Выпущены августовские обновления безопасности Microsoft

В августе компания Microsoft выпустила обновления безопасности для закрытия 120 уязвимостей в своих продуктах, 17 из которых являются критическими, а 2 были замечены в ограниченном числе целенаправленных атак.

В данной статье я расскажу о самых главных моментах этого выпуска.

Общий взгляд

Сводная информация по количеству и типу уязвимостей в соответствующих продуктах приведена на графике ниже:

Сводная информация по количеству и типу уязвимостей закрытых августовскими обновлениями безопасности Microsoft

Обратите внимание

На следующие уязвимости и обновления безопасности следует обратить особое внимание:

Windows

CVE-2020-1585 – Microsoft Windows Codecs Library Remote Code Execution (Critical RCE – CVSS 8.8)

Затронутое ПО: поддерживаемые версии Windows 10. Уязвимая библиотека кодеков не поставляется по умолчанию с дистрибутивом ОС, а должна быть установлена вручную или иным способом из магазина Microsoft. Установленные экземпляры кодеком получат обновления автоматически через магазин Microsoft (если только данный функционал не был намеренно отключен пользователем).

CVE-2020-1509 – Local Security Authority Subsystem Service (LSASS) Elevation of Privilege (Important EOP – CVSS 8.8)

Затронутое ПО: поддерживаемые версии Windows и Windows Server.

CVE-2020-1554 – Media Foundation Memory Corruption Vulnerability (Critical RCE – CVSS 8)

Затронутое ПО: поддерживаемые версии Windows и Windows Server.

CVE-2020-1464 – Windows Spoofing Vulnerability (Important Spoofing, Exploitation Detected – CVSS 5.3)

Затронутое ПО: поддерживаемые версии Windows и Windows Server.

CVE-2020-1472 – Netlogon Elevation of Privilege Vulnerability (Critical EOP – CVSS 10.0!)

Затронутое ПО: Windows Server 2008 R2, 2012, 2012 R2, 2016, 2019.

Закрытие данной уязвимости запланировано в 2 фазы:

  • первоначальная установка обновления безопасности от 12 августа 2020 г. (с возможностью ручного включения принудительного режима с поддержкой исключительно защищенных каналов между членами и контроллерами домена Active Directory с максимальным уровнем безопасности);
  • принудительное включение режима с поддержкой исключительно защищенных каналов между членами и контроллерами домена Active Directory с максимальным уровнем безопасности после установки обновления безопасности от 9 февраля 2021 г.

В рамках 1-й фазы обновлённые ОС Windows Server с ролью контроллера домена будут поддерживать установку защищенных каналов по протоколу Netlogon (MS-NRPC) от:

  • членов домена с ОС Windows,
  • контроллеров домена под управлением ОС, отличных от Windows, которые поддерживают максимальный режим безопасности защищенного канала с контроллером домена,
  • членов домена под управлением ОС, отличных от Windows (включая ОС, которые не поддерживают максимальный режим безопасности защищенного канала с контроллером домена),
  • запросы от контроллеров домена под управлением ОС, отличных от Windows, которые не поддерживают максимальный режим безопасности защищенного канала с контроллером домена, будут отклонены!

Также в рамках 1-й фазы есть возможность ручного включения принудительного режима с поддержкой исключительно защищенных каналов между членами и контроллерами домена Active Directory с максимальным уровнем безопасности через правку нового ключа реестра, добавляемого обновлением безопасности от августа 2020 г. В этом случае контроллеры домена начнут вести себя, как во 2-й фазе – без необходимости ожидания обновлений от февраля 2021 г.

в рамках 1ой фазы есть возможность ручного включения принудительного режима

В рамках 2-й фазы обновлённые ОС Windows Server с ролью контроллера домена будут поддерживать установку защищенных каналов по протоколу Netlogon (MS-NRPC) от:

  • членов домена с ОС Windows,
  • контроллеров домена под управлением ОС, отличных от Windows, которые поддерживают максимальный режим безопасности защищенного канала с контроллером домена,
  • запросы от членов домена под управлением ОС, отличных от Windows, которые не поддерживают максимальный режим безопасности защищенного канала с контроллером домена, будут отклонены,
  • запросы от контроллеров домена под управлением ОС, отличных от Windows, которые не поддерживают максимальный режим безопасности защищенного канала с контроллером домена, будут отклонены!

В рамках 2ой фазы обновлённые ОС Windows Server с ролью контроллера домена будут поддерживать установку защищенных каналов по протоколу Netlogon

В рамках 2-й фазы обновлённые ОС Windows Server с ролью контроллера домена будут поддерживать установку защищенных каналов по протоколу Netlogon (MS-NRPC) от членов домена под управлением ОС, отличных от Windows, которые не поддерживают максимальный режим безопасности защищенного канала с контроллером домена, только после создания через объекты групповой политики домена отдельных исключений.

В рамках 2ой фазы обновлённые ОС Windows Server с ролью контроллера домена будут поддерживать установку защищенных каналов по протоколу Netlogon

За подробной инструкцией с описанием фаз и ожидаемого поведения ПО обратитесь к статье базы знаний.

Microsoft Browsers

CVE-2020-1567 – MSHTML Engine Remote Code Execution Vulnerability (Critical/Modern RCE – CVSS 7.5)

Затронутое ПО: Internet Explorer 11/9.

CVE-2020-1380 – Scripting Engine Memory Corruption Vulnerability (Critical/Modern RCE, Exploitation Detected – CVSS 7.5)

Затронутое ПО: Internet Explorer 11.

Microsoft Office

CVE-2020-1483 – Microsoft Outlook Memory Corruption Vulnerability (Critical RCE, Preview Pane is an attack vector!)

Затронутое ПО: Microsoft 365 Apps for Enterprise, Office 2019, Outlook 2016, Outlook 2013, Outlook 2010.

CVE-2020-1495 – Microsoft Excel Remote Code Execution Vulnerability (Important RCE)

Затронутое ПО: SharePoint Server 2010, SharePoint Enterprise Server 2013, Office Online Server, M365 Apps for Enterprise, Office 2010/2013/2016/2019, Excel 2010/2013/2016, Office 2016/2019 for Mac.

Microsoft SharePoint

CVE-2020-1499 – Microsoft SharePoint Spoofing Vulnerability (Important Spoofing XSS)

Затронутое ПО: SharePoint Server 2019, SharePoint Enterprise Server 2013/2016, SharePoint Foundation 2010/2013.

Visual Studio, .NET Framework, .NET Core

CVE-2020-1046 (Critical RCE)

CVE-2020-1476

CVE-2020-1597

CVE-2020-0604

SQL Server

CVE-2020-1455

Other software

CVE-2020-1461 – Dynamics 365 (on-premises) version 9.0 Spoofing

Рекомендации по безопасности

Были дополнены и обновлены следующие рекомендательные документы:

ADV990001 – Latest Servicing Stack Updates (SSU)

Обновления SSU были выпущены для:

Windows 10 1809/Server 2019

Windows 10 1903/Windows Server, version 1903

Windows 10 1909/Windows Server, version 1909

Windows 10 2004/Windows Server, version 2004

Окончание поддержки

Внимание: 14 января 2020 г. закончилась поддержка Windows 7, Windows Server 2008, Windows Server 2008 R2!

Обновления безопасности доступны только заказчикам с контрактом Extended Security Updates (ESU). Подробности о ESU можно получить в этой статье.

Подробности об окончании поддержки и вариантах миграции на нашем портале.

Возможные проблемы

Полный список статей базы знаний для соответствующих пакетов обновлений, с которыми связаны потенциальные проблемы при установке, приведен в заметках к выпуску.

Дополнительная информация

Самую полную и актуальную информацию об уязвимостях и обновлениях безопасности вы можете найти на нашем портале Security Update Guide.

Для Windows 7 и Windows 2008/R2 в интерфейсе Security Update Guide появилась отдельная категория ESU (Extended Security Updates):

в интерфейсе Security Update Guide появилась отдельная категория ESU (Extended Security Updates):

Запись вебинара с разбором выпуска

Вы также можете посмотреть запись нашего ежемесячного вебинара Брифинг по безопасности, посвященного подробному разбору текущего выпуска обновлений и бюллетеней безопасности компании Microsoft.

Помните, для 86% всех уязвимостей были доступны патчи на момент их обнародования*, и своевременно обновляйте ваши системы.

А для того чтобы быть в курсе самых актуальных новостей информационной безопасности Microsoft, подписывайтесь на канал https://aka.ms/artsin.

 

Артём Синицын CISSP, CCSP, MCSE, Microsoft Certified Azure Security Engineer

руководитель программ информационной безопасности Microsoft

Twitter: https://aka.ms/artsin

YouTube: https://aka.ms/artsinvideo


*Vulnerability Review Report 2018 by Flexera

Tags: , ,

Связанные посты