Tol Microsoft Black Selasa: KB 3003743, IE11, EMET 5, dan siaran web keselamatan

Dengan 14 kemas kini keselamatan yang merangkumi pembaikan untuk 33 lubang keselamatan yang dikenal pasti secara berasingan, 14 patch keselamatan tidak baru, dua perubahan pada pemasang untuk patch keselamatan yang lebih lama, dan tiga perubahan untuk kemas kini keselamatan yang lebih lama, Selasa Hitam November akan turun sebagai salah satu yang paling berat yang pernah ada. Tetapi tampalan itu sendiri hanyalah sebahagian dari cerita.

Patch Black Tuesday bulan ini bermula dengan tanda ganjil - walaupun penuh harapan -. Microsoft secara sukarela menarik dua Buletin Keselamatan (dengan jumlah patch yang tidak diketahui) sebelum dilepaskan. Kedua-dua MS14-068 dan MS14-075 disenaraikan dalam ringkasan rasmi Buletin Keselamatan sebagai "Tarikh pelepasan yang akan ditentukan." Saya tidak pernah melihat sebutan itu sebelum ini. Agaknya Microsoft menangkap pepijat di patch dan menariknya pada saat-saat terakhir. Sekiranya demikian, itu adalah perkembangan yang sangat positif.

Saya melihat laporan sporadis KB 3003743 - bahagian MS14-074 - melanggar sesi RDP serentak. Poster turducken di forum My Digital Life meletakkannya:

Kemas kini hari ini merangkumi KB3003743 dan dengan itu dilengkapi syaratrv.dll versi 6.1.7601.18637

Jason Hart juga telah menulis tweet bahawa KB 3003743 membunuh perisian virtualisasi NComputing.

Ini sepertinya mengingatkan pada masalah yang disebabkan oleh KB 2984972 bulan lalu, yang juga mengagumi sesi RDP serentak pada beberapa mesin. Penyelesaian yang mudah bulan lalu adalah dengan mencopot pemasangan patch, dan RDP mula berfungsi semula. Microsoft mempunyai penyelesaian yang jauh lebih kompleks dalam artikel KB 2984972. Tidak ada petunjuk pada masa ini jika penyelesaian manual berfungsi dengan KB 3003743. Saya juga belum pernah mendengar apakah ada pakej App-V yang terpengaruh - satu lagi ciri patch KB 2984872 yang buruk bulan lalu.

Sekiranya anda menjalankan IE11 dan EMET, penting untuk beralih ke versi terbaru, EMET 5.1, sebelum memasang patch MS14-065 / KB 3003057 bulan ini. Blog TechNet meletakkannya dengan cara ini:

Sekiranya anda menggunakan Internet Explorer 11, baik pada Windows 7 atau Windows 8.1, dan menggunakan EMET 5.0, sangat penting untuk memasang EMET 5.1 kerana masalah keserasian ditemui dengan kemas kini keselamatan Internet Explorer November dan pengurangan EAF +. Ya, EMET 5.1 baru dikeluarkan pada hari Isnin.

Terdapat beberapa keprihatinan di media bahawa bug "schannel" yang baru diperbaiki mungkin menyebar dan dapat dieksploitasi seperti lubang OpenSSL Heartbleed yang terkenal yang ditemui awal tahun ini.

Tidak syak lagi, anda harus memasang MS14-066 / KB 2992611 pada mana-mana mesin Windows yang menjalankan pelayan Web, pelayan FTP, atau pelayan e-mel - lebih cepat, dan bukannya kemudian. Tetapi adakah anda perlu membuang segalanya dan menambal pelayan anda seketika? Pendapat berbeza-beza.

Pusat Storm Internet SANS, yang biasanya mengambil sikap penampalan yang sangat proaktif, melindung nilai pertaruhannya dengan yang satu ini. SANS mempunyai MS14-066 yang disenaraikan sebagai "Kritikal" dan bukannya "Patch Now" yang lebih mengerikan. Johannes Ullrich meneruskan dengan mengatakan:

Sangkaan saya ialah anda mungkin mempunyai seminggu, mungkin kurang, untuk memperbaiki sistem anda sebelum eksploitasi dilepaskan. Anda mendapat inventori sistem anda dengan baik? Maka anda berada dalam keadaan baik untuk menjayakannya. Untuk selebihnya (sebahagian besar?): Semasa anda menambal, cari juga langkah-langkah balas dan konfigurasi kecemasan alternatif.

Sasaran yang paling mungkin adalah perkhidmatan SSL yang dapat dicapai dari luar: Pelayan Web dan Mel akan berada di bahagian atas senarai saya. Tetapi tidak ada salahnya memeriksa laporan dari imbasan infrastruktur luaran terakhir anda untuk melihat sama ada anda mendapat apa-apa lagi. Mungkin idea yang baik untuk mengulangi imbasan ini jika anda tidak menjadualkannya secara berkala.

Seterusnya beralih ke pelayan dalaman. Mereka agak sukar dijangkau, tetapi ingat bahawa anda hanya memerlukan satu stesen kerja yang dijangkiti dalaman untuk mendedahkannya.

Ketiga: Laptop perjalanan dan seumpamanya yang meninggalkan perimeter anda. Mereka mesti dikurung, dan tidak mungkin mendengar sambungan SSL masuk, tetapi tidak menyusahkan untuk memeriksa semula. Beberapa VPN SSL yang ganjil? Mungkin ada perisian pesanan segera? Imbasan port pantas akan memberitahu anda lebih banyak lagi.

Sebilangan besar mitologi bandar sudah terbentuk di sekitar schannel. Anda mungkin membaca di akhbar bahawa lubang keselamatan schannel telah wujud selama 19 tahun. Tidak benar - bug schannel dikenal pasti sebagai CVE-2014-6321, dan ia ditemui oleh penyelidik yang tidak dikenali (mungkin dalaman Microsoft). Ini adalah lubang dalam perisian untuk sambungan HTTPS.

Kerentanan berusia 19 tahun, yang ditemui oleh pasukan penyelidikan IBM X-Force, adalah CVE-2014-6332. Ini adalah lubang dalam COM yang dapat dieksploitasi melalui VBScript. Itulah pepijat yang diperbaiki oleh MS14-064 / KB 3011443. Sebaik-baiknya saya tahu, kedua-dua kelemahan keselamatan tidak mempunyai persamaan.

Jangan keliru. BBC mencampuradukkan dua lubang keselamatan itu, dan kedai berita lain meneliti laporan tersebut.

Mengenai tiba-tiba hilangnya siaran web keselamatan bulanan - tidak ada pengumuman rasmi, tetapi Dustin Childs, yang biasa menjalankan siaran web, telah ditugaskan semula, dan saya tidak dapat mencari siaran web untuk buletin keselamatan November. Awal pagi ini, Childs tweet:

14 buletin dan bukannya 16-mereka bahkan tidak menambah bilangannya. Tiada keutamaan penggunaan. Tiada video gambaran keseluruhan. Tiada siaran web. Saya rasa keadaan berubah.

Itu adalah perkembangan yang menakjubkan, terutama bagi sesiapa yang harus memahami kelayakan penambaikan Microsoft. Gagal mengulang nombor buletin tidak akan menggoyahkan kepercayaan seseorang terhadap rejimen penambaikan Microsoft - saya menganggapnya sebagai perubahan yang dialu-alukan. Tetapi kekurangan senarai keutamaan penyebaran buletin keselamatan bulanan, video gambaran keseluruhan, atau siaran web menyebabkan kebanyakan pro keselamatan Windows terus tersekat. Microsoft telah mengeluarkan video gambaran keseluruhan untuk Black Tuesday selama bertahun-tahun, dan siaran web menawarkan banyak nasihat yang tidak berguna dan tidak terdapat di tempat lain.

Sekiranya siaran web telah ditarik - tidak ada pengesahan rasmi yang dapat saya lihat - pelanggan perusahaan Microsoft, khususnya, mempunyai alasan yang baik untuk mengadu.