«Вторник Патчей», 14 января 2025 года: Первые обновления безопасности для Windows 11 и Windows 10

В 2024 году на многие решения Microsoft повлияла инициатива Microsoft Secure Future Initiative (SFI), направленная обеспечение более высокого уровня безопасности продуктов и услуг. В 2025 году этот тренд продолжится, и нас, вероятно, ожидают значительные изменения в рекомендациях, касающихся требований к безопасности, операций и других аспектов индустрии.

Обновления Microsoft в декабре

В декабрьский «Вторник Патчей» 2024 года Microsoft выпустила небольшой набор обновлений для Windows 10, Windows 11, Office и SharePoint. Мы не увидели отдельных обновлений SSU и получили лишь одно обновление для инструмента разработки Microsoft/Muzic. В обновлениях для Windows было устранено 58 уязвимостей в рабочих станциях и серверных ОС.

Единственной уязвимостью, которая была публично раскрыта и активно эксплуатировалась, стала CVE-2024-49138. Microsoft обычно предоставляет минимальную информацию в своих уведомлениях, как и в этом случае:

Успешная эксплуатация этой уязвимости может позволить атакующему получить права SYSTEM.

Хотя это была единственная активно используемая уязвимость, опасения вызывают и другие, например CVE-2024-49113 и CVE-2024-49112, которые могут использоваться в связке для атаки на контроллеры домена и быстрого «падения» серверов Windows. Подробности можно найти в статье SafeBreach, которая подтвердила эффективность декабрьских обновлений Microsoft. Поэтому убедитесь, что все патчи установлены.

Установщики .NET

Microsoft выпустила важное уведомление для разработчиков с призывом проверить источник установщиков .NET. Компания предупреждает, что Edgio скоро прекратит свою деятельность из-за банкротства, а домены azureedge.net могут выйти из строя. Ожидается, что они будут окончательно отключены в начале 2025 года. Microsoft представила изменения и рекомендации для реагирования на эту ситуацию.

Изменения сферы кибербезопасности в США

Два примечательных события знаменуют начало изменений в руководствах по кибербезопасности в США. Первый из них — это внесение поправок в HIPAA (Закон о переносимости и подотчетности медицинского страхования). Акт HIPAA был принят, когда медицинские записи только начинали оцифровываться, и основное внимание уделялось конфиденциальности пациентов, а не безопасности систем.

Предлагаемые изменения приведут требования к безопасности в сфере здравоохранения в соответствие с традиционными рамками безопасности.

Второе событие связано с влиянием администрации Трампа на CISA и другие федеральные организации. Президент Трамп в 2018 году подписал закон о создании CISA для защиты инфраструктуры США от кибератак. Новая администрация стремится сократить регулирование, чтобы ускорить работу частного сектора, что может повлиять на характер рекомендаций CISA.

Кроме того, акцент на лидерство США в области ИИ может привести к большему участию CISA в сфере безопасности на базе ИИ.

Эти события наверняка повлияют на процессы в индустрии безопасности в 2025 году.

Прогноз на «Вторник Патчей», январь 2025 года:

• Microsoft после праздников выпустит первые обновления безопасности для ОС (включая Windows 11, Windows Server 2025 (LTSC), Windows Server, версия 23H2, Windows Server 2022 (LTSC), Windows 10, Windows Server 2016 (LTSC), Windows Server 2019 (LTSC)), инструментов разработки и приложений.
• Компания Adobe в декабре обновила почти все продукты. В январе ожидаются лишь незначительные релизы.
• Apple выпустила обновления для всех ОС и Safari в декабре. В январе значительных обновлений не ожидается.
• Google выпустил ранние обновления для Chrome и ChromeOS, а официальные релизы ожидаются на следующей неделе.
• Организация Mozilla Foundation выпустила обновления безопасности для всех продуктов 7 января. Среди них: Firefox ESR 115.19, 128.6 и 134, Thunderbird ESR 128.6 и 134. Обновления содержали патчи против 11 уязвимостей высокого и среднего риска.

2025 год может стать годом больших преобразований в индустрии кибербезопасности с новыми ОС Windows, технологиями ИИ и изменениями в руководстве по безопасности и операциях.