上周的补丁星期二以 73 个更新开始,但最终(到目前为止)进行了三个修订和一个后期添加 (CVE-2022-30138),本月共解决了 77 个漏洞。 与 4 月份发布的大量更新相比,我们看到修补 Windows 的紧迫性更大——尤其是在关键服务器和身份验证区域存在三个零日漏洞和几个非常严重的漏洞。 由于新的服务器更新技术,Exchange 也需要注意。
本月没有针对 Microsoft 浏览器和 Adobe Reader 的更新。 Windows 10 20H2(我们几乎不知道你们)现在不再支持。
您可以在此有用的信息图中找到有关部署这些星期二补丁更新的风险的更多信息,并且 MSRC 中心已在此处发布了有关其如何处理安全更新的良好概述。
[相关:如何将 Edge 替换为 Windows 10 中的默认浏览器——以及为什么不应该]
关键测试场景
鉴于这个 5 月的补丁周期包含大量更改,我将测试场景分为高风险组和标准风险组:
高风险:这些更改可能包括功能更改,可能会弃用现有功能,并且可能需要创建新的测试计划:
测试您的企业 CA 证书(新的和更新的)。 您的域服务器 KDC 将自动验证此更新中包含的新扩展。 寻找失败的验证!
此更新包括对驱动程序签名的更改,现在包括时间戳检查和验证码签名。 签名的驱动程序应该加载。 未签名的驱动程序不应该。 检查您的应用程序测试运行是否有失败的驱动程序加载。 也包括对已签名的 EXE 和 DLL 的检查。
以下更改未记录为包括功能更改,但在普遍部署 May 补丁之前仍需要至少进行“冒烟测试”:
使用 RRAS 服务器时测试您的 VPN 客户端:包括连接、断开连接(使用所有协议:PPP/PPTP/SSTP/IKEv2)。
测试您的 EMF 文件是否按预期打开。
测试您的 Windows 通讯簿 (WAB) 应用程序依赖项。
测试 BitLocker:在启用和禁用 BitLocker 的情况下启动/停止计算机。
验证您的凭据是否可通过 VPN 访问(请参阅 Microsoft Credential Manager)。
测试您的 V4 打印机驱动程序(尤其是在 CVE-2022-30138 之后到来的情况下)。
本月的测试将需要多次重新启动您的测试资源,并且应该包括 (BIOS/UEFI) 虚拟机和物理机。
已知的问题
Microsoft 包括影响此更新周期中包含的操作系统和平台的已知问题列表:
安装本月更新后,使用某些 GPU 的 Windows 设备可能会导致应用程序意外关闭,或在使用 Direct3D 版本 9 的应用程序中生成异常代码(模块 d3d9on12.dll 中的 0xc0000094)。微软已发布 KIR 组策略更新来解决此问题 以下 GPO 设置的问题:适用于 Windows 10 版本 2004、Windows 10 版本 20H2、Windows 10 版本 21H1 和 Windows 10 版本 21H2 的下载。
安装 2022 年 1 月 11 日或之后发布的更新后,使用 Microsoft .NET Framework 获取或设置 Active Directory 林信任信息的应用程序可能会失败或生成访问冲突 (0xc0000005) 错误。 似乎依赖于 System.DirectoryServices API 的应用程序受到了影响。
微软在通过有用的更新亮点视频讨论此版本的最新修复和更新时,确实提高了游戏水平。
主要修订
尽管与 4 月份相比,本月的补丁列表大大减少,但微软发布了三个修订版,包括:
CVE-2022-1096:Chromium:V8 中的 CVE-2022-1096 类型混淆。 此 3 月补丁已更新,包括对最新版本的 Visual Studio (2022) 的支持,以允许更新 webview2 内容的呈现。 不需要采取进一步行动。
CVE-2022-24513:Visual Studio 特权提升漏洞。 这个 4 月补丁已更新为包括所有支持的 Visual Studio 版本(15.9 到 17.1)。 不幸的是,此更新可能需要您的开发团队进行一些应用程序测试,因为它会影响 webview2 内容的呈现方式。
CVE-2022-30138:Windows 后台打印程序特权提升漏洞。 这只是信息更改。 不需要采取进一步行动。
缓解措施和解决方法
5 月,Microsoft 发布了一个针对严重 Windows 网络文件系统漏洞的关键缓解措施:
CVE-2022-26937:Windows 网络文件系统远程代码执行漏洞。 您可以通过禁用 NFSV2 和 NFSV3 来减轻攻击。 以下 PowerShell 命令将禁用这些版本:“PS C:\Set-NfsServerConfiguration -EnableNFSV2 $false -EnableNFSV3 $false。” 一旦完成。 您将需要重新启动 NFS 服务器(或者最好重新启动机器)。 要确认 NFS 服务器已正确更新,请使用 PowerShell 命令“PS C:\Get-NfsServerConfiguration”。
每个月,我们都会将更新周期分解为具有以下基本分组的产品系列(由 Microsoft 定义):
浏览器(Microsoft IE 和 Edge);
Microsoft Windows(台式机和服务器);
微软办公软件;
微软交易所;
Microsoft 开发平台(ASP.NET Core、.NET Core 和 Chakra Core);
Adobe(退休???,也许明年)。
浏览器
微软本月未发布其旧版 (IE) 或 Chromium (Edge) 浏览器的任何更新。 我们看到过去十年来困扰 Microsoft 的关键问题数量呈下降趋势。 我的感觉是,转移到 Chromium 项目对开发团队和用户来说无疑是“超级双赢”。
说到旧版浏览器,我们需要为 6 月中旬 IE 的退役做好准备。 我所说的“准备”是指庆祝——当然,在我们确保遗留应用程序不明确依赖于旧的 IE 渲染引擎之后。 请将“庆祝 IE 退役”添加到您的浏览器部署计划中。 你的用户会理解的。
视窗
Windows 平台本月收到 6 个重要更新和 56 个重要补丁。 不幸的是,我们也有三个零日漏洞:
CVE-2022-22713:Microsoft 的 Hyper-V 虚拟化平台中这个公开披露的漏洞需要攻击者成功利用内部竞争条件来导致潜在的拒绝服务场景。 这是一个严重的漏洞,但需要链接多个漏洞才能成功。
CVE-2022-26925:公开披露和报告为在野利用,此 LSA 身份验证问题是一个真正令人担忧的问题。 打补丁很容易,但测试配置文件很大,因此很难快速部署。 除了测试您的域身份验证之外,还要确保备份(和恢复)功能按预期工作。 我们强烈建议您查看有关此持续问题的最新 Microsoft 支持说明。
CVE-2022-29972:Redshift ODBC 驱动程序中的这个公开披露的漏洞非常特定于 Synapse 应用程序。 但是,如果你接触过任何 Azure Synapse RBAC 角色,则部署此更新是重中之重。
除了这些零日问题外,还有其他三个问题需要您注意:
CVE-2022-26923:Active Directory 身份验证中的这个漏洞不太“可蠕虫”,但很容易被利用,看到它很快受到积极攻击我不会感到惊讶。 一旦遭到破坏,此漏洞将提供对您整个域的访问权限。 这个赌注很高。
CVE-2022-26937:此网络文件系统错误的评级为 9.8,是今年报告的最高评级之一。 默认情况下不启用 NFS,但如果您的网络上有 Linux 或 Unix,您可能正在使用它。 修补此问题,但我们也建议尽快升级到 NFSv4.1。
CVE-2022-30138:此补丁在周二补丁后发布。 此后台打印程序问题仅影响旧系统(Windows 8 和 Server 2012),但需要在部署前进行大量测试。 这不是一个超级关键的安全问题,但基于打印机的问题的可能性很大。 在部署这个之前花点时间。
考虑到严重漏洞的数量和 5 月份的三个零日漏洞,请将本月的 Windows 更新添加到您的“立即修补”计划中。
微软办公软件
Microsoft 仅发布了四个 Microsoft Office 平台(Excel、SharePoint)更新,所有更新都被评为重要。 所有这些更新都难以利用(需要用户交互和本地访问目标系统)并且只影响 32 位平台。 将这些低调、低风险的 Office 更新添加到您的标准发布计划中。
微软交换服务器
Microsoft 发布了一个 Exchange Server 更新 (CVE-2022-21978),该更新被评为重要且似乎很难利用。 此特权提升漏洞需要对服务器进行完全身份验证的访问,到目前为止,还没有任何公开披露或在野利用的报告。
更重要的是,本月微软推出了一种更新 Microsoft Exchange 服务器的新方法,现在包括:
Windows Installer 补丁文件 (.MSP),最适合自动安装。
自解压、自动提升安装程序 (.exe),最适合手动安装。
这是为了解决 Exchange 管理员在非管理员上下文中更新其服务器系统导致服务器状态不佳的问题。 新的 EXE 格式允许命令行安装和更好的安装日志记录。 Microsoft 发布了以下 EXE 命令行示例,很有帮助:
“Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains”
请注意,Microsoft 建议您在使用新的 EXE 安装格式之前拥有 %Temp% 环境变量。 如果您遵循使用 EXE 更新 Exchange 的新方法,请记住您仍然需要(单独)部署每月 SSU 更新以确保您的服务器是最新的。 将此更新(或 EXE)添加到您的标准发布计划中,确保在所有更新完成后执行完全重启。
微软开发平台
Microsoft 发布了五个评级为重要的更新和一个评级为低的补丁。 所有这些补丁都会影响 Visual Studio 和 .NET 框架。 由于您将更新 Visual Studio 实例以解决这些报告的漏洞,我们建议您阅读 Visual Studio 4 月更新指南。
要从安全角度了解有关解决的具体问题的更多信息,2022 年 5 月的 .NET 更新博客文章将会很有用。 请注意,.NET 5.0 现已终止支持,在您升级到 .NET 7 之前,可能值得检查一些需要解决的兼容性或“重大更改”。 将这些中等风险更新添加到您的标准更新计划中。
Adobe(真的只是阅读器)
我认为我们可能会看到一种趋势。 本月没有 Adobe Reader 更新。 也就是说,Adobe 已经发布了一些其他产品的更新,可以在此处找到:APSB22-21。 让我们看看 6 月会发生什么——也许我们可以同时淘汰 Adobe Reader 和 IE。
