Header Ads Widget

Ticker

6/recent/ticker-posts

El enfoque del martes de parches para abril: Windows y Exchange (nuevamente


El martes, MIcrosoft lanzó otra amplia serie de actualizaciones en sus ecosistemas de Windows, incluidas cuatro vulnerabilidades que afectan a Windows que se han divulgado públicamente y una falla de seguridad, supuestamente ya explotada, que afecta al kernel de Windows. Eso significa que las actualizaciones de Windows obtienen nuestra calificación más alta de "Parche ahora", y si tiene que administrar servidores Exchange, tenga en cuenta que la actualización requiere privilegios adicionales y pasos adicionales para completar.

También parece que Microsoft ha anunciado una nueva forma de implementar actualizaciones en cualquier dispositivo, donde sea que se encuentre, con Windows Update for Business Service . Para obtener más información sobre este servicio de administración basado en la nube, puede consultar este video de Microsoft  o estas preguntas frecuentes de Computerworld .  He incluido una infografía útil que este mes parece un poco torcida (de nuevo) ya que toda la atención debería estar en los componentes de Windows y Exchange.

Escenarios de prueba clave

Debido a la importante actualización de la utilidad Administración de discos de este mes (que consideramos de alto riesgo), recomendamos probar el formato de partición y las extensiones de partición. La actualización de este mes también incluye cambios en los siguientes componentes de Windows de menor riesgo:

  • Compruebe que los archivos TIFF, RAW y EMF se procesen correctamente debido a cambios en los códecs de Windows.
  • Prueba tus conexiones VPN.
  • Pruebe la creación de máquinas virtuales (VM) y la aplicación de instantáneas.
  • Pruebe la creación y el uso de archivos VHD.
  • Asegúrese de que todas las aplicaciones que dependen de la API de Microsoft Speech funcionen como se espera.

La pila de mantenimiento de Windows (que incluye Windows Update y MSI Installer) se actualizó este mes con CVE-2021-28437 , por lo que las implementaciones más grandes pueden querer incluir una prueba de funcionalidad de instalación, actualización, reparación automática y reparación en su cartera de aplicaciones.

Problemas conocidos

Cada mes, Microsoft incluye una lista de problemas conocidos relacionados con el sistema operativo y las plataformas incluidas en este ciclo de actualización. He hecho referencia a algunos problemas clave relacionados con las últimas versiones de Microsoft, que incluyen:

  • Al usar el Editor de métodos de entrada de japonés (IME) de Microsoft para ingresar caracteres Kanji en una aplicación que permite automáticamente la entrada de caracteres Furigana, es posible que no obtenga los caracteres Furigana correctos. Es posible que deba ingresar los caracteres de Furigana manualmente. Además, después de instalar KB4493509 , los dispositivos con algunos paquetes de idiomas asiáticos instalados pueden recibir el error "0x800f0982 - PSFX_E_MATCHING_COMPONENT_NOT_FOUND". Microsoft está trabajando en una resolución y proporcionará una actualización en una próxima versión.
  • Los dispositivos con instalaciones de Windows creadas a partir de medios personalizados sin conexión o imágenes ISO personalizadas pueden tener Microsoft Edge Legacy eliminado por esta actualización, pero no reemplazado automáticamente por el nuevo Microsoft Edge. Si necesita implementar ampliamente el nuevo Edge para empresas, consulte Descargar e implementar Microsoft Edge para empresas .
  • Después de instalar KB4467684 , es posible que el servicio de clúster no se inicie con el error "2245 (NERR_PasswordTooShort)" si la política de grupo "Longitud mínima de contraseña" está configurada con más de 14 caracteres.

Puede encontrar el resumen de problemas conocidos de Microsoft para esta versión en una sola página .

Revisiones importantes

Para este ciclo de actualización de abril, Microsoft publicó una única revisión importante:

  • CVE-2020-17049 - Vulnerabilidad de omisión de la característica de seguridad de Kerberos KDC: Microsoft está lanzando actualizaciones de seguridad para la segunda fase de implementación para esta vulnerabilidad. Microsoft ha publicado un artículo ( KB4598347 ) sobre cómo administrar estos cambios adicionales en sus controladores de dominio.

Mitigaciones y soluciones

A partir de ahora, no parece que Microsoft haya publicado ninguna mitigación o solución alternativa para esta versión de abril.

Cada mes, dividimos el ciclo de actualización en familias de productos (según la definición de Microsoft) con las siguientes agrupaciones básicas:

  • Navegadores (Microsoft IE y Edge);
  • Microsoft Windows (tanto de escritorio como de servidor);
  • Microsoft Office (incluidas las aplicaciones web y Exchange);
  • Plataformas de desarrollo de Microsoft ( ASP.NET Core, .NET Core y Chakra Core);
  • Y Adobe Flash Player (se retira),

Navegadores

Durante los últimos 10 años, hemos revisado los impactos potenciales de los cambios en los navegadores de Microsoft (Internet Explorer y Edge) debido a la naturaleza de las bibliotecas interdependientes en los sistemas Windows (tanto de escritorio como de servidores). Internet Explorer (IE) solía tener una integración directa (algunos dirían demasiado directa) con el sistema operativo, lo que significaba gestionar cualquier cambio en el sistema operativo (lo más problemático para los servidores). A partir de este mes, este ya no es el caso; Las actualizaciones de Chromium ahora son una entidad de aplicación y base de código separada, y Microsoft Edge (Legacy) ahora se eliminará automáticamente y se reemplazará con la base de código de Chromium. Puede leer más sobre este proceso de actualización (y eliminación) en línea .

Creo que esta es una buena noticia, ya que las constantes recompilaciones de IE y el perfil de prueba posterior fueron una gran carga para la mayoría de los administradores de TI. También es bueno ver que el ciclo de actualización de Chromium se está moviendo de un ciclo de seis semanas a un ciclo de cuatro semanas en sintonía con la cadencia de actualización de Microsoft. Dada la naturaleza de estos cambios en el navegador Chromium, agregue esta actualización a su programa de lanzamiento de parches estándar.

Microsoft Windows

Este mes, Microsoft trabajó para abordar 14 vulnerabilidades críticas en Windows y 68 problemas de seguridad restantes calificados como importantes. Dos de los problemas críticos se relacionan con Media Player; los 12 restantes se relacionan con problemas en la función de llamada a procedimiento remoto (RPC) de Windows. Hemos desglosado las actualizaciones restantes (incluidas las calificaciones importantes y moderadas) en las siguientes áreas funcionales:

  • Modo de núcleo seguro de Windows (Win32K);
  • Seguimiento de eventos de Windows;
  • Instalador de ventanas;
  • Componente de gráficos de Microsoft;
  • Windows TCP / IP, DNS, servidor SMB.

Para probar estos grupos funcionales, consulte las recomendaciones detalladas anteriormente. Para los parches críticos: probar Windows Media Player es fácil, mientras que probar las llamadas RPC tanto dentro como entre aplicaciones es otro asunto. Para empeorar las cosas, estos problemas de RPC, aunque no son susceptibles de gusanos, son serios individualmente y peligrosos como grupo. Como resultado de estas preocupaciones, recomendamos un programa de lanzamiento de "Parche ahora" para las actualizaciones de este mes.

Microsoft Office (y Exchange, por supuesto)

A medida que evaluamos las actualizaciones de Office para cada versión de seguridad mensual, las primeras preguntas que suelo hacer sobre las actualizaciones de Office de Microsoft son:

  • ¿Son las vulnerabilidades problemas de acceso remoto de baja complejidad?
  • ¿La vulnerabilidad conduce a un escenario de ejecución remota de código?
  • ¿El panel de vista previa es un vector esta vez?

Afortunadamente este mes, los cuatro problemas abordados por Microsoft este mes se califican como importantes y no han aterrizado en ninguno de los tres "contenedores de preocupaciones" anteriores. Además de estos conceptos básicos de seguridad, tengo las siguientes preguntas para esta actualización de Office de abril:

  • ¿Está ejecutando controles ActiveX?
  • ¿Está ejecutando Office 2007?
  • ¿Está experimentando efectos secundarios relacionados con el idioma después de la actualización de este mes?

Si está ejecutando controles ActiveX, no lo haga . Si está ejecutando Office 2007, ahora es un buen momento para pasar a algo compatible (como Office 365). Y, si tiene problemas de idioma, consulte esta nota de soporte ( KB5003251 ) de Microsoft sobre cómo restablecer la configuración de idioma después de la actualización. Las actualizaciones de Office, Word y Excel son actualizaciones importantes y requerirán un ciclo estándar de prueba / lanzamiento. Dada la menor urgencia de estas vulnerabilidades, le sugerimos que agregue estas actualizaciones de Office a su programa de lanzamiento estándar.

Desafortunadamente, Microsoft Exchange tiene cuatro actualizaciones críticas que necesitan atención. No es tan urgente como el mes pasado, pero les hemos dado una calificación de "Parche ahora". Se requerirá algo de atención al actualizar sus servidores esta vez. Ha habido una serie de problemas reportados con estas actualizaciones cuando se aplicaron a servidores con controles UAC en su lugar.

Cuando intenta instalar manualmente esta actualización de seguridad haciendo doble clic en el archivo de actualización (.MSP) para ejecutarlo en modo Normal (es decir, no como administrador), algunos archivos no se actualizan correctamente. Asegúrese de ejecutar esta actualización como administrador o su servidor puede quedar en un estado entre actualizaciones, o peor aún, en un estado deshabilitado. Cuando ocurre este problema, no recibe un mensaje de error ni ninguna indicación de que la actualización de seguridad no se instaló correctamente. Sin embargo, Outlook en la web (OWA) y el Panel de control de Exchange (ECP) pueden dejar de funcionar.

Este mes, definitivamente será necesario reiniciar sus servidores Exchange.

Plataformas de desarrollo de Microsoft

Microsoft ha lanzado 12 actualizaciones, todas calificadas como importantes para abril. Todas las vulnerabilidades abordadas tienen una  calificación CVSS alta de 7 o superior y cubren las siguientes áreas de productos de Microsoft:

  • Código de Visual Studio: herramientas de Kubernetes;
  • Visual Studio Code - Extensión de problemas y solicitudes de extracción de GitHub;
  • Visual Studio Code: extensión de Maven para Java.

Al observar estas actualizaciones y cómo se han implementado este mes, me resulta difícil ver cómo podría haber un impacto más allá de los cambios mínimos en cada aplicación. Microsoft no ha publicado pruebas críticas o mitigación para ninguna de estas actualizaciones, por lo que recomendamos un programa de lanzamiento estándar para "Desarrolladores" para ellas.

Adobe Flash Player

No lo puedo creer. No hay más noticias sobre las actualizaciones de Adobe. No hay vulnerabilidades de Flash locas para secuestrar su agenda este mes. Entonces, en palabras de mi lector de noticias favorito, No Gnus es un buen Gnus.

Retiraremos esta sección el próximo mes y dividiremos las actualizaciones de Office y Exchange en secciones separadas para facilitar la lectura.

 

Publicar un comentario

0 Comentarios