Згідно з аналізом Ivanti Patch Tuesday, жовтень присвячений Європейському місяцю кібербезпеки. Це вдалий час для компаній, щоб переглянути свою власну стратегію безпеки: наскільки ІТ та команди ІТ-безпеки здатні зосередитися на найважливіших аспектах загальної кібергігієни.
Особливу роль тут завжди відіграє управління вразливістю. Уже 18 років корпорація Майкрософт об’єднує випуск нових виправлень у вівторок виправлення, допомагаючи компаніям консолідувати вікна тестування та обслуговування та виправляти вразливості безпеки в звичайному програмному забезпеченні більш передбачуваним способом.
Виправлення: різні вимоги до ІТ-команд
Патч у вівторок у жовтні: знову є деякі важливі вразливості (Зображення: Ivanti).
Однак останніми роками вимоги до ІТ-команд щодо встановлення виправлень змінилися: вони дедалі більше намагаються захистити ІТ-середовище, наповнене програмними продуктами за межами Microsoft & Co., які водночас мають дуже різні версії та випуск циклів роботи. І останнє, але не менш важливе: 71 відсоток усіх спеціалістів із безпеки скаржаться, що керування вразливими місцями займає надто багато часу та надто складно – згідно з поточним дослідженням Ivanti. Результат: виправлення все більше відходить на другий план, ніж інші завдання, як заявили 62% учасників дослідження. Подальші результати дослідження доступні для завантаження.
Оцінка Patch Tuesday у жовтні
Цього місяця корпорація Майкрософт випустила оновлення, які закривають загалом 74 нові вразливості безпеки (CVE) і дві повторно випущені CVE. Серед них чотири публічно оприлюднені вразливості та одна нульового дня (CVE-2021-40449). Microsoft оцінила три з 76 CVE цього місяця як критичні. Оновлення цього місяця стосуються операційних систем Windows, Office 365, Exchange Server, Intune, System Center, .Net Core & Visual Studio, а також ряду ролей в AD, ADFS, Hyper-V і DNS.
CVE-2021-40449 — це вразливість Win32k (підвищення прав) в операційній системі Windows, починаючи від Windows 7 і Server 2008 до Windows 11 і Server 2022. Корпорація Майкрософт класифікує цю вразливість лише як важливу для системи за ступенем серйозності. Це гарний приклад того, чому організації повинні віддавати пріоритет ризикам під час усунення вразливостей безпеки. Ризик-орієнтований підхід до управління вразливістю враховує більш реалістичні показники, такі як відомі вразливості, розкриття інформації та тенденції використання вразливості суб’єктами загрози. Мета цього підходу — краще зрозуміти, на яких уразливостях команди повинні зосередитися в першу чергу та швидко.
Microsoft усуває більше вразливостей
Microsoft також виправила вразливість CVE-2021-41338 у брандмауері Windows AppContainer, яку можна використовувати для обходу функцій безпеки. Уразливість була оприлюднена, включаючи код для підтвердження концепції. Це дозволяє суб’єктам загроз розробити експлойт. Уразливість існує в Windows 10, Server 2016 і пізніших версіях.
CVE-2021-41335, з іншого боку, є вразливістю в ядрі Windows, яка дозволяє підвищити привілеї. Уразливість існує у версіях від Windows 7 до Windows 10 і від Server 2008 до Server 2019. CVE було оприлюднено, включаючи код підтвердження концепції. Microsoft також виправила CVE-2021-40469, уразливість віддаленого виконання коду в Windows DNS. Уразливість впливає лише на сервери, налаштовані як DNS-сервери, і застосовується до серверів Server 2008 – Server 2022. Уразливість оприлюднена, а також містить код підтвердження концепції.
Покращення в жовтні
У CVE-2021-33781 Microsoft виправила вразливість, яка дозволяє обійти функції безпеки в Azure AD. Цю прогалину спочатку виправили у вівторок у липні. З оновленням додано інші версії Windows 10 (1607) Server 2016 і Windows 11.
Adobe випустила шість оновлень, включаючи одне для Acrobat і Reader, Connect, Reader Mobile, Commerce, Campaign Standard і ops-cli. Оновлення Adobe Connect (APSB21-91) і ops-cli (APSB21-88) містять критичні CVE з базовим балом CVSS 9,8 із 10. APSB21-104 для Adobe Acrobat і Reader виправляє більшість CVE по порядку. Загалом у цьому оновленні було виправлено чотири вразливості, дві з яких було класифіковано як критичні з оцінкою CVSS 7,8.
Adobe, FoxIT, Google тощо
FoxIt PDF випустив оновлення для версій Windows і macOS, які усувають багато вразливостей. Було ідентифіковано та виправлено сім CVE та кілька ідентифікаторів. Це вразливості, виявлені Trend Zero Day Initiative та Китайською національною базою даних вразливостей. Компанії можуть відвідати сторінку оновлень Foxit PDF Editor, щоб дізнатися більше.
Google Chrome випустив загалом чотири випуски після виправлення у вівторок у вересні, вирішивши загалом 25 CVE. Oracle, з іншого боку, не випускає свій квартальний процесор до 19 жовтня. ІТ-командам слід придивитися до оновлень Java, Oracle DB, проміжного ПЗ та інших продуктів Oracle протягом цього часу.