Wenn da nicht einige ernsthafte Sicherheitsprobleme mit lokalen Microsoft Exchange-Servern wären, würde ich sagen, dass die Dinge für die Patches dieses Monats ziemlich gut aussehen.

Wenn da nicht die schwerwiegenden Sicherheitsprobleme im Zusammenhang mit lokalen Microsoft Exchange-Servern (CVE-2021-2685, CVE-2021-27065, CVE-2021-26857 und CVE-2021-26858) wären, würde ich sagen, dass die Dinge ziemlich gut aussehen für den Patch-Dienstag dieses Monats. Auf dem Desktop gibt es noch einiges zu testen, darunter Drucken, Remote-Desktop-Verbindungen über VPNs und grafikintensive Vorgänge. Und während die anderen niedriger bewerteten Microsoft Office- und Entwicklungsplattform-Updates Aufmerksamkeit erfordern, erfordern sie keine schnelle Reaktion und können dem regulären Testregime und der Bereitstellungsfrequenz hinzugefügt werden.

Ich habe eine hilfreiche Infografik beigefügt, die diesen Monat (wieder) etwas schief aussieht, da die gesamte Aufmerksamkeit auf die Windows- und Office-Komponenten gerichtet werden sollte.

Wichtige Testszenarien

In diesem Monat gibt es zwei Updates für die Microsoft Windows-Plattformen, die ein hohes Risiko darstellen, darunter:

[Weiterführende Literatur: 14 Möglichkeiten, Windows 10 zu beschleunigen]

Eine Änderung der Handhabung von lokalen Druckertreibern (betroffene Dateien sind: localspl.dll und PrintFilterPipelineSvc.exe).

Ein Core-Update für den Windows-Systemkernel (win32kbase.sys).

Diese beiden wesentlichen Änderungen betreffen alle unterstützten Microsoft Windows-Desktop- und -Serverplattformen. In Zusammenarbeit mit Microsoft haben wir ein System entwickelt, das Microsoft-Updates durchkämmt und jeden Monat veröffentlichte Dateiänderungen (Deltas) mit unserer Testbibliothek abgleicht. Das Ergebnis ist eine „Hot-Spot“-Testmatrix, die unseren Portfolio-Testprozess vorantreibt.

Diesen Monat ergab unsere Analyse dieser Patch-Dienstag-Version die folgenden Testszenarien:

Testen Sie Ihre lokalen (normalerweise die entfernten) Drucker. Testen Sie Ihre vorhandenen installierten Drucker-Updates auf einem aktualisierten Computer, aber versuchen Sie vor allem, einen neuen Druckertreiber zu installieren (sorry Kyocera). Der Gedanke hier ist, dass 32-Bit-Systeme Informationen nicht korrekt an 64-Bit-Treiber weitergeben und einen BSOD verursachen. Das Testen kann mit einfachen Apps wie Notepad durchgeführt werden. Was natürlich ziemlich beunruhigend ist, wenn man darüber nachdenkt.

Testen Sie Ihr verschlüsseltes Dateisystem und Ihre RDS-Verbindungen. Es gab eine Änderung an den kryptografischen FIPS-Komponenten, die möglicherweise Aufmerksamkeit erfordert. Lesen Sie hier mehr über die FIPS-konforme Verschlüsselungstechnologie.

Weiter unten auf der Prioritätenliste empfehlen wir, VPN-Verbindungen, JPEG-Bilddatei-Rendering und Audio-Streaming zu testen (um sicherzustellen, dass es weiterhin wie erwartet funktioniert).

Bekannte Probleme

Jeden Monat stellt Microsoft eine Liste bekannter Probleme bereit, die sich auf das Betriebssystem und die Plattformen dieses Aktualisierungszyklus beziehen. Ich habe auf einige wichtige Probleme verwiesen, die sich auf die neuesten Builds von Microsoft beziehen, darunter:

EMPFOHLENE WHITEPAPER

HPE Intelligente Datenplattform

6 Techniken für den Self-Service-Erfolg​

5 Schritte zum Kampf gegen Endpoint-Cyberkriminalität mit Kace

Windows 10 2004: System- und Benutzerzertifikate können verloren gehen, wenn ein Gerät von Windows 10, Version 1809 oder höher, auf eine neuere Version von Windows 10 aktualisiert wird. Geräte sind nur betroffen, wenn sie bereits ein neuestes kumulatives Update (LCU) installiert haben, das am veröffentlicht wurde 16. September 2020 oder höher und fahren Sie dann mit dem Aktualisieren auf eine neuere Version von Windows 10 von Medien oder einer Installationsquelle fort, die keine integrierte LCU enthält, die am 13. Oktober 2020 oder höher veröffentlicht wurde.

Windows Server 2016: Nach der Installation von KB4467684 kann es vorkommen, dass der Clusterdienst mit dem Fehler „2245 (NERR_PasswordTooShort)“ nicht startet, wenn die Gruppenrichtlinie „Minimum Password Length“ mit mehr als 14 Zeichen konfiguriert ist. Microsoft hat eine Problemumgehung veröffentlicht: "Setzen Sie die Domänenstandardrichtlinie "Mindestkennwortlänge" auf weniger als oder gleich 14 Zeichen."

Sie finden auch die Zusammenfassung bekannter Probleme von Microsoft für diese Version auf einer einzigen Seite.

Wichtige Überarbeitungen

Mitte des Monats gab es eine Reihe von Aktualisierungen und Überarbeitungen der Dokumentation und veröffentlichten Informationen für mehrere CVE-Versionen, darunter: CVE-2021-24094 und CVE-2021-24086 (beide adressieren eine häufige Windows TCP/IP Remote Code Execution-Sicherheitslücke). Diese Überarbeitungen umfassten nur kleinere Dokumentationsaktualisierungen der CVE-Einträge – es sind keine weiteren Maßnahmen erforderlich.

Abschwächungen und Problemumgehungen

Ähnlich wie bei den Mitte Februar veröffentlichten Überarbeitungen von Microsoft gibt es eine kurze Liste von Updates mit Minderung oder veröffentlichten Problemumgehungen:

CVE-2021-24094, CVE-2021-24074 und CVE-2021-24086: Diese beiden Updates haben Problemumgehungen für die Ausführung des folgenden Befehls "Netsh int ipv6 set global reassemblylimit=0" auf einem Zielsystem veröffentlicht. Diese aktualisierten Änderungen dienen lediglich Dokumentationszwecken und sollten sich nicht auf die beteiligten technischen Komponenten auswirken.

Wenn Sie sich im Februar mit diesen vorgeschlagenen Maßnahmen befasst haben, sind für die Veröffentlichung dieses Monats keine weiteren Maßnahmen erforderlich.

Jeden Monat unterteilen wir den Update-Zyklus in Produktfamilien (wie von Microsoft definiert) mit den folgenden grundlegenden Gruppierungen:

Browser (Microsoft IE und Edge).

Microsoft Windows (sowohl Desktop als auch Server).

Microsoft Office (einschließlich Web-Apps und Exchange).

Microsoft-Entwicklungsplattformen (ASP.NET Core, .NET Core und Chakra Core).

Adobe Flash Player (im Ruhestand).

Browser

Dieser Monat ist der erste, in dem Microsoft damit begonnen hat, die Open-Source-Chromium-Updates von Standard-Browser-Patches in der Dokumentation zur Update-Version zu unterscheiden. Mit nur einem einzigen (wichtigen) Update für Microsoft Internet Explorer (CVE-2021-27085) wird die überwiegende Mehrheit der Updates in diesem Monat (33) an das Chromium-Projekt angehängt. Angesichts der Tatsache, dass Microsofts Edge nicht so in den Desktop (und in einem viel geringeren Grad auf Serverplattformen) integriert ist, sehen wir beim Aktualisieren seiner Binärdateien nicht so viele Upgrade- oder Peer-Level-Kompatibilitätsprobleme.

Microsoft Edge ist so ziemlich darauf ausgelegt, aktualisiert oder aktualisiert zu werden, ohne Integrationsprobleme zu verursachen. Angesichts der anderen Updates mit geringer Auswirkung auf Internet Explorer empfehlen wir Ihnen, diese Updates Ihrem Standard-Update-Zeitplan hinzuzufügen.

Microsoft Windows

Ungewöhnlich stellen wir fest, dass die Windows-Updates für diesen Monat nicht im Mittelpunkt stehen. Dies ist immer noch ein großes Update des Windows-Ökosystems, mit einem öffentlich gemeldeten Exploit (CVE-2021-27077) im GDI-Grafiksubsystem, sechs als kritisch eingestuften Updates und weiteren 45 als wichtig eingestuften Patches. Wir sehen auch viele "Bereiche", die abgedeckt werden, einschließlich Kernel- und GDI-Komponenten, die in der Vergangenheit Kompatibilitätsprobleme verursacht haben.

Hier ist eine kurze Liste der kritischen Updates und der betroffenen Funktionen:

CVE-2021-26867 Hyper-V

CVE-2021-26876 Microsoft-Grafikkomponente

CVE-2021-26897 DNS-Server

CVE-2021-26902, CVE-2021-27061, CVE-2021-24089 Microsoft Windows-Codec-Bibliothek

Ich empfehle, dass Sie sich die folgenden CVEs (alle von Microsoft als wichtig eingestuft) auf potenzielle App-Kompatibilitäts- und/oder Integrationsprobleme ansehen:

CVE-2021-1729, CVE-2021-26866, CVE-2021-26889 - Windows Update-Stack

CVE-2021-27077, CVE-2021-26861, CVE-2021-26863, CVE-2021-26868, CVE-2021-26875 - Microsoft GDI

Einige (potenzielle) Störenfriede sind CVE-2021-1640 und CVE-2021-26878, die beide das Druck-Subsystem aktualisieren. Fügen Sie die Windows-Patch-Dienstag-Updates dieses Monats zu Ihrem Update-Veröffentlichungszeitplan "Testen vor der Bereitstellung" hinzu.

Microsoft Office (und natürlich Exchange)

Microsoft hat 11 Updates, die alle als wichtig eingestuft wurden, für die Microsoft Office- und SharePoint-Plattformen veröffentlicht, die die folgenden Anwendungs- oder Funktionsgruppierungen abdecken: SharePoint, Excel, Visio und PowerPoint.

Alle 11 dieser gemeldeten Microsoft Office-Schwachstellen erfordern lokalen Zugriff und Benutzerinteraktion (diesen Monat keine Würmer). Normalerweise sind die Excel-Sicherheitsprobleme ein Problem, aber nicht in diesem Monat. Und wenn in diesem Monat nicht die Exchange-Probleme wären, würde ich sagen, dass diese Updates ohne große Bedenken zu Ihrem Standard-Update-Zeitplan von Office hinzugefügt werden könnten. Wir haben jedoch (jetzt) ​​vier sehr schwerwiegende Probleme mit Microsoft Exchange, die eine sofortige Behandlung aller lokal installierten Exchange-Server erfordern (CVE-2021-2685, CVE-2021-27065, CVE-2021-26857 und CVE-2021-26858).

Microsoft hat diese vier äußerst dringenden und kritischen Probleme im Laufe der Woche aktualisiert, wobei jede Änderung den potenziellen Umfang der Bedenken vergrößert. Ich denke, der Rat von CISA, "Ihre Server mit dem Internet zu patchen oder zu trennen", sagt wahrscheinlich genug über diese schwerwiegenden gemeldeten Schwachstellen in lokal installierten, lokalen Microsoft Exchange-Servern. Office 365, jemand?

Patchen Sie Ihre Exchange-Server vor Ihrer morgendlichen Tasse Tee, und fügen Sie dann die verbleibenden Office-Updates zu Ihrem regulären Updateplan hinzu.

Microsoft-Entwicklungsplattformen

Microsoft hat sechs Updates für die Microsoft-Entwicklungsplattformen veröffentlicht, von denen eines als kritisch und die restlichen fünf als wichtig eingestuft wurden. Dieses einzelne kritische Update bezieht sich auf die lokalen GIT-Komponenten für Visual Studio und alle verbleibenden wichtigen Updates beziehen sich auch auf Visual Studio. Wir sind jedes dieser Updates durchgegangen; Die Auswirkungen der Integration sind marginal und ohne zwingende Ereignisse, die eine schnelle Reaktion ermöglichen, empfehlen wir Ihnen, diese zu Ihrem regelmäßigen Aktualisierungsplan hinzuzufügen.

Adobe Flash Player

Wird dies das letzte sein, was wir von Flash hören? Ich habe das schon einmal gesagt und wurde (leider) korrigiert. Für März gibt es von Microsoft nichts zu berichten. Mal sehen, ob wir diesen Abschnitt im April einstellen können.