Какво е Microsoft Patch Tuesday?

Ако сте потребител на компютър с Windows, вероятно сте запознати с обичайните изскачащи прозорци или известия, които ви казват, че вашето устройство трябва да се рестартира, за да завърши инсталирането на актуализации; или ви казва да планирате рестартирането за по-удобно време. Тези актуализации обикновено се пускат от Microsoft на специален ден, който е известен катоПач във вторник.

Patch Tuesday (известен също като Update Tuesday) е неофициален термин, използван за обозначаване на случаите, когато Microsoft редовно пуска софтуерни корекции за своите софтуерни продукти като операционната система Windows, Microsoft Office и други софтуерни приложения на Microsoft. Patch Tuesday се случва на втория, а понякога и на четвъртия вторник на всеки месец в Северна Америка.

Microsoft няма гарантирано време, когато тези корекции ще бъдат пуснати. Но моделът през годините е, че актуализациите обикновено пристигат около 10 сутринта по стандартно тихоокеанско време (UTC−8), но може да бъдат пуснати по-късно през деня. Актуализациите се показват в Центъра за изтегляне, преди да бъдат добавени към Windows Update (WU). Тези корекции се пускат, за да коригират грешки в софтуерното приложение, които могат да доведат до уязвимости, и да подобрят сигурността на приложенията на Microsoft. Повечето от тези уязвимости са открити от външни изследователи, които ги докладват отговорно на Microsoft чрез Програма за награди за грешки на Microsoft . Microsoft Security Response Center проучва докладваните уязвимости и предоставя решения за намаляване на рисковете за сигурността.

Основната идея зад Patch Tuesday е да се направи процесът на актуализация възможно най-предсказуем, за да не се налага администраторите на Windows да се борят с актуализации, пуснати по нередовен график. Това им позволява да правят планове за тестването и инсталирането им. Други компании като Adobe и Oracle са приели същия график за корекции във вторник, за да улеснят управлението на корекциите за системните администратори.

По-малките актуализации често се пускат по друго време (извън лентата), особено ако са спешни и критични.

Свързана публикация: Най-добрите инструменти за управление на части

Как започна всичко

Windows 98 беше първата операционна система на Microsoft, която включваше опцията за проверка и инсталиране на актуализации на операционната система. През този период актуализациите за продуктите на Microsoft бяха пускани нередовно и в произволни моменти до октомври 2003 г., когато вторият вторник от месеца беше избран за „ден за актуализиране“, което стана това, което сега е известно в индустрията като Patch Tuesday.

Процесът на пускане и разпространение на тези софтуерни корекции нередовно коства на Microsoft и организациите много пари, време и усилия – особено на организации с голям брой машини с Windows. Можете да си представите колко време отнема ръчното актуализиране на всяка машина с Windows поотделно. Microsoft въведе „Patch Tuesday“, за да намали разходите за разпространение на пачове. Новият подход позволява пачовете за сигурност да се натрупват за един месец и да ги изпраща всеки втори вторник на всеки месец.

Преди появата на Patch Tuesday актуализациите се пускаха винаги, когато бяха готови (когато са готови) без предварително предупреждение или съобщение. Макар че това позволяваше поправките да излязат почти незабавно, това беше тежест за Windows администраторите и потребителите, които понякога трябваше да рестартират компютрите си няколко пъти, за да приложат нови актуализации, вместо само едно рестартиране, за да приложат кумулативна актуализация.

Според Microsoft вторник е избран по две причини:

• Да се ​​предостави на потребителите ден (понеделник) за справяне с неочаквани проблеми, които може да са възникнали през предходния уикенд.
• За да дадете на потребителите достатъчно време да тестват актуализациите и да ги разположат на устройства, след което да отговорят на всички проблеми, които могат да възникнат през останалата част от седмицата.

Защо е важно?

Patch Tuesday се превърна в голяма работа за потребителите и администраторите на Windows. Получаването на най-новите актуализации на защитата за вашите настолни компютри и сървъри трябва да е нещо, което да очаквате с нетърпение всеки месец. Тези актуализации са важни и критични за цялостното здраве на вашите системи и сървъри. Всяка организация се насърчава да приложи кръпки във вторник. Защо това е важно?

Софтуерните актуализации са важни за цялостното здраве на вашите системи. Силната сигурност е жизненоважна за всички организации, особено за тези, които използват системи, които съхраняват или имат достъп до чувствителни данни, като например лична информация. Операционните системи и другите приложения, които не се актуализират, вероятно ще станат уязвими за кибератаки. Нападателите често използват остарели системи - те използват уязвимости, за които са налични корекции, но не са приложени. Поради тази причина Microsoft препоръчва на клиентите да направят корекцията приоритет. Корекциите могат да коригират потенциални грешки и пропуски в сигурността, като същевременно повишават ефективността на операционните системи и софтуерните приложения, които работят върху тях.

Най-важните актуализации на сигурността и корекциите за коригиране на критични грешки или уязвимости се пускат във вторник на корекцията. Дори уязвимостите от нулевия ден също се коригират по време на Patch Tuesday, освен ако уязвимостта не е критична и силно експлоатирана, в който случай се пуска актуализация на сигурността извън обхвата за справяне с тази конкретна уязвимост. Много експлоатационни събития се наблюдават малко след пускането на корекцията. Всъщност денят след Patch Tuesday често е известен като Exploit Wednesday. Нападателите са измислили начин за обратно проектиране на пачове, за да идентифицират основните уязвимости и след това да създадат методи за използване на уязвимостта. След това те използват тази възможност, за да атакуват компютри, които не са актуализирали корекциите от предишния ден.

Липсата на корекция позволи на WannaCry ransomware атака което се случи през май 2017 г., за да се разпространи толкова бързо. Въпреки че Microsoft пусна пачове преди това, за да затвори уязвимостта на WannaCry, голяма част от разпространението й беше от организации, които не са приложили корекцията или използват по-стари Windows системи, които са изтекли. Тези пачове са критични за киберсигурността на организацията, но много от тях не са приложени поради необходимостта да не се прекъсва работата.

Откъде знаете какво се пуска?

Microsoft пуска актуализации, свързани със сигурността за Windows (издания за настолни компютри и сървъри), Office и свързани продукти на втория вторник на всеки месец. Четвъртият вторник на всеки месец е запазен за актуализации, които не са свързани със сигурността. Понякога Microsoft пуска така наречената актуализация „извън групата“ (актуализация, пусната в ден извън обичайната рутинна актуализация във вторник) за критични проблеми със сигурността. Обикновено това се случва само когато проблем със сигурността е изключително сериозен и се използва активно в природата.

Patch Tuesday е известен в рамките на Microsoft също като версия „B“, за да се разграничи от версиите „C“ и „D“, които се появяват съответно през третата и четвъртата седмица на месеца. Изданията „C“ и „D“ съдържат само актуализации, които не са свързани със сигурността, и са предназначени да осигурят видимост и тестване на планираните поправки, които не са свързани със сигурността, насочени към изданието за актуализиране във вторник следващия месец. След това тези актуализации се изпращат като част от изданието „B“ или Актуализация във вторник за следващия месец.

Всяка актуализация на защитата, издадена от Microsoft (независимо дали е на Patch Tuesday или като извънлентова версия), е придружена от Съвети и бюлетини за сигурност които са публикувани от Microsoft Security Response Center (MSRC) горе-долу по същото време излизат актуализациите. MSRC издава тези документи като част от продължаващите усилия да помогне на потребителите да управляват рисковете за сигурността и да поддържат системите си защитени. Съветите и бюлетините за сигурност се състоят от следните ключови елементи:

• Резюме на бюлетин за сигурност : Осигурете преглед на високо ниво на бюлетините за сигурност, които се издават от MSRC всеки месец. Резюметата предоставят информация, която да помогне на потребителите да определят приоритета на месечните актуализации на защитата.
• Бюлетини за сигурността : Предоставете описание на наличното смекчаване, както и статии от базата знания (KB), които съдържат допълнителна информация за актуализациите.
• Съвети за сигурност : Обърнете внимание на промените в сигурността, които може да не изискват бюлетин за сигурност, но все още могат да повлияят на цялостната сигурност на потребителите. Всеки съвет е придружен от статия от Microsoft KB, за да предостави допълнителна информация относно актуализациите, доставяни с изданието на съвета.
• Съвети за изследване на уязвимостта на Microsoft (MSVR). : Опишете уязвимостите в сигурността, които Microsoft или външни изследователи са открили в продукти на трети страни и които Microsoft е разкрила на засегнатите доставчици.

Уязвимостите са описани с помощта на система за идентификация, известна като Common Vulnerabilities and Exposures (CVE). CVE като напр CVE-2021-31184 и CVE-2021-30540 са уникални, общи идентификатори за публично известни уязвимости в информационната сигурност в публично пуснати софтуерни пакети. Спецификата на всеки пакет корекции ще варира в зависимост от проблемите със сигурността, които се разглеждат - подробности за всеки пакет корекции могат да бъдат намерени, като посетите MSRC ръководство за актуализация на защитата на Microsoft .

Как да разберете кои актуализации са най-критични?

Не всички уязвимости са еднакви по отношение на тежестта и свързаното ниво на риск. За да помогне на потребителите да разберат риска, свързан с всяка коригирана уязвимост, Microsoft публикува a система за оценка на тежестта който оценява всяка уязвимост според най-лошия теоретичен резултат, ако тази уязвимост трябва да бъде експлоатирана. Оценките за тежест са описани, както следва:

• Критичен : Уязвимост, маркирана като „Критична“, означава, че нейното използване може да доведе до изпълнение на код без взаимодействие с потребителя. Примерите включват саморазпространяващ се зловреден софтуер като червеи. Microsoft препоръчва на потребителите да прилагат критични актуализации веднага след пускането им.
• важно : Уязвимост, маркирана като „Важна“, означава, че нейното използване може да компрометира поверителността, наличността или целостта (CIA) на потребителските данни. Примерите включват атаки за отказ на услуга, като ransomware и друг зловреден софтуер, който краде нашите данни. Microsoft препоръчва на потребителите да прилагат важни актуализации при първа възможност.
• Умерен : Уязвимост, маркирана като „Умерена“, означава, че нейното въздействие е смекчено в значителна степен от фактори като изисквания за удостоверяване или приложимост само към конфигурации, които не са по подразбиране. Microsoft препоръчва на потребителите да обмислят прилагането на актуализацията за защита.
• ниско : Уязвимост, маркирана като „Ниска“, означава, че нейното въздействие е смекчено от характеристиките на засегнатия компонент. Този тип уязвимост обикновено изисква или широко взаимодействие, или необичайна конфигурация. Microsoft препоръчва на потребителите да преценят дали да приложат актуализацията на защитата към засегнатите системи.

Оценката на сериозността на уязвимостта е различна от вероятността за възникване. За да се оцени вероятността от възникване, Индекс за експлоатируемост на Microsoft предоставя допълнителна информация за вероятността да бъде използвана уязвимост, адресирана в актуализация на защитата на Microsoft. Microsoft препоръчва на системните администратори да оценят собствените си среди и да вземат решения за това кои актуализации са необходими, за да запазят системите си защитени.

Рискови фактори и възможно смекчаване

Колкото и важно да е прилагането на кръпки на Patch Tuesday за цялостното здраве на компютърните системи и сървъри, то не е без предизвикателства и рискове – особено за организации с голям брой Windows системи и персонализирани приложения. Много организации се възмущават от прилагането на корекции във вторник, поради свързаните с това рискове.

Актуализациите във вторник се възприемат като източник на главоболие за повечето Windows администратори поради техния потенциал да причинят повече проблеми и усложнения. Пачовете понякога са несъвместими със софтуера на трети страни или дори със собствения софтуер на Microsoft, което може да доведе до неизправност на системата и прекъсвания. Когато погледнете днешния пейзаж на заплахите, атаките с нулев ден са се увеличили експоненциално през последните няколко години, както по отношение на скоростта, така и по отношение на сложността, както се вижда от добре установените атаки „Exploit Wednesday“.

Според Кристофър Бъд (бивш служител на Microsoft Security Response Center), „когато Microsoft започна да се отдалечава от модела „кораб, когато е готов“, имаше много критики, че оставяме хората уязвими за атаки по-дълго, отколкото е необходимо“— особено когато има ситуация на нулев ден и хората настояват за издание „извън групата“. „В тези ситуации ползите от структурирания процес се сблъскват с проблема с увеличеното време, през което една уязвимост е отворена за атака“. Това обикновено води до по-дълъг прозорец на излагане – периодът от време между освобождаването на уязвимост и наличността на корекция.

Patch Tuesday също може да повлияе на интернет честотната лента на организацията, ако не се обработва правилно. Това е особено забележимо в среди, където много машини дискретно извличат актуализации през споделена връзка с ограничена честотна лента, като тези, които се намират в много мрежи на работни групи или в някои малки и средни предприятия. И така, как да се справим с тези рискови фактори?

Първо и най-важно, като администратор на Windows се препоръчва да тествате корекции в лаборатория или среда на пясъчна среда и да се уверите, че са съвместими с вашите системи, преди да ги приложите към производствени системи. Освен това Microsoft предоставя инструмент, наречен Услуги за актуализиране на Windows Server (WSUS) които могат да се използват за осигуряване на контролирано внедряване на кръпки. Това улеснява управлението на внедряването на корекции във вашата тестова и производствена среда.

За да се сведе до минимум въздействието върху интернет честотната лента на организацията, инструментът WSUS може да се използва за локално разпространение на актуализациите. Това значително ще намали изискванията за широчина на честотната лента за корекция на голям брой компютри. В допълнение към WSUS, компютрите с Windows 10 могат да „споделят“ актуализации по peer-to-peer начин с други компютри с Windows 10 в локалната мрежа или дори с компютри с Windows 10 в интернет. Това помага да се гарантира, че актуализациите се разпространяват по-бързо, като същевременно намалява използването за мрежи с измерена връзка.