Programmering

Microsofts Black Tuesday-vejafgift: KB 3003743, IE11, EMET 5 og sikkerhedswebcasts

Med 14 sikkerhedsopdateringer, der inkluderer rettelser til 33 særskilt identificerede sikkerhedshuller, 14 nye ikke-sikkerhedsrettelser, to ændringer til installationsprogrammerne til ældre sikkerhedsrettelser og tre ændringer til ældre ikke-sikkerhedsopdateringer, falder november sort tirsdag som en af ​​de tyngste nogensinde. Men patchesne selv er kun en del af historien.

Denne måneds patenter på sort tirsdag startede med et ulige - dog håbefulde - tegn. Microsoft trak frivilligt to sikkerhedsbulletiner (med et ukendt antal tilknyttede programrettelser), inden de blev frigivet. Både MS14-068 og MS14-075 er anført i den officielle sikkerhedsbulletinoversigt som "Udgivelsesdato, der skal fastlægges." Jeg har aldrig set den betegnelse før. Formentlig fangede Microsoft bugs i patches og trak dem i sidste øjeblik. I så fald er det en meget positiv udvikling.

Jeg ser sporadiske rapporter om KB 3003743 - del af MS14-074 - der bryder samtidige RDP-sessioner. Plakat turducken på My Digital Life fora knytter det fast:

Dagens opdateringer inkluderer KB3003743, og med det følger termsrv.dll version 6.1.7601.18637

Jason Hart har også tweetet, at KB 3003743 dræber NComputing's virtualiseringssoftware.

Dette lyder minder om de problemer, der blev forårsaget af KB 2984972 i sidste måned, som også spærrede samtidige RDP-sessioner på nogle maskiner. Den nemme løsning sidste måned var at afinstallere programrettelsen, og RDP begyndte at arbejde igen. Microsoft har en langt mere kompleks løsning i KB 2984972-artiklen. Der er ingen indikation på dette tidspunkt, hvis den manuelle løsning fungerer med KB 3003743. Jeg har heller ikke hørt, om nogen App-V-pakker er berørt - et andet kendetegn for den dårlige KB 2984872 patch sidste måned.

Hvis du kører IE11 og EMET, er det vigtigt at gå til den nyeste version, EMET 5.1, før du installerer denne måneds MS14-065 / KB 3003057-patch. TechNet-bloggen siger det sådan:

Hvis du bruger Internet Explorer 11, enten på Windows 7 eller Windows 8.1, og har implementeret EMET 5.0, er det især vigtigt at installere EMET 5.1, da kompatibilitetsproblemer blev opdaget med november Internet Explorer-sikkerhedsopdateringen og EAF + -reduktion. Ja, EMET 5.1 blev netop frigivet mandag.

Der er en vis bekymring i pressen for, at den nyoprettede "schannel" -fejl kan være så gennemgribende og udnyttelig som det berygtede OpenSSL Heartbleed-hul, der blev opdaget tidligere på året.

Ingen tvivl om, at du skal installere MS14-066 / KB 2992611 på enhver Windows-maskine, der kører en webserver, FTP-server eller e-mail-server - hurtigere snarere end senere. Men har du brug for at droppe alt og patch dine servere i dette øjeblik? Udtalelserne varierer.

SANS Internet Storm Center, som normalt indtager en meget proaktiv patchesituation, afdækker sine væddemål med denne. SANS har MS14-066 opført som "kritisk" i stedet for den mere dystre "Patch Now." Dr. Johannes Ullrich fortsætter med at sige:

Mit gæt er, at du sandsynligvis har en uge, måske mindre, til at lappe dine systemer, før en udnyttelse frigives. Har du en god opgørelse over dine systemer? Så er du i god form til at få dette til at fungere. For resten (langt størstedelen?): Mens du lapper, skal du også finde ud af modforanstaltninger og alternative nødkonfigurationer.

Det mest sandsynlige mål er SSL-tjenester, der kan nås udefra: Web- og mailservere vil være øverst på min liste. Men det kan ikke skade at kontrollere rapporten fra din sidste eksterne scanning af din infrastruktur for at se, om du har noget andet. Sandsynligvis en god ide at gentage denne scanning, hvis du ikke har planlagt den regelmæssigt.

Gå derefter videre til interne servere. De er lidt sværere at nå, men husk at du kun har brug for en intern inficeret arbejdsstation for at udsætte dem.

For det tredje: Rejsende bærbare computere og lignende forlader din omkreds. De skal allerede være låst ned og vil sandsynligvis ikke lytte efter indgående SSL-forbindelser, men kan ikke skade for at dobbelttjekke. Noget mærkeligt SSL VPN? Måske noget instant messenger-software? En hurtig havnescanning skal fortælle dig mere.

En smattering af bymytologi dannes allerede omkring kanalen. Du kan læse i pressen, at sikkerhedshullet i Schannel har eksisteret i 19 år. Ikke sandt - skanalfejlen er identificeret som CVE-2014-6321, og den blev opdaget af uidentificerede forskere (muligvis internt for Microsoft). Det er et hul i softwaren til HTTPS-forbindelser.

Den 19-årige sårbarhed, som blev opdaget af IBM X-Force forskerhold, er CVE-2014-6332. Det er et hul i COM, der kan udnyttes gennem VBScript. Det er den fejl, der er rettet af MS14-064 / KB 3011443. Som jeg bedst kan fortælle, har de to sikkerhedssårbarheder intet til fælles.

Bliv ikke forvirret. BBC blandede de to sikkerhedshuller sammen, og andre nyhedsforretninger papegøjer rapporten.

Med hensyn til den pludselige forsvinden af ​​den månedlige sikkerhedswebcast - der har ikke været nogen officiel meddelelse, men Dustin Childs, der plejede at køre webcasts, er blevet tildelt igen, og jeg kunne ikke finde en webcast til sikkerhedsbulletinerne fra november. Tidligere i morges tweetede Childs:

14 bulletiner i stedet for 16 - de nummererede ikke engang. Ingen implementeringsprioritet. Ingen oversigtsvideo. Ingen webcast. Jeg gætter på, at tingene ændrer sig.

Det er en fantastisk udvikling, især for alle, der er nødt til at give mening om Microsofts patches. Manglende omnummerering af bulletiner vil ikke ryste nogens tro på Microsofts patches - jeg tager det som en velkommen ændring. Men manglen på en månedlig prioritetsliste for implementering af sikkerhedsbulletin, oversigtsvideo eller webcast efterlader de fleste Windows-sikkerhedsmænd i svær tilstand. Microsoft har udsendt en oversigtsvideo til Black Tuesday i årevis, og webcasten tilbyder en masse ned-og-snavset rådgivning, der ikke findes andre steder.

Hvis webcasts er blevet trukket - der er ingen officiel bekræftelse, jeg kan se - har især Microsofts virksomhedskunder god grund til at klage.