マイクロソフトのブラック火曜日の通行料:KB 3003743、IE11、EMET 5、およびセキュリティWebキャスト

個別に識別された33のセキュリティホールの修正を含む14のセキュリティ更新、14の新しい非セキュリティパッチ、古いセキュリティパッチのインストーラーへの2つの変更、および古い非セキュリティ更新の3つの変更により、11月のブラック火曜日はこれまでで最も重いものの1つとして減少しています。しかし、パッチ自体は話の一部にすぎません。

今月のブラック火曜日のパッチは、奇妙な(希望はあるものの)サインで始まりました。マイクロソフトは、リリースされる前に、2つのセキュリティ情報(関連するパッチの数は不明)を自主的に引き出しました。MS14-068とMS14-075はどちらも、公式のセキュリティ情報の概要に「リリース日は未定」と記載されています。私はその指定を見たことがありません。おそらくMicrosoftはパッチのバグを見つけて、最後の最後にそれらを引っ張った。もしそうなら、それは非常に前向きな進展です。

KB 3003743(MS14-074の一部)が同時RDPセッションを中断するという散発的なレポートが表示されます。My Digital Lifeフォーラムのポスターターダッキンはそれを固定します:

本日のアップデートにはKB3003743が含まれ、termsrv.dllバージョン6.1.7601.18637が付属しています。

Jason Hartはまた、KB3003743がNComputingの仮想化ソフトウェアを殺すとツイートしています。

これは、先月KB 2984972によって引き起こされた問題を彷彿とさせるように聞こえます。これは、一部のマシンで同時RDPセッションを破壊しました。先月の簡単な解決策はパッチをアンインストールすることでしたが、RDPは再び機能し始めました。Microsoftは、KB2984972の記事ではるかに複雑なソリューションを提供しています。手動ソリューションがKB3003743で機能するかどうかは、現時点ではわかりません。App-Vパッケージが影響を受けるかどうかも聞いていません。これは、先月のKB2984872パッチの不良のもう1つの特徴です。

IE11とEMETを実行している場合は、今月のMS14-065 / KB 3003057パッチをインストールする前に、最新バージョンのEMET5.1に移行することが重要です。TechNetブログでは、次のように述べています。

Windows7またはWindows8.1でInternetExplorer 11を使用していて、EMET 5.0を展開している場合、11月のInternetExplorerのセキュリティ更新プログラムとEAF +の緩和策で互換性の問題が発見されたため、EMET5.1をインストールすることが特に重要です。はい、EMET5.1は月曜日にリリースされたばかりです。

新たに修正された「schannel」バグが、今年初めに発見された悪名高いOpenSSL Heartbleedホールと同じくらい蔓延し、悪用される可能性があるという懸念がマスコミにあります。

間違いなく、MS14-066 / KB 2992611は、Webサーバー、FTPサーバー、または電子メールサーバーを実行するすべてのWindowsマシンに、後でではなく早くインストールする必要があります。しかし、すべてを削除して、この瞬間にサーバーにパッチを適用する必要がありますか?意見はさまざまです。

SANS Internet Storm Centerは、通常、非常に積極的なパッチ適用のスタンスを取りますが、これで賭けをヘッジしています。SANSでは、MS14-066が、より悲惨な「今すぐパッチ」ではなく「クリティカル」としてリストされています。ヨハネス・ウルリッヒ博士は続けて次のように述べています。

私の推測では、エクスプロイトがリリースされる前に、システムにパッチを適用するのにおそらく1週間、おそらくそれ以下の時間があります。あなたはあなたのシステムの良い目録を手に入れましたか?その後、あなたはこの仕事をするために良い状態にあります。残りの部分(大多数?):パッチを適用するときは、対策と代替の緊急構成も把握してください。

最も可能性の高いターゲットは、外部から到達可能なSSLサービスです。Webサーバーとメールサーバーが私のリストの一番上にあります。ただし、インフラストラクチャの最後の外部スキャンからのレポートをチェックして、他に何かがあるかどうかを確認することは問題ありません。定期的にスケジュールを設定していない場合は、このスキャンを繰り返すことをお勧めします。

次に、内部サーバーに移動します。それらに到達するのは少し難しいですが、それらを公開するために必要な内部感染ワークステーションは1つだけであることを忘れないでください。

第三に:あなたの境界を離れる旅行ラップトップなど。それらはすでにロックダウンされているはずであり、インバウンドSSL接続をリッスンする可能性は低いですが、再確認しても問題はありません。奇妙なSSLVPN?多分いくつかのインスタントメッセンジャーソフトウェア?クイックポートスキャンで詳細がわかります。

都市伝説の断片はすでにschannelの周りに形成されています。マスコミで、schannelのセキュリティホールが19年前から存在していると読むことができます。真実ではありません-schannelのバグはCVE-2014-6321として識別され、正体不明の研究者(おそらくMicrosoftの内部)によって発見されました。これは、HTTPS接続用のソフトウェアの穴です。

IBM X-Force研究チームによって発見された19歳の脆弱性は、CVE-2014-6332です。これは、VBScriptを介して悪用される可能性のあるCOMの穴です。これはMS14-064 / KB 3011443によって修正されたバグです。私が知る限り、2つのセキュリティの脆弱性に共通点はありません。

混乱しないでください。BBCは2つのセキュリティホールを混同し、他の報道機関がレポートを混乱させています。

毎月のセキュリティウェブキャストの突然の消失については、公式の発表はありませんでしたが、ウェブキャストを運営していたダスティンチャイルズが再割り当てされ、11月のセキュリティ速報のウェブキャストが見つかりませんでした。今朝早く、チャイルズはツイートしました:

16の代わりに14の速報-それらは番号を付け直しさえしませんでした。展開の優先順位はありません。概要ビデオはありません。Webキャストはありません。私は物事が変わると思います。

これは、特にMicrosoftのパッチ適用の傾向を理解する必要がある人にとっては、驚くべき開発です。速報の番号を付け直さなくても、Microsoftのパッチ適用レジメンに対する信頼を揺るがすことはありません。これは歓迎すべき変更だと思います。しかし、毎月のセキュリティ情報の展開の優先順位リスト、概要ビデオ、またはWebキャストがないため、ほとんどのWindowsセキュリティ専門家は不意を突かれています。マイクロソフトは何年にもわたってブラック火曜日の概要ビデオを発行しており、ウェブキャストは他では得られない多くの卑劣なアドバイスを提供しています。

ウェブキャストが撤回された場合(私が見ることができる公式の確認はありません)、特にマイクロソフトの企業顧客は不平を言う正当な理由があります。