Med 14 sikkerhetsoppdateringer som inkluderer reparasjoner for 33 separat identifiserte sikkerhetshull, 14 nye ikke-sikkerhetsoppdateringer, to endringer i installatørene for eldre sikkerhetsoppdateringer, og tre endringer for eldre usikkerhetsoppdateringer, går Black Black Tuesday ned som en av de tyngste noensinne. Men lappene i seg selv er bare en del av historien.
Denne månedens Black Tuesday-lapper startet med et merkelig - men håpefullt - tegn. Microsoft trakk frivillig to sikkerhetsbulletiner (med et ukjent antall tilknyttede oppdateringer) før de ble utgitt. Både MS14-068 og MS14-075 er oppført i det offisielle sikkerhetsbulletin-sammendraget som "Utgivelsesdato som skal bestemmes." Jeg har aldri sett den betegnelsen før. Antagelig fanget Microsoft feil i lappene og trakk dem i siste øyeblikk. I så fall er det en veldig positiv utvikling.
Jeg ser sporadiske rapporter om KB 3003743 - en del av MS14-074 - som bryter samtidige RDP-økter. Poster turducken på My Digital Life-forumene fester det:
Dagens oppdateringer inkluderer KB3003743 og med den følger termsrv.dll versjon 6.1.7601.18637
Jason Hart har også twitret at KB 3003743 dreper NComputings virtualiseringsprogramvare.
Dette høres ut som minner om problemene som ble forårsaket av KB 2984972 i forrige måned, som også sperret samtidig RDP-økter på noen maskiner. Den enkle løsningen forrige måned var å avinstallere oppdateringen, og RDP begynte å jobbe igjen. Microsoft har en langt mer kompleks løsning i KB 2984972-artikkelen. Det er ingen indikasjon på dette punktet om den manuelle løsningen fungerer med KB 3003743. Jeg har heller ikke hørt om noen App-V-pakker er berørt - et annet kjennetegn på den dårlige KB 2984872-oppdateringen forrige måned.
Hvis du kjører IE11 og EMET, er det viktig å gå til den nyeste versjonen, EMET 5.1, før du installerer denne månedens MS14-065 / KB 3003057 patch. TechNet-bloggen sier det slik:
Hvis du bruker Internet Explorer 11, enten på Windows 7 eller Windows 8.1, og har distribuert EMET 5.0, er det spesielt viktig å installere EMET 5.1 ettersom kompatibilitetsproblemer ble oppdaget med November Internet Explorer sikkerhetsoppdatering og EAF + -reduksjon. Ja, EMET 5.1 ble nettopp utgitt mandag.
Det er en viss bekymring i pressen for at den nylig fikserte "schannel" -feilen kan være så gjennomgripende og utnyttbar som det beryktede OpenSSL Heartbleed-hullet som ble oppdaget tidligere i år.
Ingen tvil om at du bør installere MS14-066 / KB 2992611 på en hvilken som helst Windows-maskin som kjører en webserver, FTP-server eller e-postserver - før heller enn senere. Men trenger du å slippe alt og lappe serverne dine med det samme? Meningene varierer.
SANS Internet Storm Center, som vanligvis tar en veldig proaktiv lappestilling, sikrer sine spill med denne. SANS har MS14-066 oppført som "Kritisk" i stedet for den mer dire "Patch Now." Dr. Johannes Ullrich fortsetter med å si:
Jeg antar at du sannsynligvis har en uke, kanskje mindre, til å lappe systemene dine før en utnyttelse blir utgitt. Har du en god oversikt over systemene dine? Da er du i god form for å få dette til å fungere. For resten (stort flertall?): Mens du lapper, finn også ut mottiltak og alternative nødkonfigurasjoner.
Det mest sannsynlige målet er SSL-tjenester som er tilgjengelige fra utsiden: Web- og e-postservere vil være øverst på listen min. Men det kan ikke skade å sjekke rapporten fra den siste eksterne skanningen av infrastrukturen for å se om du har noe annet. Sannsynligvis en god ide å gjenta denne skanningen hvis du ikke har planlagt den regelmessig.
Gå videre til interne servere. De er litt vanskeligere å nå, men husk at du bare trenger en intern infisert arbeidsstasjon for å avsløre dem.
For det tredje: Reisende bærbare datamaskiner og lignende som forlater omkretsen. De skal allerede være låst, og vil sannsynligvis ikke lytte etter innkommende SSL-tilkoblinger, men kan ikke skade å dobbeltsjekke. Noen rare SSL VPN? Kanskje noen instant messenger-programvare? En rask portskanning burde fortelle deg mer.
En smatter av urban mytologi er allerede i ferd med å danne seg rundt kanalen. Du kan lese i pressen at schannel-sikkerhetshullet har eksistert i 19 år. Ikke sant - schannel-feilen er identifisert som CVE-2014-6321, og den ble oppdaget av uidentifiserte forskere (muligens internt for Microsoft). Det er et hull i programvaren for HTTPS-tilkoblinger.
Den 19 år gamle sårbarheten, som ble oppdaget av IBM X-Force forskerteam, er CVE-2014-6332. Det er et hull i COM som kan utnyttes gjennom VBScript. Det er feilen løst av MS14-064 / KB 3011443. Så godt jeg kan si har de to sikkerhetsproblemene ingenting til felles.
Ikke bli forvirret. BBC blandet sammen de to sikkerhetshullene, og andre nyhetsbutikker papegøyer rapporten.
Når det gjelder den plutselige forsvinningen av den månedlige sikkerhetswebcasten - det har ikke kommet noen offisiell kunngjøring, men Dustin Childs, som pleide å kjøre webcasts, er blitt tildelt på nytt, og jeg kunne ikke finne en webcast for sikkerhetsbulletinene fra november. Tidligere i morges tvitret Childs:
14 bulletiner i stedet for 16 - de nummererte ikke engang. Ingen distribusjonsprioritet. Ingen oversiktsvideo. Ingen webcast. Jeg antar at ting endrer seg.
Det er en fantastisk utvikling, spesielt for alle som må gi mening om Microsofts patches. Unnlatelse av å omnummerere bulletiner vil ikke rokke noen tro på Microsofts patchesystem - jeg tar det som en velkommen endring. Men mangelen på en månedlig prioritetsliste for distribusjon av sikkerhetsbulletin, oversiktsvideo eller webcast lar de fleste Windows-sikkerhetsproffene være i sving. Microsoft har gitt ut en oversiktsvideo for Black Tuesday i årevis, og webcasten tilbyr mange ned-og-skitne råd som ikke er tilgjengelige andre steder.
Hvis webcasts har blitt trukket - det er ingen offisiell bekreftelse jeg kan se - spesielt Microsofts bedriftskunder, spesielt, har god grunn til å klage.
