Microsoft выпустила плановые обновления безопасности для закрытия 55 уязвимостей, 6 из которых были классифицированы как критические. Среди прочих 6 уязвимостей были обнародованы публично (0-day), а эксплуатация 2 уязвимостей была зафиксирована в реальных атаках. Максимальный рейтинг по шкале CVSS среди всех закрытых уязвимостей составил 9.0 из 10.

Помимо стандартного набора затронутых продуктов – Windows, Office, SharePoint, Visual Studio и Dynamics – обновления этого выпуска также затрагивают Exchange Server, 3D Viewer, Azure Shere, Azure RTOS и Microsoft Malware Protection Engine. В данной статье я расскажу о самых важных моментах ноябрьского вторника обновлений.

Помните, почти 90% всех уязвимостей уже имели патчи от производителей на момент своего обнародования, поэтому так важно не просто обновлять ваше ПО, но и делать это своевременно (по данным отчета Vulnerability Review Report компании Flexera).

Сводная информация по количеству и типу уязвимостей, закрытых в ноябре, приведена на графике.

На следующие уязвимости и обновления безопасности следует обратить особое внимание

Ниже представлен список закрытых критических уязвимостей:

CVE-2021-42316 - Microsoft Dynamics 365 (on-premises) Remote Code Execution Vulnerability

CVE-2021-3711 - OpenSSL SM2 Decryption Buffer Overflow

CVE-2021-42298 - Microsoft Defender Remote Code Execution Vulnerability

CVE-2021-38666 - Windows Remote Desktop Client Remote Code Execution Vulnerability

CVE-2021-42279 - Chakra Scripting Engine Memory Corruption Vulnerability

CVE-2021-26443 - Windows Virtual Machine Bus (VMBus) Remote Code Execution Vulnerability

Информация о следующих уязвимостях была обнародована публично:

CVE-2021-38631 – Windows Remote Desktop Protocol (RDP) Information Disclosure Vulnerability

CVE-2021-41371 – Windows Remote Desktop Protocol (RDP) Information Disclosure Vulnerability

CVE-2021-40485 - Microsoft Excel Remote Code Execution Vulnerability (Important, CVSS Score 7.8)

CVE-2021-43208 – 3D Viewer Remote Code Execution Vulnerability

CVE-2021-43209 – 3D Viewer Remote Code Execution Vulnerability

Эксплуатация следующей уязвимости была зафиксирована в реальных атаках:

CVE-2021-42292 – Microsoft Excel Security Feature Bypass Vulnerability

CVE-2021-42321 – Microsoft Exchange Server Remote Code Execution Vulnerability

Как всегда самую полную и актуальную информацию об уязвимостях и обновлениях безопасности вы можете найти на нашем портале Security Update Guide. Полный список статей базы знаний для соответствующих пакетов обновлений, с которыми связаны потенциальные проблемы при установке приведен в заметках к выпуску.

Внимание! После установки ноябрьских обновлений безопасности, выпущенных 9 ноября 2021 г., на контроллеры домена (DC) под управлением Windows Server 2012–2019, вы можете столкнуться с проблемами аутентификации SSO на серверах при использовании билетов Kerberos, полученных через S4u2self. В частности, установка обновления на контроллеры домена Active Directory потенциально может привести к нештатной работе таких приложений, как IIS, WAP, ADFS и SQL Server.

Проблемы с аутентификацией являются результатом использования билетов Kerberos, полученных через S4u2self и используемых в качестве подтверждающих билетов при переключении протокола в процессе делегированной аутентификации на backend-сервере, который не может корректно выполнить валидацию цифровой подписи.

Аутентификация не будет выполнена корректно в сценариях делегирования Kerberos, которые полагаются на получение frontend-сервером билета Kerberos от имени пользователя для последующего подключения к backend-серверу.

Важно: Сценарии делегирования по протоколу Kerberos, когда клиент Kerberos предоставляет frontend-серверу свой билет, не затрагиваются данной проблемой. Полностью облачные среды со службой Azure Active Directory также не затрагиваются данной проблемой.

В случае возникновения проблемы рекомендуется загрузить и установить соответствующее обновление для вашей версии ОС контроллера домена:

KB5008602 для Windows Server 2019

KB5008601 для Windows Server 2016

KB5008603 для Windows Server 2012 R2

KB5008604 для Windows Server 2012

Обновления стека обслуживания

Прекрасная новость для администраторов - обновления стека обслуживания ОС больше не нужно устанавливать отдельно!

Теперь обновления Servicing Stack Updates (SSU) для Windows 10 и Windows Server 2019 версий 1809, 1909, 2004, 20H1, 20H2, 21H1 интегрированы в единый накопительный пакет обновлений. Все детали по обновлениям SSU вы можете посмотреть на нашем портале.


Артём Синицын

CISSP, CCSP, MCSE, Certified Azure Security Engineer

старший руководитель программ ИБ в странах Центральной и Восточной Европы, Microsoft

Подписывайтесь на мой канал в Twitter

Комментарии (3)


  1. mvv-rus
    27.11.2021 17:33

    Эксплуатация следующей уязвимости была зафиксирована в реальных атаках:

    CVE-2021-42321 – Microsoft Exchange Server Remote Code Execution Vulnerability

    Однако остается только догадываться, по какому протоколу возможна атака: судя по косвенным признакам, это OWA/ECP, но в явном виде этой информации нет. А это существенно: OWA может быть и закрыт, но вот SMTP уже закрыть сложнее — почта ходить должна.


    1. dr4ven Автор
      29.11.2021 16:39

      Перед производителем, выпускающем обновление безопасности, стоит сложная задача - сообщить максимум полезной информации своим клиентам (защитникам), в то же время сообщим минимум полезной информации киберпреступникам (атакующим). Именно поэтому в статьях CVE далеко не всегда можно найти полный разбор закрытой уязвимости. Не зря сразу за Вторником обновлений идёт Среда эксплоитов :)

      В данном случае, для полноценной защиты рекомендуется не отключать сервисы и протоколы, а установить соответствующее обновление безопасности.


      1. mvv-rus
        29.11.2021 17:21

        Перед производителем, выпускающем обновление безопасности, стоит сложная задача — сообщить максимум полезной информации своим клиентам (защитникам), в то же время сообщим минимум полезной информации киберпреступникам (атакующим).

        Публикуя исправление, MS уже сообщает информацию атакующим, по крайней мере — ту, о которой я говорил: по составу измененных модулей легко выявить канал возможной атаки.
        В данном случае, для полноценной защиты рекомендуется не отключать сервисы и протоколы, а установить соответствующее обновление безопасности.

        Решение о защите (в том числе и о временых мерах вместо полноценной защиты) принимает все-таки не MS, а IT-специалисты предприятия, с учетом специфики своей IT-среды и бизнес-процессов. Так что эта информация могла бы быть им полезна (мне — была бы). Ну, и приоритеты у IT-службы предприятия и MS могут быть разные. Как в данном случае MS важнее пертащить пользователей Exchange в облако — например, через гибрид, а IT-службе важнее обеспичивать работу бизнес-процессов. И, в данном примере, если бизнес-процессы активно OWA не используют, то блокировка внешнего доступа к OWA может быть для предприятия адекватной смякчающей мерой — в отличие от MS, которым такая блокировка ломает гибридную конфигурацию, усиленно навязываемую пользователям.
        А «установить соответствующее обновление безопасности» на практике в условиях предприятия можно не всегда оперативно — особенно, с учетом, что некоторые обновления внезавпно оказываются «ломающими» (в частности — это обновление Exchange для некоторых конфигураций), а потому обновления следует проверять в тестовой среде.