Tol Microsoft's Black Tuesday: KB 3003743, IE11, EMET 5, dan webcast keamanan

Dengan 14 pembaruan keamanan yang mencakup perbaikan untuk 33 lubang keamanan yang diidentifikasi secara terpisah, 14 tambalan nonsecurity baru, dua perubahan pada penginstal untuk tambalan keamanan yang lebih lama, dan tiga perubahan untuk pembaruan nonsecurity yang lebih lama, Black Tuesday November akan turun sebagai salah satu yang terberat yang pernah ada. Tapi tambalan itu sendiri hanyalah sebagian dari cerita.

Tambalan Black Tuesday bulan ini dimulai dengan tanda aneh - meski penuh harapan. Microsoft secara sukarela menarik dua Buletin Keamanan (dengan jumlah tambalan terkait yang tidak diketahui) sebelum dirilis. Baik MS14-068 dan MS14-075 tercantum dalam ringkasan Buletin Keamanan resmi sebagai "Tanggal rilis akan ditentukan." Saya belum pernah melihat sebutan itu sebelumnya. Mungkin Microsoft menangkap bug di tambalan dan menariknya pada menit terakhir. Jika demikian, itu perkembangan yang sangat positif.

Saya melihat laporan sporadis KB 3003743 - bagian dari MS14-074 - melanggar sesi RDP bersamaan. Poster turducken di forum My Digital Life menyematkannya:

Pembaruan hari ini mencakup KB3003743 dan dengan itu muncul termsrv.dll versi 6.1.7601.18637

Jason Hart juga tweeted bahwa KB 3003743 membunuh software virtualisasi NComputing.

Ini terdengar mengingatkan pada masalah yang disebabkan bulan lalu oleh KB 2984972, yang juga mengganggu sesi RDP bersamaan pada beberapa mesin. Solusi mudah bulan lalu adalah mencopot pemasangan tambalan, dan RDP mulai berfungsi kembali. Microsoft memiliki solusi yang jauh lebih kompleks dalam artikel KB 2984972. Tidak ada indikasi pada saat ini apakah solusi manual berfungsi dengan KB 3003743. Saya juga belum mendengar apakah ada paket App-V yang terpengaruh - ciri lain dari patch KB 2984872 yang buruk bulan lalu.

Jika Anda menjalankan IE11 dan EMET, penting untuk pindah ke versi terbaru, EMET 5.1, sebelum menginstal patch MS14-065 / KB 3003057 bulan ini. Blog TechNet menjelaskannya sebagai berikut:

Jika Anda menggunakan Internet Explorer 11, baik di Windows 7 atau Windows 8.1, dan telah menerapkan EMET 5.0, sangatlah penting untuk menginstal EMET 5.1 karena masalah kompatibilitas ditemukan dengan pembaruan keamanan Internet Explorer November dan mitigasi EAF +. Ya, EMET 5.1 baru saja dirilis pada hari Senin.

Ada beberapa kekhawatiran di pers bahwa bug "schannel" yang baru diperbaiki mungkin meresap dan dapat dieksploitasi seperti lubang Heartbleed OpenSSL terkenal yang ditemukan awal tahun ini.

Tidak diragukan lagi, Anda harus menginstal MS14-066 / KB 2992611 pada mesin Windows apa pun yang menjalankan server Web, server FTP, atau server email - lebih cepat, daripada nanti. Tetapi apakah Anda perlu menghentikan semuanya dan menambal server Anda sekarang juga? Pendapatnya beragam.

SANS Internet Storm Center, yang biasanya mengambil sikap menambal yang sangat proaktif, melakukan lindung nilai taruhannya dengan yang satu ini. SANS mencantumkan MS14-066 sebagai "Kritis", bukan "Patch Sekarang" yang lebih mengerikan. Dr. Johannes Ullrich melanjutkan dengan mengatakan:

Dugaan saya adalah bahwa Anda mungkin memiliki waktu seminggu, mungkin kurang, untuk menambal sistem Anda sebelum eksploitasi dirilis. Anda punya inventaris yang bagus untuk sistem Anda? Maka Anda dalam kondisi yang baik untuk membuat ini berhasil. Selebihnya (sebagian besar?): Saat Anda menambal, cari tahu juga tindakan balasan dan konfigurasi darurat alternatif.

Target yang paling mungkin adalah layanan SSL yang dapat dijangkau dari luar: Server Web dan Email akan berada di urutan teratas daftar saya. Tetapi tidak ada salahnya untuk memeriksa laporan dari pemindaian eksternal terakhir Anda pada infrastruktur Anda untuk melihat apakah Anda mendapatkan yang lain. Mungkin ide yang bagus untuk mengulangi pemindaian ini jika Anda belum menjadwalkannya secara teratur.

Selanjutnya pindah ke server internal. Mereka agak sulit dijangkau, tetapi ingat bahwa Anda hanya memerlukan satu workstation yang terinfeksi internal untuk mengeksposnya.

Ketiga: Laptop bepergian dan sejenisnya yang meninggalkan perimeter Anda. Mereka seharusnya sudah dikunci, dan tidak mungkin mendengarkan koneksi SSL masuk, tetapi tidak ada salahnya untuk memeriksa ulang. Beberapa VPN SSL yang aneh? Mungkin beberapa perangkat lunak pengirim pesan instan? Pemindaian port cepat akan memberi tahu Anda lebih banyak.

Segelintir mitologi perkotaan sudah terbentuk di sekitar schannel. Anda mungkin membaca di media bahwa lubang keamanan schannel telah ada selama 19 tahun. Tidak benar - bug schannel diidentifikasi sebagai CVE-2014-6321, dan ditemukan oleh peneliti tidak dikenal (mungkin internal Microsoft). Ini adalah lubang di perangkat lunak untuk koneksi HTTPS.

Kerentanan berusia 19 tahun, yang ditemukan oleh tim peneliti IBM X-Force, adalah CVE-2014-6332. Ini adalah lubang di COM yang dapat dieksploitasi melalui VBScript. Itulah bug yang diperbaiki oleh MS14-064 / KB 3011443. Sejauh yang saya tahu, kedua kerentanan keamanan tidak memiliki kesamaan.

Jangan bingung. BBC mengacaukan dua celah keamanan tersebut, dan outlet berita lainnya meniru laporan tersebut.

Adapun hilangnya webcast keamanan bulanan secara tiba-tiba - tidak ada pengumuman resmi, tetapi Dustin Childs, yang biasa menjalankan webcast, telah ditugaskan kembali, dan saya tidak dapat menemukan webcast untuk buletin keamanan November. Pagi ini, Childs men-tweet:

14 buletin, bukan 16-mereka bahkan tidak memberi nomor baru. Tidak ada prioritas penerapan. Tidak ada video ikhtisar. Tidak ada siaran web. Saya kira banyak hal berubah.

Itu perkembangan yang menakjubkan, terutama bagi siapa saja yang harus memahami kecenderungan patching Microsoft. Gagal menomori ulang buletin tidak akan menggoyahkan kepercayaan siapa pun pada rejimen penambalan Microsoft - Saya menganggapnya sebagai perubahan yang disambut baik. Tetapi kurangnya daftar prioritas penyebaran buletin keamanan bulanan, video ikhtisar, atau siaran web membuat sebagian besar profesional keamanan Windows dalam kesulitan. Microsoft telah mengeluarkan video ikhtisar untuk Black Tuesday selama bertahun-tahun, dan webcast menawarkan banyak nasihat kotor yang tidak tersedia di tempat lain.

Jika siaran web telah ditarik - tidak ada konfirmasi resmi yang dapat saya lihat - pelanggan perusahaan Microsoft, khususnya, memiliki alasan kuat untuk mengeluh.