Как стать автором
Обновить

Patch Tuesday: Microsoft выпустила январские обновления безопасности

Время на прочтение4 мин
Количество просмотров5.5K
Всего голосов 7: ↑5 и ↓2+4
Комментарии58

Комментарии 58

А еще есть те, кто откатывает всякие глючные поделия, которые то сетевые принтеры уронят, то еще что-то сделают :)

С принтерами утомили проблемы уже:) Надеюсь это временный шторм

У нас нет информации о том, что январские обновления потенциально приводят к проблемам с принтерами. Ранее известные проблемы с доступом к сетевым принтерам были разрешены в ноябрьском и декабрьском выпусках прошлого года.

Вот если б вы ещё известные проблемы в этих постах перечисляли с комментариями, что с ними предлагается делать простому админу, у которого внезапно на новый год почта отъехала, а при выходе на работу после праздников половина народу не смогла по удаленке зайти, цены бы вам не было. А просто постить об очередном patch thuesday... "ну, такое", как принято сейчас говорить. :)

Может кто знает именно такой канал (где бы коротенько, без маркетинга и прочей шелухи, описывались апдейты и их реальная польза и последствия)? Или, может, кто ведёт список реально «кровь-из-носу» необходимых апдейтов для виндов (со ссылками на www.catalog.update.microsoft.com)?

Из-за того, что текущая модель поддержки жизненного цикла ОС Microsoft подразумевает накопительные пакеты обновлений, для того, чтобы закрыть одну из уязвимостей нужно установить кумулятивный пакет обновлений за текущий месяц. Так что нужный апдейт практически всегда это накопительный пакет или пакет со всеми обновлениями безопасности за текущий месяц. Иногда еще нужно установить внеочередные обновлений, как, например, в январе сего года.

Информация о выявленных потенциальных проблемах с установкой обновлений по своей природе динамична и постоянно изменяется. Я всегда даю ссылку на актуальный список обновлений KB из текущего релиза, с которыми связаны потенциальные проблемы. После релиза можно следить за обновленной информацией на портале Windows Release Health (он для этого и был создан) https://aka.ms/wri.

Это им вы уронили VPN?
Безопасно!

Как сделать компьютер безопасным? Работать через Линукс!

Разумеется, только под root :D

НО я говорю про другое... Работая в Линукс ты контролируешь свой компьютер. У тебя не возникает ощущения что "твой компьютер тебе не принадлежит".

Недавний кейс, который я поймал по поводу "уважения" к пользователю от MS. Я работаю в школе и к сожалению вынужден работать в Windows. Начинается урок, включаются компьютеры и один компьютер заявляет "Установлено обновление. Введите аккаунт". Я захожу в аккаунт - " Возможно, вы считаете, что это лишнее......но мы должны убедиться, что вы сможете получить код безопасности даже при утрате доступа к этой учетной записи. "

Да, чёрт побери!, я считаю это лишним. Я не считаю нужным доказывать, что я не верблюд особенно на системе, которая раз в четверть сносится на ноль. Я не хочу тратить время урока на ваши обновления безопасности. Я вообще хочу обходиться локальными учетными записями, но "Нельзя!". От того что MS собирает на меня досье, чтобы потом торговать данными на право и на лево, я должен терпеть такие унижения? Извините, но у вас система не бесплатная! Бесплатные системы ведут себя ГОРАЗДО приличнее.
Это тот баттхёрт который я поймал сейчас утром и пишу по горячим следам.

Довелось как-то работать в школе. Обновления ставились вручную, системы посреди урока никогда не просились перезагрузиться, винды не сносились (даже сделанные образы системы не пригодились). Что я делал не так?

И зачем мне "контроллировать свой компьютер", если я банально в НОРМАЛЬНЫЕ игрушки (а не гонки на пингвинах и кучу аналогов кваки) поиграть не могу? В те же AAA проекты, в WoW тот же?

Зачем взрослому человеку играть в игрушки? Нет, безусловно это ваше право, но не понимаю.

А вот хочу играть и играю.

Или взрослые обязаны только водку жрать да хрючево бухать, не развлекаясь, не отдыхая после работы (или отдыхая вышеупомянутой водкой и скандалами семейными)?

На линуксе так-то отлично работают AAA, лично играл в киберпанк2077 на манжаро.

А старые игры под Вайн часто идут лучше, чем на современных окнах.

Однако достаточно небольшая часть игра портируется и вайн не всегда является панацеей

https://www.protondb.com/ говорит, что 77% из топ-1000 игр по популярности имеют уровень поддержки gold (работают после небольших твиков), platinum (поддерживаются из коробки) или native (запускаются нативно, без wine/proton). Я бы не стал категорично заявлять, что отсутствие поддержки 23% игр на линуксе является блокером на переход туда.

Есть нюанс, что многие игроки на самом деле играют всегда в ОДНУ и ту же игру, а в остальные достаточно мало. И если её нет - то это блок. Самое печальное, что это чаще всего касается онлайн игр и срабатывания античита при запуске через вайн. Ну и есть разница между "ткнул в стиме установить, попил чай и играю" и потвикал в вайн. Хотите Вы или нет, но порог вхождения решает (понятно, что не в случае аудитории этого сайта)

Статистика из стим говорит, что на винде играют 81,74%. И каждый год доля линукса растёт :)

НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь

К вопросу об организации компьютеров общего пользования в школах есть возможностей автоматически откатывать все изменения, сделанные в течении рабочего сеанса, после перезагрузки ОС. То есть Вы делаете "золотой" образ ОС, настраиваете всё, что нужно, запускаете школьных "хакеров" на урок, после урока перезагружаете ОС и все изменения откатываются к "золотому" состоянию, настроенному администратору. Реализуется это за счет функции Unified Write Filer, которая есть в поставке Windows 10 Education, но не включена по умолчанию. Подробнее можно почитать в нашей статье Unified Write Filter (UWF) feature (unified-write-filter) | Microsoft Docs.

И пример подобной настройки Windows 10 Unified Write Filter с описанием процесса создания исключений для конкретных папок и файлов в системе общего пользования (киоске) Set up a kiosk environment using Unified Write Filter (UWF) in Windows 10 | by Jason Corchuelo | Tulpep | Medium.

НЛО прилетело и опубликовало эту надпись здесь

Ключевое слово здесь "иногда" :)
В Windows 10 IoT тоже есть этот функционал.

НЛО прилетело и опубликовало эту надпись здесь
Закрытые важные уязвимости:
CVE-2022-21849 — Windows IKE Extension Remote Code Execution Vulnerability (CVSS 9.8)

Поломался IPsec.
CVE-2022-21901 — Windows Hyper-V Elevation of Privilege Vulnerability (CVSS 9.0)

Поломался Hyper-V.
CVE-2022-21893 — Remote Desktop Protocol Remote Code Execution Vulnerability (CVSS 8.8)
CVE-2022-21850 — Remote Desktop Client Remote Code Execution Vulnerability (CVSS 8.8)

Поломался RDP (см. Known issues)

При изучении остального списка возникают мысли о потенциальных проблемах с Active Directory и еще бог знает с чем. Печально.

Потенциальные проблемы с перезагрузкой КД после установки обновлений задокументированы здесь:
Windows Server 2022 | Microsoft Docs
Windows 10, version 20H2 and Windows Server, version 20H2 | Microsoft Docs
Windows 8.1 and Windows Server 2012 R2 | Microsoft Docs

Стоит отметить, что проблема проявляется далеко не всегда. Например, на КД WS2016 и более новых версия проблема проявляется в большинстве случаев, если в лесу используются теневые объекты учетных записей (shadow principals), которые в свою очередь используются в редких сценариях PIM/PAM (Red Forest/ESAE).

В любом случае, подобные риски можно адресовать стандартной процедурой тестирования и верификации обновлений ПО перед их установкой на сисетмы производственной среды. Тем на контроллеры домена AD и другие системы Tier 0.

У меня ESAE точно нет, только трасты с парой лесов (старый с SLD и новый тестовый) и мигрированные через ADMT учётки.

Во вчерашнем билде Windows 11 (22533.1001) наоборот починили, с начала декабря используя штатное средство подключиться не мог.

это вишенка на торте

Спасибо. Ссылку поправил.

Такое ощущение, что Windows - это не целостный продукт, а карточный домик скрепленный скотчем и костылями: починка одного бага рушит все вокруг. В какой-то момент в погоне за скоростью разработки был нарушен принцип "Low coupling and high cohesion".

Пожалуйста, мистер "CISSP, CCSP, MCSE, Certified Azure Security Engineerстарший руководитель программ ИБ в странах Центральной и Восточной ЕвропыMicrosoft", передайте вашим мистерам разработчикам, чтобы они ответственнее относились к работе. И наймите обратно тестировщиков. Качество трещащих по швам продуктов вашей компании становится притчей во языцех.

Народ пишет что KB5009624 ломает Hyper-V на некоторых OS

Её задокументировали только вчера (?) вечером, а сами патчи до сих пор не отозвали.

Задокументировали после тщательного анализа и верификации через сутки. Почему патчи вдруг должны быть отозваны?

Первые жалобы появились 11 числа почти сразу выхода обновления. В патчах критический баг, который ломает контроллеры домена.

Тут нужно понимать, что старт подробного анализа проблемы начинается не с поста на реддит, а с нескольких кейсов, заказчиков в службе поддержки вендора. Также на анализ, воспроизведение и triage также нужно время.
Потенциальная проблема проявляется далеко нге во всех случаях. В частности на КД WS2016+ проблема проявляется в большинстве случаев, если в лесу используются теневые объекты учетных записей, которые в свою очереднь использовать в редких сценариях PIM (Red forest/ESAE).
Не могу не упоминуть, что обновления для КД должны всесторонне тестироваться и верифицироваться в тестовой и staging средах ПЕРЕД установкой на КД в производственной среде.

Меня больше интересует 2012 R2, а про поддержку совсем несерьёзно - какой процент заказчиков имеет контракт с премьер-саппортом? 0.02%?

С тестированием тоже не всё так просто - каждый второй вторник месяца в новостях рассказывают про СТРАШНЫЕ уязвимости, которые надо НЕМЕДЛЕННО закрывать. И после HAFNIUM Attack воспринимаешь это всерьёз, так как иногда счёт идёт на часы пока хакеры реверсят патчи.

Судя по нашим данным, для 2012 R2 проблема с LSASS проявляется реже. Также считаю необходимым напомнить, что для Windows Server 2012 R2 закончилась основная фаза поддержки и стоит планировать минрацию на более новые версии.

Любые изменения, вносимые в инфраструктуру должны быть предварительно протестированы и верифицированы перед внесением в производственную среду. Тем более для КД и других систем уровня Tier 0. В данном случае, задача приоритезации уязвимостей и установки закрывающих их обновлений безопасности реализуется на стыке дисциплин patch management + vulnerability management.

А декабрьские, которые рдп роняют и черные экраны вызывают?

Не совсем понятен Ваш вопрос (если это вопрос).

Скажите пожалуйста, известно ли что-нибудь по поводу сломавшегося IPsec'а? Я смотрю проблема до сих пор не посвилась в «Known issues». Это наводит на мысли, что факт её наличия не признан и решение не ищется.
Так же и по проблеме с Hyper-V интересует. Не знаю правда насколько она массовая. Но вот по IPsec'у в этом точно сомневаться не приходится.

Потенциальная проблема с некоторыми подключениями IPSec VPN задокументирована в соответствующих статьях базы знаний.
Проблема проявляется далеко не всегда и не для всех VPN-подключений: "After installing KB5009566, IP Security (IPSEC) connections which contain a Vendor ID might fail". Также присутствует информация о workaround на время разрешения проблемы.
Windows 11 known issues and notifications | Microsoft Docs
Windows 10, version 21H2 | Microsoft Docs
Windows 10, version 21H1 | Microsoft Docs

Благодарю! По этим ссылкам информация представлена определённо в более систематизированном и удобном для восприятия виде чем в описаниях конкретных обновлений на support.microsoft.com.
Артём, в Windows Release Health перечислены исправления для всех релизов Win 10 кроме 1809 и, соответственно, Windows Server 2019. А статусы по проблемам c IPsec и DC так и висят как не решённые. Если посмотреть описание проблемного KB, то проблема с IPsec так же значится не решённой, но для проблемы с DC написано ставить KB5010790. Это KB для релиза 1607 и для 1809 оно не подходит (я уже проверил).
За что так обделили пользователей Win 10 LTSC 1809 и 2019-го сервера? Я понимаю, что это вероятно ошибка и просто забыли. Но номера-то нам надо где-то взять.

В каталоге тоже пока пусто, может 2019 не затронуло или наоборот проблема оказалсь сложнее?

IPsec точно в 1809 сломан. Затронуло ли DC проверять желания нет, но там и кейс специфический что бы оно проявилось.

Сразу не заметил исправлений для 7 и 2008 (не R2, а Vista), значит баг есть везде и надо ещё подождать.

Не совсем, баги разные. IPsec сломан только в Win 10. В Win 8.1/2012 R2 проблема с Hyper-V (которой нет в десятке). А вот с DC и там и там. Что с семёркой и ниже не смотрел.

Внеочередные фиксы потенциальных проблем с перезагрузкой серверов 2008/2008 R2 (только для заказчиков с действующим контрактом Extended Security Updates, ESU):
KB5010798: Out-of-band update for Windows 7 SP1 and Server 2008 R2 SP1: January 17, 2022 (microsoft.com)
KB5010799: Out-of-band update for Windows Server 2008 SP2: January 17, 2022 (microsoft.com)

Ссылка на KB5010791 уже появилась в known issues, значит скоро файл расползётся по CDN и перестанет выдавать 404.

Для Windows 10, version 1809/Windows Server 2019 обновления пока не доступны. Как только будет информация - опубликую, так что следите за комментариями.

В данный момент обе проблемы в указанной статье имеют статус "Разрешена":

Зарегистрируйтесь на Хабре, чтобы оставить комментарий