更新作为优先事项,并指出这些更新的测试周期可能需要深入分析、一些硬件(打印)和远程用户(通过 VPN 进行测试)。 将这些 Windows 更新添加到您的“部署前测试”更新发布计划中。
微软办公软件
Microsoft 已针对 Microsoft Office 和 SharePoint 平台发布了 11 个更新,所有更新都被评为重要更新,涵盖以下应用程序或功能组:
Microsoft Office(CVE-2021-1711、CVE-2021-1713 – CVE-2021-1716)。
Microsoft Office SharePoint(CVE-2021-1641、CVE-2021-1707、CVE-2021-1712、CVE-2021-1718 – CVE-2021-1719)。
微软 SQL 服务器 (CVE-2021-1636)。
SharePoint 已知问题:如果您的自定义 SharePoint 页面使用 SPWorkflowDataSource 或 FabricWorkflowInstanceProvider 用户控件,则这些页面上的某些功能可能无法运行。 要解决此问题,请参阅知识库文章 5000640。将这些更新添加到您的常规 Office 更新计划中。
微软开发平台
Microsoft 发布了八个 Microsoft 开发平台更新,其中两个被评为关键,其余六个被评为重要。 它们影响以下平台或应用程序:
.NET Core 和 .NET Framework(CVE-2021-26701、CVE-2021-1721、CVE-2021-24111、CVE-2021-24112)。
SysInternals (CVE-2021-1733)。
Visual Studio(CVE-2021-26700 和 CVE-2021-1639)。
不幸的是,有许多报告称 .NET 的最新安全汇总更新(对于所有受支持的版本)导致 WP 应用程序崩溃并出现以下错误:
“异常信息:System.Windows.Interop.HwndMouseInputProvider.HasCustomChrome(System.Windows.Interop.HwndSource,RECT ByRef)处的 System.NullReferenceException”
微软已经发布了一个避免崩溃的变通办法,但这个变通办法重新引入了更新修复的漏洞。 不好。 两个关键的开发工具更新(CVE-2021-24112 和 CVE-2021-26701)都需要本地访问,而后者已被报告为在野外被利用。 虽然一些 Visual Studio(图形库)漏洞可能导致相对容易的远程代码执行(RCE)攻击,但微软表示这些漏洞不适用于现有的 Windows 库。 这些更新是为了防止开发代码中出现未来的安全问题。
尽管有这些未来的验证工作,但对这些公开利用的漏洞仍有足够的关注以提出“立即修补”建议。
Adobe Flash 播放器
本月 Adobe 发布了 Acrobat 和 Reader、Dreamweaver、Photoshop、Illustrator、Animate 和 CMS 系统 Magento 的更新。 我认为大多数企业的重点应该放在 Adobe Reader 的安全修复上,有 23 个更新,其中 7 个被 Adobe 评为关键。
Adobe 报告称,一个严重等级漏洞 (CVE-2021-21017) 已被报告为在野外被利用(在 Windows 桌面上)。 这是 Adobe Reader 的重大更新,可能需要在部署前进行一些测试,这可能会导致此发布周期令人头疼,因为 Adobe 建议在发布后 72 小时内部署此更新。
将 Adobe Reader 更新添加到您的“Patch Now”发布计划中。
