Patch Tuesday di gennaio: Microsoft risolve quasi 100 falle
Il primo Patch Tuesday dell’anno di Microsoft riguarda 98 vulnerabilità di sicurezza, di cui 10 classificate come critiche per Windows. In particolare, una vulnerabilità (CVE-2023-21674) in una sezione centrale del codice di Windows è un zero-day che richiede attenzione immediata. Di seguito riportiamo le novità principali di questo aggiornamento.
Problemi noti
Ogni mese, Microsoft include un elenco di problemi noti relativi al sistema operativo e alle piattaforme incluse in questo ciclo di aggiornamenti.
- Microsoft Exchange (2016 e 2019): Dopo l’installazione dell’aggiornamento di gennaio, le anteprime delle pagine Web per gli URL condivisi in Outlook sul Web (OWA) non vengono visualizzate correttamente. Microsoft sta lavorando a una soluzione per questo problema.
- Windows 10: dopo l’installazione dell’aggiornamento KB5001342 o successivo, il Microsoft Cluster Service potrebbe non avviarsi perché non viene trovato un Cluster Network Driver.
Guida ai test
Dato l’elevato numero di modifiche incluse in questo ciclo di patch di gennaio, abbiamo suddiviso gli scenari di test in gruppi ad alto rischio e a rischio standard:
Rischio elevato
Questo aggiornamento di gennaio di Microsoft apporta un numero significativo di modifiche ad alto rischio al kernel di sistema e ai sottosistemi di stampa di Windows. Purtroppo, queste modifiche includono file di sistema critici come win32base.sys, sqlsrv32.dll e win32k.sys, ampliando ulteriormente il profilo di test per questo ciclo di patch.
Poiché tutte le modifiche ad alto rischio riguardano il sottosistema di stampa di Windows (anche se non abbiamo riscontrato cambiamenti di funzionalità), consigliamo vivamente di eseguire i seguenti test incentrati sulla stampa:
- Aggiungere e rimuovere watermark durante la stampa.
- Cambiare la directory di spool di stampa predefinita.
- Collegarsi a una stampante Bluetooth e stampare pagine in bianco e nero e a colori.
- Provare a utilizzare il driver MS Publisher Imagesetter (Microsoft). È disponibile come driver di stampa “generico” e può essere installato su qualsiasi computer Windows 8.x o successivo. A causa del gran numero di siti di download che forniscono questo driver, assicuratevi che il download sia firmato digitalmente e provenga da una fonte affidabile (ad esempio, Windows Update).
Tutti questi scenari richiederanno test significativi a livello di applicazione prima di una distribuzione generale dell’aggiornamento di questo mese. Oltre a questi requisiti di test specifici, suggeriamo un test generale delle seguenti funzioni di stampa:
- Stampare da stampanti collegate direttamente.
- Stampa remota (tramite RDP e VPN).
- Test di scenari fisici e virtuali con applicazioni a 32 bit su macchine a 64 bit.
Più in generale, data l’ampia natura di questo aggiornamento, suggeriamo di testare le seguenti funzionalità e componenti di Windows:
- Testare scenari basati sull’utente che si basano sul supporto dei punti di contatto e delle gesture.
- Provare a connettere/disconnettere le sessioni VPN STTP. Per saperne di più su questi protocolli aggiornati, cliccate qui.
- Utilizzando i servizi LDAP di Microsoft, testate le applicazioni che richiedono l’accesso alle query di Active Directory.
Oltre a queste modifiche e ai conseguenti requisiti di test, abbiamo incluso alcuni scenari di test più difficili per questo aggiornamento di gennaio:
- Query SQL: Dovrete assicurarvi che le vostre applicazioni business-critical che utilizzano SQL funzionino davvero. A tal proposito Microsoft ha dichiarato: “Questo aggiornamento risolve un problema noto che riguarda le applicazioni che utilizzano Microsoft Open Database Connectivity (ODBC) SQL Server Driver (sqlsrv32.dll) per connettersi ai database”. Questo mese, quindi, la situazione dovrebbe migliorare.
Con tutti questi scenari di test più complessi, vi consigliamo di eseguire una scansione del vostro portafoglio di applicazioni alla ricerca di componenti applicativi aggiornati o di dipendenze a livello di sistema. Questa scansione dovrebbe fornire un elenco ristretto di applicazioni interessate, riducendo così l’impegno per i test e la successiva distribuzione.
Aggiornamento del ciclo di vita di Windows
Questa sezione contiene importanti modifiche all’assistenza (e alla maggior parte degli aggiornamenti di sicurezza) per le piattaforme desktop e server di Windows. Con Windows 10 21H2 ormai fuori dal supporto mainstream, le seguenti applicazioni Microsoft raggiungeranno la fine del supporto mainstream nel 2023:
- Microsoft Endpoint Configuration Manager, versione 2107 (ora abbiamo Intune, quindi va bene).
- Windows 10 Enterprise and Education, versione 20H2 (abbiamo 5 mesi per la migrazione).
- Windows 10 Home e Pro, versione 21H2 (con data di scadenza giugno 2023).
- Exchange Server 2013 Extended Support (11 aprile 2023).
Browser
Questo mese Microsoft ha rilasciato cinque aggiornamenti per il suo browser Edge, tutti volti a risolvere le vulnerabilità legate alla memoria nel motore di Chromium. Per il resto non ci sono stati altri aggiornamenti per i browser (o motori di rendering) di Microsoft.
Windows
Gennaio porta 10 aggiornamenti critici e 67 patch classificate come importanti per la piattaforma Windows. Esse riguardano i seguenti componenti chiave:
- Microsoft Local Security Authority Server (lsasrv)
- Microsoft WDAC OLE DB provider (e driver ODBC) per SQL
- Windows Backup Engine
- Windows Cryptographic Services
- Windows Error Reporting (WER)
- Windows LDAP – Lightweight Directory Access Protocol
In generale, si tratta di un update incentrato sull’aggiornamento dello stack di autenticazione di rete e locale con alcune correzioni al ciclo di patch del mese scorso. Purtroppo, è stata segnalata pubblicamente una vulnerabilità (CVE-2023-21674) in una sezione centrale del codice di Windows (ALPC). Microsoft descrive questo scenario come grave, in quanto un aggressore che sfruttasse con successo questa vulnerabilità potrebbe ottenere i privilegi di sistema.
Microsoft Office
Microsoft ha risolto un singolo problema critico con SharePoint Server (CVE-2023-21743) e altre otto vulnerabilità di sicurezza ritenute importanti che riguardano Visio e le applicazioni di Office 365.
Microsoft Exchange Server
Per quanto riguarda Microsoft Exchange Server, Microsoft ha fornito cinque aggiornamenti, tutti classificati come importanti per le versioni 2016 e 2019:
- CVE-2023-21745 – Vulnerabilità dello spoofing di Microsoft Exchange Server
- CVE-2023-21761 – Vulnerabilità di divulgazione delle informazioni di Microsoft Exchange Server
- CVE-2023-21762 – Vulnerabilità di spoofing di Microsoft Exchange Server
- CVE-2023-21763 – Vulnerabilità di elevazione dei privilegi di Microsoft Exchange Server
- CVE-2023-21764 – Vulnerabilità di elevazione dei privilegi di Microsoft Exchange Server
Nessuna di queste vulnerabilità è stata rilasciata pubblicamente, è stata segnalata come sfruttata in natura o è stata documentata come causa di esecuzione di codice arbitrario. Con questi pochi problemi di sicurezza a basso rischio, si consiglia di verificare e aggiornare ogni server con calma. Si noti che Microsoft ha introdotto una nuova funzionalità che potrebbe richiedere ulteriori test.
Piattaforme di sviluppo Microsoft
Microsoft ha rilasciato due aggiornamenti per la sua piattaforma di sviluppo (CVE-2023-21779 e CVE-2023-21538) che interessano Visual e Microsoft .NET 6.0. Entrambi gli aggiornamenti sono considerati importanti da Microsoft e possono essere aggiunti al programma di rilascio standard.
Adobe Reader
Questo mese sono tornati gli aggiornamenti per Adobe Reader, anche se le ultime patch non sono state pubblicate da Microsoft. L’ultima serie di aggiornamenti (APSB 23-01) risolve otto problemi critici legati alla memoria e sette aggiornamenti importanti, il peggiore dei quali potrebbe portare all’esecuzione di codice arbitrario su un sistema privo di patch. Con una valutazione CVSS superiore alla media (7,8), si consiglia di aggiungere questo aggiornamento al ciclo di rilascio Patch Now.