Das Patch Tuesday-Update von Microsoft für Dezember enthält 59 Fixes, darunter zwei Zero-Day-Fixes (CVE-2022-44698 und CVE-2022-44710), die auf der Windows-Plattform sofortige Aufmerksamkeit erfordern. Dies ist ein netzwerkzentriertes Upgrade (TCP/IP und RDP), das umfangreiche Tests mit Schwerpunkt auf ODBC-Verbindungen, Hyper-V-Systemen, Kerberos-Authentifizierung und Drucken (lokal und remote) erfordert.
Microsoft hat außerdem ein dringendes Out-of-Band-Update (CVE-2022-37966) veröffentlicht, um schwerwiegende Probleme mit der Kerberos-Authentifizierung zu beheben. (Das Readiness-Team hat eine hilfreiche Infografik bereitgestellt, die die mit jedem dieser Updates verbundenen Risiken umreißt.)
Und Windows Hot-Patching für Azure Virtual Machines (VMs) ist jetzt verfügbar.
Bekannte Probleme
Jeden Monat fügt Microsoft eine Liste bekannter Probleme im Zusammenhang mit dem Betriebssystem und den Plattformen hinzu, die in diesem Updatezyklus enthalten sind.
- ODBC: Nach der Installation des Dezember-Updates können Anwendungen, die ODBC-Verbindungen über den Microsoft ODBC SQL Server-Treiber (sqlsrv32.dll) für den Zugriff auf Datenbanken verwenden, möglicherweise keine Verbindung herstellen. Möglicherweise erhalten Sie die folgende Fehlermeldung: „EMS hat ein Problem festgestellt. Meldung: Unbekanntes Token von SQL Server empfangen.“
- RDP und Remote-Zugriff: Nach der Installation dieses Updates oder späterer Updates auf Windows-Desktopsystemen können Sie möglicherweise keine Verbindung mehr zu (Microsoft) Direct Access herstellen, nachdem Sie die Netzwerkverbindung vorübergehend verloren haben oder zwischen Wi-Fi-Netzwerken oder Zugriffspunkten gewechselt haben.
- Hyper-V: Nach der Installation dieses Updates auf Hyper-V-Hosts, die von System Center Virtual Machine Manager (VMM) verwaltet werden und für SDN konfiguriert sind, erhalten Sie möglicherweise einen Fehler in Arbeitsabläufen im Zusammenhang mit der Erstellung eines neuen Adapters (auch als Netzwerkschnittstellenkarte oder NIC bezeichnet). ), die mit einem Netzwerk virtueller Maschinen oder einer neuen virtuellen Maschine (VM) verbunden ist.
- Active Directory – Aufgrund zusätzlicher Sicherheitsanforderungen zur Behebung von Sicherheitslücken in CVE-2022-38042 werden neue Sicherheitsprüfungen für Domänen-Netjoin-Anfragen implementiert. Diese zusätzlichen Prüfungen können zu der folgenden Fehlermeldung führen: „Fehler 0xaac (2732): NERR_AccountReuseBlockedByPolicy: Ein Konto mit demselben Namen ist in Active Directory vorhanden. Die Sicherheitsrichtlinie hat die Wiederverwendung von Konten blockiert.“
Als Vorbereitung auf das Update dieses Monats für Windows 10- und 11-Systeme empfehlen wir Ihnen, eine Bewertung aller Anwendungspakete durchzuführen und auf eine Abhängigkeit von der Systemdatei SQLSRV32.DLL zu prüfen. Wenn Sie ein bestimmtes System überprüfen müssen, öffnen Sie eine Eingabeaufforderung und führen Sie den Befehl „tasklist /m sqlsrv32.dll“ aus. Hier sollten alle Prozesse aufgelistet sein, die von dieser Datei abhängen.
wichtige Überarbeitungen
Microsoft hat diesen Monat nur einen Hotfix veröffentlicht, ohne weitere Hotfixes für frühere Patches oder Updates.
- CVE-2022-37966 Windows Kerberos RC4-HMAC Elevation of Privilege Vulnerability – Zur Behebung eines bekannten Problems, bei dem die Kerberos-Authentifizierung für Benutzer-, Computer-, Dienst- und GMSA-Konten fehlschlagen kann, wenn sie von Windows-Domänencontrollern verwaltet werden. Diese Patch-Revision wurde als seltenes Out-of-Band-Update veröffentlicht und erfordert sofortige Aufmerksamkeit, falls sie nicht bereits behoben wurde.
Schadensbegrenzung und Problemumgehungen
Obwohl dieser Version mehrere Dokumentationsaktualisierungen und häufig gestellte Fragen hinzugefügt wurden, hat Microsoft nur eine Risikominderung veröffentlicht:
- CVE-2022-37976: Active Directory Certificate Elevation: Ein System ist nur dann anfällig für diese Sicherheitslücke, wenn die Active Directory Certificate Services-Rolle und die Active Directory Domain Services-Rolle auf demselben System-Netzwerkserver installiert sind. Microsoft hat eine Reihe von Registrierungsschlüsseln (LegacyAuthenticationLevel) veröffentlicht, die dazu beitragen können, die Oberfläche dieses Problems zu reduzieren. Hier erfahren Sie mehr darüber, wie Sie Ihre Systeme schützen können.
Testanleitung
Jeden Monat überprüft das Bereitschaftsteam die neuesten Updates und stellt Anleitungen zum Testen bereit. Diese Beratung basiert auf der Bewertung eines breiten Anwendungsportfolios und einer detaillierten Analyse von Microsoft-Patches und ihrer potenziellen Auswirkung auf Windows-Plattformen und Anwendungsinstallationen.
Angesichts der großen Anzahl von Änderungen, die in diesem Zyklus enthalten sind, habe ich die Testfälle in Hochrisiko- und Standardrisikogruppen eingeteilt.
Hohes Risiko: In diesem Monat hat Microsoft keine risikoreichen Funktionsänderungen aufgezeichnet. Das bedeutet, dass Sie keine größeren Änderungen an den Kern-APIs oder der Funktionalität einer der Kernkomponenten oder -anwendungen vorgenommen haben, die in den Windows-Desktop- und Server-Ökosystemen enthalten sind.
Generell empfehlen wir angesichts der Breite dieses Updates (Office und Windows), die folgenden Windows-Features und -Komponenten zu testen:
- Bluetooth: Microsoft hat zwei Sätze von Schlüssel-API/Header-Dateien für Bluetooth-Treiber aktualisiert, darunter: IOCTL_BTH_SDP_REMOVE_RECORD IOCTL und die DeviceIoControl-Funktion. Die wichtigste Testaufgabe hier ist das Ein- und Ausschalten von Bluetooth, um sicherzustellen, dass Ihre Datenverbindungen weiterhin wie erwartet funktionieren.
- Git – Das Git Virtual Filesystem (VfSForGit) wurde mit Änderungen an Datei- und Registrierungszuordnungen aktualisiert. Hier können Sie mehr über dieses wichtige (interne) Tool für Windows-Entwickler lesen.
Zusätzlich zu diesen Änderungen und Testanforderungen habe ich einige der schwierigeren Testszenarien für dieses Update aufgenommen:
- Windows-Kernel: Diesen Monat gibt es ein größeres Update für den Windows-Kernel (Win32kfull.sys), das sich auf die Benutzeroberfläche des Hub-Desktops auswirkt. Zu den wichtigsten festen Funktionen gehören das Startmenü, das Einstellungs-Applet und der Datei-Explorer. Angesichts des enormen Testumfangs der Benutzeroberfläche ist möglicherweise ein größerer Testpool für Ihre anfängliche Bereitstellung erforderlich. Wenn Sie Ihren Desktop oder Ihre Taskleiste immer noch sehen, betrachten Sie dies als positives Zeichen.
Nach dem Kerberos-Authentifizierungsupdate im letzten Monat wurden mehrere Probleme im Zusammenhang mit der Authentifizierung gemeldet, insbesondere bei Remote-Desktop-Verbindungen. Microsoft hat die folgenden Szenarien und damit verbundenen Probleme, die diesen Monat behandelt wurden, detailliert beschrieben:
- Die Benutzeranmeldung bei der Domäne kann fehlschlagen. Dies kann sich auch auf die Authentifizierung der Active Directory-Verbunddienste (AD FS) auswirken.
- Gruppenverwaltete Dienstkonten (gMSAs), die für Dienste wie Internetinformationsdienste (IIS-Webserver) verwendet werden, werden möglicherweise nicht authentifiziert.
- Remotedesktopverbindungen, die Domänenbenutzer verwenden, schlagen möglicherweise fehl.
- Sie können möglicherweise nicht auf freigegebene Ordner auf Arbeitsstationen und Dateifreigaben auf Servern zugreifen.
- Drucken, das eine Domänenbenutzerauthentifizierung erfordert, schlägt möglicherweise fehl.
Alle diese Szenarien erfordern umfangreiche Tests vor einer allgemeinen Veröffentlichung des Dezember-Updates.
Sofern nicht anders angegeben, müssen wir nun davon ausgehen, dass für jedes Patchday-Update grundlegende Druckfunktionen getestet werden müssen, darunter:
- Drucken von direkt angeschlossenen Druckern.
- Fügen Sie einen Drucker hinzu und löschen Sie dann einen Drucker (dies ist neu für Dezember).
- große Druckaufträge von Servern (insbesondere wenn es sich auch um Domänencontroller handelt).
- Ferndruck (mit RDP und VPN).
- Testen Sie physische und virtuelle Szenarien mit 32-Bit-Anwendungen auf 64-Bit-Maschinen.
Windows-Lebenszyklus-Update
Dieser Abschnitt enthält wichtige Wartungsänderungen (und die meisten Sicherheitsupdates) für Windows-Desktop- und Serverplattformen. Da es sich um ein Update zum Jahresende handelt, gibt es einige „End of Service“-Änderungen, darunter:
- Windows 10 (Enterprise, Home, Pro) 21H2 – 12. Dezember 2022.
- Windows 8.1 – 10. Januar 2023.
- Windows 7 SP1 (ESU) – 10. Januar 2023.
- Windows Server 2008 SP2 (ESU): 10. Januar 2023.
Jeden Monat unterteilen wir den Veröffentlichungszyklus in Produktfamilien (wie von Microsoft definiert) mit den folgenden grundlegenden Gruppierungen:
- Browser (Microsoft IE und Edge);
- Microsoft Windows (Desktop und Server);
- Microsoft Office;
- Microsoft Exchange Server;
- Microsoft-Entwicklungsplattformen (ASP.NET Core, .NET Core und Chakra Core)
- Adobe (im Ruhestand???, vielleicht nächstes Jahr),
Browser
Dem willkommenen Trend unkritischer Updates für Microsoft-Browser folgend, bietet dieses Update nur drei (CVE-2022-44668, CVE-2022-44708 und CVE-2022-41115), die alle als wichtig erachtet werden. Diese Updates wirken sich auf den Microsoft Chromium-Browser aus und sollten nur geringe oder geringfügige Auswirkungen auf Ihre Anwendungen haben. Fügen Sie diese Updates zu Ihrem Standard-Patch-Release-Zeitplan hinzu.
die Fenster
Microsoft hat diesen Monat Patches für das Windows-Ökosystem veröffentlicht, die drei kritische Updates (CVE-2022-44676, CVE-2022-44670 und CVE-2022-41076) behandeln, von denen 24 als wichtig und zwei als mäßig eingestuft werden. Leider haben wir diesen Monat diese zwei Zero Days, die Windows betreffen, mit Berichten, dass CVE-2022-44698 in freier Wildbahn ausgenutzt wird und CVE-2022-44710 öffentlich durchgesickert ist. Wir haben spezifische Testempfehlungen entwickelt und festgestellt, dass Probleme mit Kerberos-, Hyper-V- und ODBC-Verbindungen gemeldet wurden.
Fügen Sie dieses Update Ihrem „Patch Now“-Veröffentlichungsplan hinzu.
Microsoft Office
Microsoft hat zwei kritische Schwachstellen in SharePoint Server (CVE-202244693 und CVE-2022-44690) gepatcht, die relativ einfach auszunutzen sind und keine Benutzerinteraktion erfordern. Die verbleibenden zwei Schwachstellen betreffen Microsoft Visio (CVE-2022-44696 und CVE-2022-44695) und sind diskrete Änderungen mit geringen Auswirkungen. Sofern Sie nicht Ihre eigenen SharePoint-Server hosten (warum?), fügen Sie diese Updates von Microsoft Ihrem standardmäßigen Veröffentlichungszeitplan hinzu.
Microsoft Exchange Server
Microsoft hat keine Sicherheitsupdates, Fixes oder Schadensbegrenzungen für Microsoft Exchange Server veröffentlicht. Puh!
Microsoft-Entwicklungsplattformen
Microsoft hat diesen Monat zwei kritische Schwachstellen in Microsoft .NET (CVE-2022-41089) und PowerShell (CVE-2022-41076) behoben. Obwohl beide Sicherheitsprobleme als kritisch eingestuft werden, erfordern sie lokalen Administratorzugriff und gelten als schwierig und komplex auszunutzen. Mark Russinovichs Sysmon benötigt ebenfalls ein Update mit der Sicherheitslücke CVE-2022-44704 zur Rechteerweiterung und alle unterstützten Versionen von Visual Studio werden gepatcht. Fügen Sie diese Updates Ihrem standardmäßigen Veröffentlichungszeitplan für Entwickler hinzu.
Adobe Reader (noch verfügbar, aber nicht in diesem Monat)
Adobe hat drei Updates der Kategorie 3 (entspricht dem wichtigen Hinweis von Microsoft) für Illustrator, Experience Manager und Campaign (Classic) veröffentlicht. Diesen Monat gibt es keine Adobe Reader-Updates.
Copyright © 2022 IDG Communications, Inc.