Вторник Патчей, 10 января 2023 года: Windows 7 и Windows 8.1 получат последние обновления безопасности

Начало нового года ознаменовывает старт работы над поставленными задачами. Судя по последним публикациям в СМИ, у системных администраторов нет много времени для промедлений. У вас уже должна быть четко обозначенная цель, связанная с повышением производительности и эффективности защиты подконтрольных систем.

Еще в сентябре 2022 года Microsoft раскрыла две уязвимости нулевого дня, связанные с атаками ProxyNotShell: уязвимость повышения привилегий в Exchange Server (CVE-2022-41040) и уязвимость удаленного выполнения кода в Exchange Server (CVE-2022-41082). До выхода исправлений в ноябре Редмонд предложил несколько промежуточных мер. Если вы откладывали развертывание этих обновлений в течение последних двух месяцев, ваши системы подвергаются высокому риску.

Исследователи из Crowdstrike заявили об обнаружении новой разновидности программы-вымогателя «Play», которая использует уязвимость CVE-2022-41080 для доступа к удаленной службе PowerShell и уязвимость CVE-2022-41082 для удаленного запуска кода. Примечательно, что новый метод доступа с использованием этой уязвимости позволяет полностью обойти защитные меры по смягчению последствий эксплойтов, предоставляемые Microsoft. Если обновления были установлены своевременно, то ваши системы защищены. Остальным рекомендуется развернуть обновления как можно скорее.

Прошло три года с тех пор, как Microsoft запустила программу расширенных обновлений безопасности (ESU) для для Windows 7 и Server 2008/2008 R2. Последние обновления для этих операционных систем выйдут уже завтра, 10 января 2023 года. Хотя системы продолжат работу, они перестанут обслуживаться и получать патчи против новых уязвимостей, а значит риски их эксплуатации значительно вырастут. Кроме того, многие приложения перестанут поддерживать устаревшие ОС.

Компания Google объявила о завершении поддержки Chrome для Windows 7 в феврале 2023 года. Chrome 109 станет последней версией браузера, поддерживающей старую систему. Другие компании-разработчики ПО также прекратят поддержку своих продуктов для этих ОС, поэтому пользователям и организациям, продолжающим их использовать, строго рекомендуется спланировать миграцию.

Также 10 января 2023 года, Microsoft выпустит последние обновления безопасности для Windows 8.1, после чего поддержка операционной системы будет завершена.

В январе 2023 года Microsoft прекращает поддержку прекращает поддержку базовой аутентификации в Exchange Online. Клиенты компании получат уведомление в Центре сообщений за неделю до отключения, и им нужно будет внести необходимые изменения. Редмонд подготовил отдельные страницы базы знаний с подробным руководством. Лучше не откладывать с внесением изменений, потому что вы просто потеряете доступ к Exchange, как только Microsoft выключит «переключатель».

Прогноз на «Вторник Патчей», январь 2023 года

• В декабре из-за праздников предварительные обновления не выходили, поэтому январский «Вторник Патчей» особо интересен. В декабре Microsoft подготовила относительно небольшое количество исправлений уязвимостей, поэтому в этом месяце патчей может быть больше, причем как в операционных системах, так и в других продуктах компании. Windows 11, Windows 10 получат новые обновления безопасности. Финальные расширенные обновления безопасности также могут включать большое количество исправлений, решающих основные проблемы устаревших систем.
• В первом квартале года Adobe традиционно выпускает крупные обновления для Adobe Acrobat и Reader.
• Apple выпустила обновления для macOS 13 Ventura, Monterey и Big Sur, iOS и Safari в середине декабря. Если критические уязвимости не будут обнаружены, то обновления пока не ожидаются.
• Компания Google выпустила ChromeOS Stable 108.0.5359.172 и ChromeOS LTS 102.0.5005.194 на прошлой неделе, другие обновления пока не ждем.
• Последние исправления безопасности для Firefox, Firefox ESR и Thunderbird организация Mozilla выпустила в конце декабря. С тех пор выходило еще несколько сервисных релизов, поэтому на этой неделе мы можем не увидеть обновлений.