Header Ads Widget

Ticker

6/recent/ticker-posts

Que no cunda el pánico, pero haz que el martes de parches de este mes sea una prioridad

Con 113 actualizaciones de Patch Tuesday de este mes, hay mucho por hacer.


Dado que llegaron 113 actualizaciones para el martes de parches de abril, los administradores de TI tienen mucho que hacer. Para los sistemas más antiguos, los problemas de fuentes de Adobe ( CVE-2020-0938 ,  CVE-2020-1020 ) deben recibir atención inmediata. Los cambios en el controlador de secuencias de comandos de Windows y el motor de secuencias de comandos Chakra basado en el navegador pueden requerir algunas pruebas adicionales para las aplicaciones internas.

Las actualizaciones de Office de este mes tienen un impacto relativamente bajo a menos que esté ejecutando un servidor de SharePoint, que luego requerirá una serie de actualizaciones, lo que llevará a un reinicio del servidor. Con tres (hasta ahora) días cero y una serie de parches críticos relacionados con la memoria para Windows, mi consejo es: que no cunda el pánico. Primero, aplique parches a los sistemas más antiguos. Pruebe las aplicaciones principales en busca de dependencias de secuencias de comandos y luego programe las actualizaciones restantes de acuerdo con su ciclo de actualización normal.

Problemas conocidos
Cada mes, Microsoft incluye una lista de problemas conocidos relacionados con el sistema operativo y las plataformas incluidas en este ciclo de actualización. He hecho referencia a algunos problemas clave relacionados con las últimas versiones de Microsoft, que incluyen:

CVE-2020-0760 : El problema más importante con el ciclo de parches de este mes es el cambio en la forma en que Microsoft maneja el código VBScript en Office. Puede leer más sobre algunos de estos cambios y  cómo las actualizaciones de abril afectan a Office . 
KB4549949 : Después de instalar KB4493509, los dispositivos con algunos paquetes de idiomas asiáticos instalados pueden recibir el error "0x800f0982 - PSFX_E_MATCHING_COMPONENT_NOT_FOUND". Microsoft está trabajando en una resolución y proporcionará una actualización en una próxima versión.
KB4550930 : Las actualizaciones de Windows Server (solo seguridad) pueden encontrar problemas con la implementación de instalaciones de aplicaciones mediante objetos de directiva de grupo (GPO) y paquetes de instalación de MSI.
KB4550929 : Después de instalar KB4467684, es posible que el servicio de clúster no se inicie con el error "2245 (NERR_PasswordTooShort)" si la política de grupo "Longitud mínima de contraseña" está configurada con más de 14 caracteres. Este problema solo afectará a las versiones anteriores de Windows Server.
También puede encontrar el resumen de problemas conocidos de Microsoft  para esta versión . 

Revisiones importantes
Microsoft solo ha publicado una revisión importante para abril por motivos de documentación:

CVE-2020-0905 : En la tabla Actualizaciones de seguridad, Microsoft corrigió los vínculos de descarga para los siguientes productos: Microsoft Dynamics NAV 2018, Microsoft Dynamics 365 BC On, Premise, Dynamics 365 Business Central 2019 Spring Update y Dynamics 365 Business y Central 2019 Lanzamiento de Wave 2 (local).
No es necesario realizar ninguna otra acción para todas estas revisiones importantes si utiliza las actualizaciones automáticas de Microsoft.

Cada mes, desgloso el ciclo de actualización en familias de productos (según lo define Microsoft) con las siguientes agrupaciones básicas:

  • Navegadores (Microsoft IE y Edge)
  • Microsoft Windows (tanto de escritorio como de servidor)
  • Microsoft Office (incluidas aplicaciones web y Exchange)
  • Plataformas de desarrollo de Microsoft (  ASP.NET  Core, .NET Core y Chakra Core) 
  • Adobe Flash Player
Navegadores
Microsoft ha lanzado dos actualizaciones críticas para sus navegadores este mes ( CVE-2020-0969  y  CVE-2020-0970 ). Ambas actualizaciones se relacionan con el manejo de la memoria en los motores Chakra o VB Scripting. Ambas vulnerabilidades requieren que el usuario visite un sitio web especialmente diseñado y luego tome una serie de pasos para ser víctima de estas vulnerabilidades difíciles de explotar. Agregue estas actualizaciones a su programa habitual de lanzamiento de parches. 

Microsoft Windows
Microsoft lanzó una gran cantidad de actualizaciones para el ecosistema de Windows, con siete reportadas como críticas y 59 como importantes, lo que posiblemente conduzca a una mayor tendencia de revisiones casi inmediatas al ciclo de lanzamiento de parches con (al menos) un cambio en el número y la naturaleza. de los parches de Microsoft. Entonces, hemos pasado de un  día cero  para abril a tres en el espacio de unas pocas horas. Las siguientes vulnerabilidades de Microsoft ahora están calificadas como de día cero y requerirán atención inmediata:

CVE-2020-1027 : una vulnerabilidad de manejo de memoria en el kernel de Windows.
CVE-2020-0938 : Manejo de problemas con fuentes Adobe Type PostScript.
CVE-2020-0968 : El manejo de secuencias de comandos de la memoria puede llevar a la ejecución de código arbitrario
CVE-2020-1020 : Otro problema con las fuentes de Adobe, esta vez con una posible mitigación.
Si está ejecutando un sistema más antiguo (anterior a Windows 10), el parche más urgente es CVE-2020-1020, que requerirá reiniciar todos los sistemas afectados. Microsoft ha ofrecido una serie de soluciones en caso de que las actualizaciones de estas máquinas heredadas se retrasen, entre ellas:

  • Deshabilite el panel de vista previa y el panel de detalles en el Explorador de Windows.
  • Deshabilite el servicio WebClient.
  • Deshabilite la clave de registro ATMFD mediante un script de implementación administrado.
  • Desactive la clave de registro ATMFD manualmente.
  • Cambie el nombre de ATMFD.DLL.
Todas estas acciones requerirán una sobrecarga de administración significativa y pueden causar problemas de compatibilidad de aplicaciones o conducir a escenarios difíciles de resolución de problemas. Puede leer más sobre cómo manejar este problema en particular en el aviso de seguridad de Microsoft (recientemente) revisado:  ADV200006 . 

Si está ejecutando servidores y escritorios Windows más modernos, la situación es diferente. Tenga en cuenta que, a pesar de que se ha informado que estas vulnerabilidades de alto perfil se explotaron en la naturaleza, es poco probable que comprometan los sistemas modernos bien parcheados, por lo tanto, la calificación de importantes para estos parches por parte de Microsoft. Mi recomendación: agregue estas actualizaciones de Windows a su ciclo de parches regular, pero prepárese para algunas actualizaciones y cambios más en los próximos días de Microsoft. Pruebe los cambios de secuencias de comandos (Chakra y VBScript) en su línea de negocio o aplicaciones centrales antes de la implementación completa.

Microsoft Office
Abril es un gran mes de actualizaciones para Microsoft Office con 28 actualizaciones y, inusualmente, cinco informaron como críticas. Afortunadamente, todas las vulnerabilidades críticas (y la mayoría de las restantes) de este mes se relacionan con el servidor de Microsoft SharePoint, que debería estar protegido por la mayoría de los firewalls corporativos. Los parches restantes se relacionan con Microsoft Word y Excel con problemas de manejo de memoria y manejo de entrada (saneamiento) bastante estándar que podrían llevar a la ejecución de código arbitrario desde un usuario remoto (desde Internet).

El enfoque de este mes debe estar en parchar los escritorios y agregar las actualizaciones de su servidor a un plan de actualización regular.

Plataformas de desarrollo de Microsoft
Microsoft ha publicado solo tres actualizaciones para sus plataformas de desarrollo, dos de las cuales afectan a Visual Studio y una última, más seria, en la  biblioteca de criptografía MSR Javascript . Todas estas actualizaciones son consideradas importantes por Microsoft. Sin embargo, la biblioteca de criptografía MSR se ha actualizado recientemente (además de estos parches recientes) y es posible que deba probar sus paquetes internos antes de implementar esta actualización. Puede encontrar una lista de cambios en el repositorio de MSR Git  aquí . 

Adobe Flash Player
Tenga en cuenta que estos son tiempos serios (después de todo, es una pandemia), y dado que Google no lanzó su broma habitual  del día de los inocentes , Adobe decidió que tomarían un descanso muy necesario. No hay actualizaciones de Adobe para las plataformas de Microsoft este mes.


Publicar un comentario

0 Comentarios