Dejte si záležet s březnovým updatem Windows 10 (aktualizováno)

19. 3. 2020

Sdílet

 Autor: Internet Info DG
Březnový update Microsoft Windows 10 bude velmi náročný na správu a instalaci, protože obsahuje celých 115 patchů. Otestujte změny pro každou platformu, vytvořte si plán aktualizací a připravte se na případné změny od Microsoftu.

Bude se jednat o nečekaně veliký update vzhledem k tomu, že je součástí menšího měsíčního vydávacího cyklu. Patche  jsou zaměřeny především na plochu Windows a na problémy ohledně skriptů v prohlížečích internetu.

Testovací profil pro Windows má jen velmi malým riziko zneužití. Tento měsíc se navíc neobjevily žádné slabiny pro zero-day útoky, vyplatí se proto všechny změny řádně otestovat, než je aplikujete na svou platformu.

Známé problémy

Microsoft ke svým updatům každý měsíc přikládá seznam známých chyb, na které můžete během aktualizace narazit. Zde je přehled nejvýznamnějších chyb v tomto updatu:

  • Při použití kontejnerů Windows Serveru společně s updaty z 10. 3. 2020 můžete narazit na komplikace s 32-bit aplikacemi. Pro správnou aktualizaci Windows kontejnerů si prosím prohlédněte přehled kompatibility verzí.
  • Zařízení s asijskými jazyky mohou po instalaci KB4493509 obdržet chybu „0x800f0982 – PSFX_E_MATCHING_COMPONENT_NOT_FOUND“.
  • CVE-2020-0903 | Zranitelnost vůči falšování identity serveru Microsoft Exchange: Když se pokusíte nainstalovat tento update manuálně (dvojklikem na soubor .msp) v normálním módu (ne jako správce), některé soubory nebudou správně updatovány.
  • Internet Explorer: Po instalaci tohoto updatu a restartu zařízení můžete obdržet chybu: „Failure to configure Windows updates. Reverting Changes. Do not turn off your computer“ a v Historii updatů uvidíte, že aktualizace selhala. Podívejte se na KB4497181.

Na Windows 7.x, 8.x a Server 2012 se může objevit:

  • Určité operace, jako je přejmenování, které provádíte na složkách a souborech v cluster shared volume (csv) můžou skončit chybou: “STATUS_BAD_IMPERSONATION_LEVEL (0xC00000A5)”. Ta se objeví, když změny CSV provádí proces, který nemá oprávnění administrátora.

Microsoft již pracuje na řešení všech těchto chyb a poskytne řešení v následujících updatech.

Hlavní změny

V minulosti bylo mnoho změn ohledně vázání kanálů a podepisování LDAP (Lightweight Directory Access Protocol), Microsoft nedávno zveřejnil další aktualizaci, která obsahuje:

„Microsoft oznamuje, že bezpečnostní updaty z 10 března 2020 dávají administrátorům možnost zlepšit bezpečnost vázání kanálů na řadičích domény Active Directory. Další informace a možnosti konfigurace můžete najít zde: ADV190023. Informace ohledně servisního zásobníku si prohlédněte na ADV990001.“

Bezpečnostní chyby Vzdálené plochy byly nyní vyřešeny na všech verzích Windows:

Nemusíte nic dělat, pokud máte nastavené automatické aktualizace.

Skupiny aktualizací

Každý měsíc rozdělíme aktualizace do jednotlivých skupin (podle Microsoftu):

  • Prohlížeče (Internet Explorer a Edge)
  • Microsoft Windows (desktop i server)
  • Microsoft Office (včetně webových aplikací a Exchange)
  • Vývojové platformy (ASP.NET, .NET a Chakra)
  • Adobe Flash Player

Prohlížeče

Březnová aktualizace obsahuje 15 kritických updatů a jeden důležitý patch. Většina je z nich se zaměřuje na chyby ve skriptovacích enginech v prohlížečích (JavaScript, Chakra). Po updatech mají nízké CVSS skóre a jsou tak poměrně bezpečné.

Případné bezpečnostní slabiny se také týkají jen malého množství verzí Windows, pokud tedy používáte nejnovější Windows 10, tak jste pravděpodobně v bezpečí. Tyto patche si v klidu můžete nainstalovat.

Microsoft Windows

Všech 73 updatů (z nichž je 6 kritických) pokrývá téměř celý ekosystém Windows. Aplikace, kterých se změny týkají, jsou: Microsoft Scripting Engine, Windows App Platform and Frameworks, Windows Media, Windows Silicon Platform, Microsoft Edge, Internet Explorer, Windows Fundamentals, Windows Authentication, Windows Kernel, Windows Core Networking, Windows Storage and File Systems, Windows Peripherals, Windows Update Stack a Windows Server.

Možné obavy se týkají zacházení se soubory LNK (CVE-2020-0684), grafického enginu GDI a pár updatů Windows media enginu (CVE-2020-0801, CVE-2020-0807, CVE-2020-0809, CVE-2020-0869)

Kromě zdokumentovaných chyb mohou problémy nastat i po instalaci nových patchů. Pokrývají totiž velmi širokou oblast, takže bude potřeba hodně testování funkčnosti aplikací třetích stran.

Změny se totiž týkají i souborů, s jejichž změnami byly v minulosti problémy. Dobrým příkladem je soubor MSXML3R.DLL, který byl updatován v CVE-2020-0844. Při testování jsme narazili na mnoho potenciálních problémů s těmito aplikacemi:

  • WinZip 18.5
  • VMWare Workstation Proffesional
  • NV/HPE Controller
  • Siebel Tools 8.1.x

Doporučujeme vše důkladně otestovat a následně nainstalovat v oddělených oblastech podle priority, aby se minimalizovaly případné problémy.

Také tento měsíc očekáváme pár neobvyklých updatů, které mohou řešit problémy s LNK či zranitelnost SMB. Microsoft zveřejnil příručku, jak si poradit s případnými problémy SMB ADV200005.

Microsoft Office

Tento měsíc jsme obdrželi jeden kritický patch pro Word (CVE-2020-0852), které řeší osm bezpečnostních chyb týkajících se správy paměti. Tyto chyby mohou být využity ke spouštění kódu na dálku, ale je velmi těžké je zneužít. Doporučujeme tento update nainstalovat.

ICTS24

Vývojové platformy

Microsoft vydal pět patchů pro své vývojové platformy a všechny je označil jako důležité. Největší vliv mají na Azure DevOps Server. Opravované chyby je sice možné použít jen pro spoofing a privilege escalation, přesto se vyplatí tyto patche stáhnout.

Adobe Flash Player

Adobe tento měsíc nevydalo žádné aktualizace, To bohužel neznamená, že nemá žádné bezpečnostní trhliny, takže očekávejte nový update někdy v příštím týdnu.