Bản cập nhật Bản vá thứ Ba của tháng 6, được phát hành vào ngày 14 tháng 6, giải quyết 55 lỗ hổng trong Windows, SQL Server, Microsoft Office và Visual Studio (mặc dù có các bản cập nhật Microsoft Exchange Server hoặc Adobe trong tháng này). Và một lỗ hổng zero-day trong một thành phần chính của Windows, CVE-2022-30190, đã dẫn đến khuyến nghị “Patch Now” cho Windows, trong khi các bản cập nhật .NET, Office và SQL Server có thể được đưa vào lịch phát hành tiêu chuẩn.
Bạn có thể tìm thêm thông tin về rủi ro khi triển khai các bản cập nhật Bản vá thứ ba này trong đồ họa thông tin này.
Các tình huống thử nghiệm chính
Với số lượng lớn các thay đổi được bao gồm trong chu kỳ vá tháng 6 này, tôi đã chia ra các kịch bản thử nghiệm cho các nhóm rủi ro cao và rủi ro tiêu chuẩn.
Những thay đổi rủi ro cao này có khả năng bao gồm các thay đổi về chức năng, có thể không dùng đến các chức năng hiện có và có thể sẽ yêu cầu các kế hoạch thử nghiệm mới. Kiểm tra trình điều khiển đã ký của bạn bằng máy vật lý và máy ảo, (BIOS và UEFI) và trên tất cả các nền tảng (x86, 64-bit):
- Chạy các ứng dụng có mã nhị phân (.EXE và .DLL) đã được ký và chưa ký.
- Chạy các trình điều khiển đã được ký và chưa được ký. Trình điều khiển không được ký sẽ không tải. Trình điều khiển đã ký sẽ tải.
- Sử dụng trình điều khiển có chữ ký SHA-1 so với trình điều khiển có chữ ký SHA-2.
Mỗi chu kỳ kiểm tra rủi ro cao này phải bao gồm một quá trình tắt, khởi động lại và khởi động lại theo cách thủ công. Các thay đổi sau đây không được ghi nhận là bao gồm các thay đổi về chức năng, nhưng sẽ vẫn yêu cầu ít nhất “thử khói“trước khi triển khai chung:
- Kiểm tra điều khiển từ xa Bảo vệ thông tin xác thực các tình huống. (Các thử nghiệm này sẽ yêu cầu xác thực Kerberos và chỉ có thể được sử dụng với Giao thức RDP.)
- Kiểm tra máy chủ Hyper-V của bạn và khởi động / dừng / tiếp tục Máy ảo (VM) của bạn.
- Thực hiện các thao tác sao chép bóng bằng cách sử dụng VSS nhận biết sao lưu các ứng dụng trong một triển khai VSS từ xa qua SMB.
- Thử nghiệm triển khai các ứng dụng mẫu bằng cách sử dụng AADJ và Intune. Đảm bảo rằng bạn triển khai và thu hồi quyền truy cập như một phần của chu kỳ thử nghiệm của mình.
Ngoài các nguyên tắc kiểm tra tiêu chuẩn này, chúng tôi khuyên tất cả các ứng dụng cốt lõi phải trải qua chế độ kiểm tra bao gồm tự sửa chữa, gỡ cài đặt và cập nhật. Điều này là do những thay đổi đối với Windows Installer (MSI) trong tháng này. Không đủ bộ phận CNTT kiểm tra các chức năng cập nhật, sửa chữa và gỡ cài đặt trong danh mục ứng dụng của họ. Thật tốt khi thách thức từng gói ứng dụng như một phần của quy trình Đảm bảo chất lượng (QA) bao gồm các giai đoạn chính của vòng đời ứng dụng là cài đặt, kích hoạt, cập nhật, sửa chữa và sau đó gỡ cài đặt.
Không kiểm tra các giai đoạn này có thể khiến hệ thống CNTT ở trạng thái không mong muốn – ít nhất, nó sẽ là trạng thái không xác định.
Các vấn đề đã biết
Mỗi tháng, Microsoft bao gồm một danh sách các vấn đề đã biết liên quan đến hệ điều hành và các nền tảng bị ảnh hưởng trong chu kỳ này. Trong tháng này, có một số thay đổi phức tạp cần xem xét, bao gồm:
- Sau khi cài đặt bản cập nhật tháng 6 này, các thiết bị Windows sử dụng một số GPU nhất định có thể khiến các ứng dụng đóng đột ngột hoặc gây ra sự cố không liên tục. Microsoft đã xuất bản các bài báo KB cho Windows 11 (KB5013943) và Windows 10, phiên bản 21H2, tất cả các phiên bản (KB5013942). Chưa có giải pháp nào cho các vấn đề được báo cáo này.
- Sau khi cài đặt bản cập nhật của tháng này, một số ứng dụng .NET Framework 3.5 có thể gặp sự cố hoặc không mở được. Microsoft cho biết bạn có thể giảm thiểu vấn đề này bằng cách bật lại .NET Framework 3.5 và Windows Communication Foundation trong các tính năng của Windows.
Như bạn có thể biết, Microsoft đã xuất bản một cập nhật ngoài băng tần (OOB) vào tháng trước (vào ngày 19 tháng 5). Bản cập nhật này đã ảnh hưởng đến các tính năng mạng dựa trên Windows Server cốt lõi sau:
Các lỗ hổng bảo mật được giải quyết bởi bản cập nhật OOB này chỉ ảnh hưởng đến các máy chủ hoạt động như bộ điều khiển miền và máy chủ ứng dụng xác thực với máy chủ điều khiển miền. Nền tảng máy tính để bàn không bị ảnh hưởng. Do bản vá lỗi sớm hơn này, Microsoft đã khuyến nghị rằng Bản cập nhật của tháng 6 này sẽ được cài đặt trên tất cả các máy chủ ứng dụng hoặc trung gian chuyển chứng chỉ xác thực từ máy khách đã xác thực đến bộ điều khiển miền (DC) trước. Sau đó cài đặt bản cập nhật này trên tất cả các máy tính DC role. Hoặc điền trước CertificateMappingMethods đến 0x1F như được ghi lại trong thông tin khóa đăng ký phần của KB5014754 trên tất cả các DC. Xóa CertificateMappingMethods cài đặt đăng ký chỉ có sau khi bản cập nhật ngày 14 tháng 6 đã được cài đặt trên tất cả các máy chủ ứng dụng hoặc trung gian và tất cả các DC.
Bạn đã hiểu chưa? Tôi phải lưu ý với một cảm giác trớ trêu nhất định, rằng bộ hướng dẫn chi tiết, theo thứ tự cụ thể nhất mà Microsoft đã từng xuất bản (từ trước đến nay) lại bị chôn vùi sâu trong một bài báo kỹ thuật rất dài. Mong mọi người chú ý.
Các bản sửa đổi chính
Mặc dù chúng tôi có ít bản vá lỗi “mới” hơn được phát hành trong tháng này, nhưng có rất nhiều bản vá được cập nhật và mới phát hành từ những tháng trước, bao gồm:
- CVE-2021-26414: Bỏ qua tính năng bảo mật máy chủ Windows DCOM. Sau khi các bản cập nhật của tháng này được cài đặt, RPC_C_AUTHN_LEVEL_PKT_INTEGRITY trên máy chủ DCOM sẽ được bật theo mặc định. Khách hàng cần làm như vậy vẫn có thể vô hiệu hóa nó bằng cách sử dụng khóa đăng ký RequestIntegrityActivationAuthenticationLevel. Microsoft đã xuất bản KB5004442 để trợ giúp với các thay đổi cấu hình được yêu cầu.
- CVE-2022-23267: Lỗ hổng từ chối dịch vụ của NET và Visual Studio. Đây là một bản cập nhật nhỏ cho các ứng dụng bị ảnh hưởng (hiện đang ảnh hưởng đến nền tảng MAC). Không có thêm hành động cần thiết.
- CVE-2022-24513: Visual Studio Nâng cao lỗ hổng đặc quyền. Đây là một bản cập nhật nhỏ cho danh sách các ứng dụng bị ảnh hưởng (hiện đang ảnh hưởng đến nền tảng MAC). Không có thêm hành động cần thiết.
- CVE-2022-24527: Nâng cao đặc quyền của Microsoft Endpoint Configuration Manager. Bản cập nhật lớn cho bản vá này có một chút lộn xộn. Bản vá này đã được phân bổ nhầm cho nhóm cập nhật bảo mật Windows. Microsoft đã xóa trình quản lý Điểm cuối này khỏi nhóm Windows và đã cung cấp các tùy chọn sau để truy cập và cài đặt bản sửa lỗi nóng này:
- Nâng cấp lên chi nhánh hiện tại của Trình quản lý cấu hình, phiên bản 2203 (Bản dựng 5.00.9078), có sẵn dưới dạng bản cập nhật trong bảng điều khiển. Nhìn thấy Danh sách kiểm tra để cài đặt bản cập nhật 2203 cho Trình quản lý cấu hình để biết thêm thông tin.
- Áp dụng hotfix. Khách hàng đang chạy Trình quản lý cấu hình điểm cuối của Microsoft, phiên bản 1910 đến phiên bản 2111 không thể cài đặt Bản cập nhật trình quản lý cấu hình 2203 (Bản dựng 5.00.9078) có thể tải xuống và cài đặt bản sửa lỗi nóng KB12819689.
- CVE-2022-26832: Lỗ hổng từ chối dịch vụ .NET Framework. Bản cập nhật này hiện bao gồm phạm vi bảo hiểm cho các nền tảng bị ảnh hưởng sau: Windows 10 phiên bản 1607, Windows Server 2016 và Windows Server 2016 (cài đặt Server Core). Không có thêm hành động cần thiết.
- CVE-2022-30190: Công cụ chẩn đoán hỗ trợ của Microsoft Windows (MSDT) Lỗ hổng thực thi mã từ xa. Bản vá này mang tính cá nhân – chúng tôi đã bị ảnh hưởng bởi sự cố này với hiệu suất máy chủ tăng đột biến. Nếu bạn gặp sự cố với MSDT, bạn cần đọc phần MSRC Blog bưu kiện, trong đó bao gồm hướng dẫn chi tiết về các cập nhật và giảm thiểu. Để giải quyết các vấn đề của chúng tôi, chúng tôi đã phải vô hiệu hóa giao thức URL MSDT, giao thức này có các vấn đề riêng.
Tôi nghĩ rằng chúng tôi có thể làm việc một cách an toàn thông qua các bản cập nhật Visual Studio và các thay đổi của Trình quản lý cấu hình điểm cuối sẽ mất một thời gian để triển khai, nhưng cả hai thay đổi đều không có cấu hình thử nghiệm đáng kể. Các thay đổi của DCOM thì khác – chúng khó kiểm tra và thường yêu cầu chủ doanh nghiệp xác nhận không chỉ việc cài đặt / khởi tạo các đối tượng DCOM, mà còn là logic nghiệp vụ và các kết quả mong muốn. Đảm bảo rằng bạn có danh sách đầy đủ tất cả các ứng dụng có phụ thuộc DCOM và chạy qua kiểm tra logic nghiệp vụ, nếu không bạn có thể gặp một số bất ngờ khó chịu – với các tình huống khắc phục sự cố rất khó gỡ lỗi.
Giảm thiểu và giải quyết
Đối với bản vá thứ ba này, Microsoft đã xuất bản một cách giảm thiểu chính cho lỗ hổng Windows nghiêm trọng:
- CVE-2022-30136: Lỗ hổng thực thi mã từ xa của hệ thống mạng Windows. Đây là lần đầu tiên tôi thấy điều này, nhưng để giảm thiểu sự cố này, Microsoft thực sự khuyên bạn nên cài đặt bản cập nhật tháng 5 năm 2022 trước. Sau khi hoàn tất, bạn có thể giảm diện tích bề mặt tấn công của mình bằng cách tắt NFSV4.1 bằng lệnh PowerShell sau: “PS C: Set-NfsServerConfiguration -EnableNFSV4 $ false”
Thực hiện thay đổi này sẽ yêu cầu khởi động lại máy chủ đích.
Mỗi tháng, chúng tôi chia nhỏ chu kỳ cập nhật thành các họ sản phẩm (theo định nghĩa của Microsoft) với các nhóm cơ bản sau:
- Trình duyệt (Microsoft IE và Edge);
- Microsoft Windows (cả máy tính để bàn và máy chủ);
- Microsoft Office;
- Microsoft Exchange;
- Nền tảng phát triển của Microsoft (ASP.NET Core, .NET Core và Chakra Core);
- Adobe (đã nghỉ hưu ???, có thể vào năm sau).
Các trình duyệt
Chúng tôi đang thấy xu hướng được hoan nghênh là ngày càng có ít các bản cập nhật quan trọng hơn cho toàn bộ danh mục trình duyệt của Microsoft. Đối với chu kỳ này, Microsoft đã phát hành năm bản cập nhật đến Chromium phiên bản của Edge. Tất cả chúng đều có rủi ro thấp khi triển khai và giải quyết các lỗ hổng được báo cáo sau:
Yếu tố chính dẫn đến xu hướng đi xuống của các vấn đề bảo mật liên quan đến trình duyệt là sự suy giảm và hiện tại là Internet Explorer (IE) đã ngừng hoạt động. IE chính thức không còn được hỗ trợ kể từ tháng 7 này. Tương lai của các trình duyệt của Microsoft là Edge, theo Microsoft. Microsoft đã cung cấp cho chúng tôi một video tổng quan về sự ngừng hoạt động của Internet Explorer. Thêm các bản cập nhật trình duyệt Chromium / Edge này vào lịch phát hành ứng dụng tiêu chuẩn của bạn.
các cửa sổ
Với 33 trong số 55 bản cập nhật Bản vá thứ ba của tháng này, nền tảng Windows là trọng tâm chính – đặc biệt là với các bản cập nhật cấu hình thấp, rủi ro thấp cho Trình duyệt Microsoft, Office và các nền tảng phát triển (.NET). Các bản cập nhật Windows bao gồm nhiều chức năng, bao gồm: NTFS, Mạng Windows, thư viện codec (media), Hyper-V và các thành phần docker. Như đã đề cập trước đó, khó kiểm tra và khắc phục sự cố nhất sẽ là các bản cập nhật hạt nhân và hệ thống con bảo mật cục bộ (LSASS). Microsoft khuyến nghị một triển khai dựa trên vòng cách tiếp cận, sẽ hoạt động tốt cho các bản cập nhật của tháng này, chủ yếu do số lượng thay đổi cơ sở hạ tầng cốt lõi sẽ được chọn trong quá trình thử nghiệm sớm. (Microsoft đã xuất bản một video khác về những thay đổi trong tháng này đối với nền tảng Windows 11, tìm nơi đây.)
Microsoft đã sửa lỗi Windows bị khai thác rộng rãi Lỗ hổng zero-day Follina MSDT được báo cáo là CVE-2022-30190, đã đưa ra ba bản cập nhật quan trọng khác (CVE-2022-30136, CVE-2022-3063 và CVE-2020-30139) dẫn đến đề xuất “Patch Now”.
Microsoft Office
Microsoft đã phát hành bảy bản cập nhật cho nền tảng Microsoft Office (SharePoint, Excel và thư viện nền tảng Office Core), tất cả đều được đánh giá là quan trọng. Các bản cập nhật máy chủ SharePoint có rủi ro tương đối thấp, nhưng sẽ yêu cầu khởi động lại máy chủ. Ban đầu chúng tôi lo lắng về RCE lỗ hổng trong Excel, nhưng khi xem xét, có vẻ như “điều khiển từ xa” trong Thực thi mã từ xa đề cập đến vị trí của kẻ tấn công. Lỗ hổng Excel này giống lỗ hổng Thực thi Mã tùy ý hơn; do nó yêu cầu sự tương tác của người dùng và quyền truy cập vào hệ thống mục tiêu cục bộ, nên rủi ro sẽ giảm đi nhiều. Thêm các bản cập nhật Office cấu hình thấp này vào lịch triển khai bản vá chuẩn của bạn.
Máy chủ Microsoft Exchange
Chúng ta có một Cập nhật máy chủ SQL trong tháng này, nhưng không có bản cập nhật Microsoft Exchange Server nào cho tháng Sáu. Đây là một tin tốt.
Nền tảng phát triển của Microsoft
Microsoft đã phát hành một ứng dụng duy nhất, có rủi ro tương đối thấp (CVE-2022-30184) cập nhật lên nền tảng .NET và Visual Studio. Nếu bạn đang sử dụng máy Mac (tôi thích Phiên bản mã dành cho Mac), Microsoft khuyên bạn nên cập nhật lên Mac Visual Studio 2022 (vẫn còn trong bản xem trước) càng sớm càng tốt. Kể từ tháng 7 (vâng, tháng tới) phiên bản Mac của Visual Studio 2019 sẽ không còn được hỗ trợ nữa. Và có, việc mất hỗ trợ bản vá trong cùng tháng khi phiên bản tiếp theo được phát hành là rất khó. Thêm bản cập nhật .NET duy nhất này vào lịch phát hành bản vá phát triển tiêu chuẩn của bạn.
Adobe (thực sự, chỉ là Reader)
Không có bản cập nhật Adobe Reader hoặc Acrobat nào cho chu kỳ này. Adobe đã phát hành một bản tin an ninh cho các ứng dụng khác (không liên quan đến Acrobat hoặc PDF) – tất cả đều được Adobe đánh giá ở mức thấp nhất 3. Sẽ có rất nhiều công việc với máy in trong những tuần tới, vì vậy đây là một sự cứu trợ đáng hoan nghênh.
Bản quyền © 2022 IDG Communications, Inc.