No Mês Nacional de Conscientização sobre Segurança Cibernética, a Microsoft corrige 84 vulnerabilidades, incluindo dois zero-days. Após uma discussão inicial sobre as atualizações deste mês, ofereceremos nossos conselhos para elaborar um plano para lidar com o gerenciamento de patches em um ambiente de trabalho híbrido.

Por que o Patch Tuesday é importante?

Atualizações e patches de segurança importantes para corrigir bugs críticos ou vulnerabilidades são lançados no Patch Tuesday. Normalmente, as vulnerabilidades de zero-day também são corrigidas durante o Patch Tuesday, a menos que a vulnerabilidade seja crítica e altamente explorada, caso em que uma atualização de segurança fora de banda é lançada para resolver essa vulnerabilidade específica.

Patch Tuesday de Outubro de 2022: lista de atualizações

Atualizações de segurança foram lançadas para os seguintes produtos, recursos e funções

  • Serviços de Domínio de Active Directory

  • Azure

  • Azure Arc

  • Client Server Run-time Subsystem (CSRSS)

  • Microsoft Edge (Chromium-based)

  • Microsoft Graphics Component

  • Microsoft Office

  • Microsoft Office SharePoint

  • Microsoft Office Word

  • Microsoft WDAC OLE DB provider for SQL

  • NuGet Client

  • Remote Access Service Point-to-Point Tunneling Protocol

  • Role: Windows Hyper-V

  • Service Fabric

  • Visual Studio Code

  • Certificado de Serviços de Windows Active Directory

  • Windows ALPC

  • Windows CD-ROM Driver

  • Windows COM+ Event System Service

  • Windows Connected User Experiences and Telemetry

  • Windows CryptoAPI

  • Windows Defender

  • Windows DHCP Client

  • Windows Distributed File System (DFS)

  • Windows DWM Core Library

  • Windows Event Logging Service

  • Windows Group Policy

  • Windows Group Policy Preference Client

  • Windows Internet Key Exchange (IKE) Protocol

  • Windows Kernel

  • Windows Local Security Authority (LSA)

  • Windows Local Security Authority Subsystem Service (LSASS)
  • Windows Local Session Manager (LSM)
  • Windows NTFS

  • Windows NTLM

  • Windows ODBC Driver

  • Windows Perception Simulation Service

  • Windows Point-to-Point Tunneling Protocol

  • Windows Portable Device Enumerator Service

  • Windows Print Spooler Components

  • Windows Resilient File System (ReFS)

  • Windows Secure Channel

  • Windows Security Support Provider Interface

  • Windows Server Remotely Accessible Registry Keys

  • Windows Server Service

  • Windows Storage

  • Windows TCP/IP

  • Windows USB Serial Driver

  • Windows Web Account Manager

  • Windows Win32K

  • Windows WLAN Service

Duas vulnerabilidades de zero-day corrigidas

O Patch Tuesday de outubro vem com atualizações para duas vulnerabilidades de zero-day identificadas no Windows COM+ Event System Service e no Microsoft Office.

  • CVE-2022-41033 – Vulnerabilidade de elevação de privilégios do serviço do sistema de eventos do Windows COM+

De acordo com o comunicado da Microsoft, “um invasor que explorou com sucesso essa vulnerabilidade pode obter privilégios de SISTEMA”.

  • CVE-2022-41043 –  Vulnerabilidade de divulgação de informações do Microsoft Office

Segundo a Microsoft, essa vulnerabilidade pode ser aproveitada por invasores para obter acesso aos tokens de autenticação de um usuário.

Sem correções para zero-day do Microsoft Exchange

A GTSC, uma empresa vietnamita de segurança cibernética, descobriu dois zero-days no Microsoft Exchange no final de setembro. As vulnerabilidades, sendo exploradas ativamente, foram rastreadas como CVE-2022-41040 e CVE-2022-41082 e foram apelidadas de ProxyNotShell.

No entanto, nenhuma correção foi lançada para deste mês. A Microsoft em seu boletim de segurança disse que as correções ainda não estão disponíveis, mas serão lançadas assim que estiverem.

Enquanto isso, eles compartilharam etapas para mitigar essas vulnerabilidades, que podem ser encontradas aqui.

Atualizações de terceiros lançadas após o Patch Tuesday do mês passado

Fornecedores de terceiros, como Google, Apple, SAP, Cisco, Fortinet e VMware, lançaram atualizações após o Patch Tuesday do mês passado.

Práticas recomendadas para lidar com o gerenciamento de patches em um ambiente de trabalho híbrido

A maioria das organizações optou por adotar o trabalho remoto mesmo depois de ter sido liberada para retornar ao escritório. Essa decisão apresenta vários desafios aos administradores de TI, especialmente em termos de gerenciamento e proteção de endpoints distribuídos.

 

Aqui estão algumas dicas para simplificar o processo de aplicação de patches remotos:

  • Desative as atualizações automáticas porque um patch defeituoso pode derrubar todo o sistema. Os administradores de TI podem instruir os usuários finais sobre como desabilitar as atualizações automáticas em suas máquinas. O Patch Manager Plus e o Endpoint Central também têm um patch dedicado, 105427, que pode ser implantado em endpoints para garantir que as atualizações automáticas sejam desabilitadas.

  • Crie um ponto de restauração — um backup ou uma imagem que capture o estado das máquinas — antes de implantar grandes atualizações como as do Patch Tuesday.

  • Estabeleça um cronograma de patches e mantenha os usuários finais informados sobre isso. Recomenda-se definir um horário para implantação de patches e reinicialização de sistemas. Deixe os usuários finais saberem o que precisa ser feito para uma correção sem problemas.

  • Teste os patches em um grupo piloto de sistemas antes de implantá-los no ambiente de produção. Isso garantirá que os patches não interfiram no funcionamento de outros aplicações.
  • Como muitos usuários estão trabalhando em casa, todos podem estar trabalhando em horários diferentes; nesse caso, você pode permitir que os usuários finais ignorem a implantação e as reinicializações programadas. Isso lhes dará a liberdade de instalar atualizações conforme sua conveniência e evitar a interrupção de seu trabalho. Nossos produtos de gerenciamento de patches vêm com opções para implantação e reinicialização definidas pelo usuário.
  • A maioria das organizações está implantando patches usando uma VPN. Para impedir que as tarefas de patch consumam de banda VPN, instale primeiro os patches críticos e as atualizações de segurança. Você pode querer adiar a implantação de pacotes de recursos e atualizações cumulativas, pois são atualizações volumosas e consomem muita banda.

  • Agende as atualizações não relacionadas à segurança e as atualizações de segurança que não são classificadas como Críticas para serem implantadas após o Patch Tuesday, como durante a terceira ou quarta semana do mês. Você também pode optar por recusar determinadas atualizações se achar que elas não são necessárias em seu ambiente.

  • Execute relatórios de patch para obter uma visão detalhada do status de integridade de seus endpoints.

  • Para máquinas pertencentes a usuários que retornam ao escritório após trabalhar remotamente, verifique se estão em conformidade com suas políticas de segurança. Se não, coloque-os em quarentena.

  • Instale as atualizações e os pacotes de recursos mais recentes antes de considerar suas máquinas de back-to-office adequadas para produção.

  • Faça um inventário e remova aplicações que agora estão obsoletas para suas máquinas de back-to-office, como software de colaboração remota.

Com o Endpoint Central ou o Patch Manager Plus, você pode automatizar completamente todo o processo de gerenciamento de patches, desde o teste de patches até a implantação. Você também pode personalizar as tarefas de patch de acordo com suas necessidades atuais. Para uma experiência prática com qualquer um desses produtos, experimente uma avaliação gratuita de 30 dias e mantenha milhares de aplicações corrigidas e seguras.