La actualización Patch Tuesday de enero corrige 98 fallas, incluida una vulnerabilidad crítica de día cero en Windows. Esté preparado para un importante esfuerzo de prueba e ingeniería.
El primer martes de parches del año de Microsoft aborda 98 vulnerabilidades de seguridad, con 10 clasificadas como críticas para Windows. Una vulnerabilidad ( CVE-2023-21674 ) en una sección central del código de Windows es un día cero que requiere atención inmediata. Y Adobe ha regresado con una actualización crítica, junto con algunos parches de bajo perfil para el navegador Microsoft Edge.
Hemos agregado las actualizaciones de Windows y Adobe a nuestra lista «Patch Now», reconociendo que las implementaciones de parches de este mes requerirán un esfuerzo significativo de prueba e ingeniería. El equipo de Application Readiness ha proporcionado una infografía útil que describe los riesgos asociados con cada una de las actualizaciones para este ciclo de actualización de enero.
Problemas conocidos
Cada mes, Microsoft incluye una lista de problemas conocidos relacionados con el sistema operativo y las plataformas que se incluyen en este ciclo de actualización.
- Microsoft Exchange (2016 y 2019): después de instalar esta actualización de enero, las vistas previas de la página web para las URL que se comparten en Outlook en la web (OWA) no se representan correctamente. Microsoft ahora está trabajando en una solución para esto.
- Windows 10: después de instalar KB5001342 o posterior, es posible que Microsoft Cluster Service no se inicie porque no se encuentra un controlador de red de clúster.
Todavía hay bastantes problemas conocidos pendientes para Windows 7 , Windows 8.x y Windows Server 2008 , pero al igual que con estos sistemas operativos que envejecen rápidamente (y no son muy seguros).
Revisiones importantes
Microsoft no ha publicado ninguna revisión importante este mes. Hubo varias actualizaciones de parches anteriores, pero solo con fines de documentación. No se requieren otras acciones aquí.
Mitigaciones y soluciones alternativas
Microsoft no ha publicado mitigaciones o soluciones que sean específicas para el ciclo de lanzamiento del martes de parches de enero de este mes.
Guía de prueba
Cada mes, el equipo de preparación analiza las últimas actualizaciones de Patch Tuesday de Microsoft y brinda orientación de prueba detallada y procesable. Esta guía se basa en la evaluación de una gran cartera de aplicaciones y un análisis detallado de los parches de Microsoft y su impacto potencial en las plataformas de Windows y las instalaciones de aplicaciones.
Dada la gran cantidad de cambios incluidos en este ciclo de parches de enero, he dividido los escenarios de prueba en grupos de alto riesgo y riesgo estándar:
Alto riesgo : esta actualización de enero de Microsoft ofrece una cantidad significativa de cambios de alto riesgo en el kernel del sistema y los subsistemas de impresión dentro de Windows. Desafortunadamente, estos cambios incluyen archivos críticos del sistema como win32base.sys, sqlsrv32.dll y win32k.sys, lo que amplía aún más el perfil de prueba para este ciclo de parches.
Como todos los cambios de alto riesgo afectan al subsistema de impresión de Microsoft Windows (aunque no hemos visto ningún cambio de funcionalidad publicado), recomendamos encarecidamente las siguientes pruebas centradas en la impresión:
- Agregue y elimine marcas de agua al imprimir.
- Cambie el directorio de cola de impresión predeterminado.
- Conéctese a una impresora Bluetooth e imprima páginas en blanco y negro y en color.
- Intente utilizar el controlador de la filmadora de MS Publisher (Microsoft). Está disponible como un controlador de impresora «genérico» y se puede instalar en cualquier máquina con Windows 8.x o posterior. Debido a la gran cantidad de sitios de descarga que ofrecen esta unidad, asegúrese de que su descarga esté firmada digitalmente y de una fuente confiable (por ejemplo, Windows Update).
Todos estos escenarios requerirán pruebas significativas a nivel de aplicación antes de una implementación general de la actualización de este mes. Además de estos requisitos de prueba específicos, sugerimos una prueba general de las siguientes funciones de impresión:
- Impresión desde impresoras conectadas directamente.
- Impresión remota (utilizando RDP y VPN).
- Probar escenarios físicos y virtuales con aplicaciones de 32 bits en máquinas de 64 bits.
De manera más general, dada la naturaleza amplia de esta actualización, sugerimos probar las siguientes funciones y componentes de Windows:
- Pruebe escenarios basados en el usuario que se basen en puntos de contacto y compatibilidad con gestos.
- Intente conectar/desconectar sesiones VPN STTP . Puede leer más sobre estos protocolos actualizados aquí .
- El uso de aplicaciones de prueba de servicios LDAP de Microsoft que requieren acceso a consultas de Active Directory.
Además de estos cambios y los requisitos de prueba posteriores, he incluido algunos de los escenarios de prueba más difíciles para esta actualización de enero:
- Consultas SQL: Dios mío. Tendrá que asegurarse de que sus aplicaciones críticas para el negocio que usan SQL (¿y de quién no?) realmente funcionen. Como en «devolver los conjuntos de datos correctos de consultas de bases de datos heterogéneas, enormemente complejas y de múltiples fuentes». Dicho todo esto, Microsoft ha dicho : «Esta actualización soluciona un problema conocido que afecta a las aplicaciones que utilizan el controlador SQL Server de Microsoft Open Database Connectivity (ODBC) (sqlsrv32.dll) para conectarse a las bases de datos». Así que deberíamos ver que esta situación mejora este mes.
- Aplicaciones heredadas: si tiene una aplicación anterior (heredada) que puede usar clases de Windows ahora en desuso, deberá ejecutar una prueba de aplicación completa además de las pruebas de humo básicas.
Con todos estos escenarios de prueba más difíciles, le recomendamos que analice su cartera de aplicaciones en busca de componentes de aplicaciones actualizados o dependencias a nivel del sistema. Este análisis debería proporcionar una lista corta de las aplicaciones afectadas, lo que debería reducir las pruebas y el esfuerzo de implementación posterior.
Actualización del ciclo de vida de Windows
Esta sección contendrá cambios importantes en el servicio (y la mayoría de las actualizaciones de seguridad) para las plataformas de servidor y escritorio de Windows. Con Windows 10 21H2 ahora sin soporte general, tenemos las siguientes aplicaciones de Microsoft que llegarán al final del soporte general en 2023:
- Microsoft Endpoint Configuration Manager, versión 2107 (ahora tenemos Intune, así que está bien).
- Windows 10 Enterprise y Education, versión 20H2 (tenemos 5 meses para migrar, debería estar bien).
- Windows 10 Home y Pro, versión 21H2 (con fecha de vencimiento en junio de 2023).
- Soporte extendido de Exchange Server 2013 (11 de abril de 2023).
Cada mes, desglosamos el ciclo de actualización en familias de productos (según lo define Microsoft) con las siguientes agrupaciones básicas:
- Navegadores (Microsoft IE y Edge)
- Microsoft Windows (tanto de escritorio como de servidor)
- oficina de microsoft
- Servidor de Microsoft Exchange
- Plataformas de desarrollo de Microsoft ( NET Core, .NET Core y Chakra Core)
- Adobe (¿retirado? tal vez el próximo año)
navegadores
Microsoft ha lanzado cinco actualizaciones para su navegador Chromium este mes, todas abordando las vulnerabilidades relacionadas con la memoria «Use after free» en el motor Chromium. Puede encontrar la versión de Microsoft de estas notas de la versión aquí y las notas de la versión del canal de Google Desktop aquí . No hubo otras actualizaciones para los navegadores de Microsoft (o motores de renderizado) este mes. Agregue estas actualizaciones a su programa de lanzamiento de parches estándar.
Windows
Enero trae 10 actualizaciones críticas, así como 67 parches calificados como importantes para la plataforma Windows. Cubren los siguientes componentes clave:
- Servidor de autoridad de seguridad local de Microsoft ( lsasrv )
- Proveedor Microsoft WDAC OLE DB (y controlador ODBC) para SQL
- Motor de copia de seguridad de Windows
- Servicios criptográficos de Windows
- Informe de errores de Windows ( WER )
- Windows LDAP – Protocolo ligero de acceso a directorios
En general, esta es una actualización enfocada en actualizar la red y la pila de autenticación local con algunas correcciones al ciclo de parches del mes pasado. Lamentablemente, se ha informado públicamente de una vulnerabilidad ( CVE-2023-21674 ) en una sección central del código de Windows ( ALPC ). Microsoft describe este escenario como «un atacante que explotó con éxito esta vulnerabilidad podría obtener privilegios de SISTEMA». Gracias, Stiv , por tu arduo trabajo en este caso.
Tenga en cuenta: todas las agencias federales de EE. UU. han recibido instrucciones de parchear esta vulnerabilidad para fines de enero como parte de la «orden operativa vinculante» ( BOD ) de CISA .
Agregue esta actualización a su calendario de lanzamiento de «Patch Now».
Office de microsoft
Microsoft abordó un único problema crítico con SharePoint Server ( CVE-2023-21743 ) y otras ocho vulnerabilidades de seguridad calificadas como importantes por Microsoft que afectan a las aplicaciones de Visio y Office 365. Nuestras pruebas no generaron problemas significativos relacionados con los cambios del martes de parches, dado que la mayoría de los cambios se incluyeron en las versiones de Microsoft Click-to-Run , que tiene un perfil de implementación y prueba mucho más bajo. Agregue estas actualizaciones de Microsoft Office a su programa de implementación estándar.
Servidor de Microsoft Exchange
Para este lanzamiento de parche de enero para Microsoft Exchange Server, Microsoft entregó cinco actualizaciones, todas calificadas como importantes para las versiones 2016 y 2019:
- CVE-2023-21745: Vulnerabilidad de suplantación de identidad de Microsoft Exchange Server
- CVE-2023-21761: vulnerabilidad de divulgación de información de Microsoft Exchange Server
- CVE-2023-21762: Vulnerabilidad de suplantación de identidad de Microsoft Exchange Server
- CVE-2023-21763: Vulnerabilidad de elevación de privilegios de Microsoft Exchange Server
- CVE-2023-21764: Vulnerabilidad de elevación de privilegios de Microsoft Exchange Server
Ninguna de estas vulnerabilidades se hace pública, no se ha informado que se haya explotado en la naturaleza ni se ha documentado que conduzca a la ejecución de código arbitrario. Con estos pocos problemas de seguridad de bajo riesgo, le recomendamos que se tome su tiempo para probar y actualizar cada servidor. Una cosa a tener en cuenta es que Microsoft ha introducido una nueva función ( firma de certificado de PowerShell ) en esta versión de «parche», que puede requerir pruebas adicionales. Agregue estas actualizaciones de Exchange Server a su programa de lanzamiento de servidor estándar.
Plataformas de desarrollo de Microsoft
Microsoft ha publicado dos actualizaciones de su plataforma de desarrollo ( CVE-2023-21779 y CVE-2023-21538 ) que afectan a Visual y Microsoft .NET 6.0. Ambas actualizaciones están clasificadas como importantes por Microsoft y se pueden agregar a su programa de lanzamiento estándar.
Adobe Reader
Las actualizaciones para Adobe Reader están de vuelta este mes, aunque Microsoft no ha publicado los últimos parches. El último conjunto de actualizaciones ( APSB 23-01 ) abordó ocho problemas críticos relacionados con la memoria y siete actualizaciones importantes, la peor de las cuales podría conducir a la ejecución de código arbitrario en ese sistema sin parches. Con una calificación CVSS más alta que el promedio (7.8), le recomendamos que agregue esta actualización a su ciclo de lanzamiento «Patch Now».