Co je Microsoft Patch Tuesday?
Pokud jste uživatelem počítače se systémem Windows, pravděpodobně znáte obvyklá vyskakovací okna nebo upozornění, která vám říkají, že je třeba restartovat zařízení, aby byla instalace aktualizací dokončena; nebo vám řekne, abyste naplánovali restart na vhodnější dobu. Tyto aktualizace obvykle vydává společnost Microsoft ve zvláštní den, který se stal známým jakoPatch úterý.
Patch Tuesday (také známý jako Update Tuesday) je neformální termín používaný k označení případů, kdy společnost Microsoft pravidelně vydává softwarové opravy pro své softwarové produkty, jako je operační systém Windows, Microsoft Office a další softwarové aplikace společnosti Microsoft. Patch Tuesday nastává druhé a někdy i čtvrté úterý každého měsíce v Severní Americe.
Microsoft nemá zaručený čas vydání těchto záplat. Ale model v průběhu let je takový, že aktualizace obvykle dorazí kolem 10:00 pacifického standardního času (UTC-8), ale mohou být vydány později během dne. Aktualizace se před přidáním do služby Windows Update (WU) zobrazí v centru stahování. Tyto opravy jsou vydávány s cílem opravit chyby v jejich softwarové aplikaci, které by mohly vést k zranitelnosti, a zlepšit zabezpečení aplikací společnosti Microsoft. Většinu těchto zranitelností naleznou externí výzkumníci, kteří je zodpovědně nahlásí společnosti Microsoft prostřednictvím webu Microsoft bug bounty program . Microsoft Security Response Center prošetřuje hlášená zranitelnost a poskytuje řešení, která pomáhají zmírnit bezpečnostní rizika.
Hlavní myšlenkou Patch Tuesday je učinit proces aktualizace co nejpředvídatelnějším, aby se správci Windows nemuseli potýkat s aktualizacemi vydávanými podle nepravidelného plánu. To jim umožňuje vytvářet plány na jejich testování a instalaci. Další společnosti jako Adobe a Oracle přijaly stejný plán opravného úterý, aby správcům systému usnadnily správu oprav.
Menší aktualizace jsou často vydávány jindy (mimo pásmo), zvláště pokud jsou naléhavé a kritické.
Související příspěvek: Nejlepší nástroje pro správu dílů
Jak to vše začalo
Windows 98 byl první operační systém společnosti Microsoft, který obsahoval možnost kontroly a instalace aktualizací operačního systému. Během tohoto období byly aktualizace pro produkty společnosti Microsoft vydávány nepravidelně a v náhodných časech až do října 2003, kdy bylo druhé úterý v měsíci vybráno jako „den aktualizace“, který se stal tím, co je nyní v oboru známé jako Patch Tuesday.
Proces vydávání a distribuce těchto softwarových oprav nepravidelně stojí Microsoft a organizace spoustu peněz, času a úsilí – zejména organizace s velkým počtem počítačů s Windows. Dokážete si představit, jak časově náročné může být ruční aktualizace každého počítače se systémem Windows zvlášť. Microsoft zavedl „Patch Tuesday“, aby snížil náklady na distribuci oprav. Nový přístup umožňuje, aby se bezpečnostní záplaty hromadily po dobu jednoho měsíce a všechny jsou odesílány každé druhé úterý v měsíci.
Před příchodem Patch Tuesday byly aktualizace vydávány vždy, když byly připraveny (ship-when-ready), bez předchozího varování nebo oznámení. I když to umožňovalo opravy téměř okamžitě, představovalo to zátěž pro správce systému Windows a uživatele, kteří někdy museli kvůli použití nových aktualizací několikrát restartovat svůj počítač, a ne pouze jedním restartem kvůli použití kumulativní aktualizace.
Podle Microsoftu bylo úterý vybráno ze dvou důvodů:
- Poskytnout uživatelům den (pondělí) na řešení neočekávaných problémů, které mohly nastat během předchozího víkendu.
- Aby měli uživatelé dostatek času na testování aktualizací a jejich nasazení do zařízení, pak reagujte na případné problémy, které mohou nastat během zbytku týdne.
Proč je to důležité?
Patch Tuesday se pro uživatele a správce Windows stal velkým problémem. Získávání nejnovějších aktualizací zabezpečení pro vaše stolní počítače a servery by mělo být něco, na co se můžete každý měsíc těšit. Tyto aktualizace jsou důležité a zásadní pro celkový stav vašich systémů a serverů. Každé organizaci se doporučuje aplikovat záplaty na Patch Tuesday. Proč je toto důležité?
Aktualizace softwaru jsou důležité pro celkové zdraví vašich systémů. Silné zabezpečení je životně důležité pro všechny organizace, zejména ty, které používají systémy, které uchovávají citlivá data, jako jsou osobní údaje, nebo k nim mají přístup. Operační systémy a další aplikace, které nejsou aktualizovány, se pravděpodobně stanou zranitelnými vůči kybernetickým útokům. Útočníci často využívají zastaralé systémy – zneužívají zranitelnosti, pro které jsou dostupné záplaty, ale nejsou aplikovány. Z tohoto důvodu společnost Microsoft zákazníkům doporučuje, aby se záplatování stalo prioritou. Záplaty mohou opravit potenciální chyby a bezpečnostní díry a zároveň zvýšit efektivitu operačních systémů a softwarových aplikací, které na nich běží.
Nejdůležitější bezpečnostní aktualizace a záplaty pro opravu kritických chyb nebo zranitelností jsou vydány v Patch Tuesday. Dokonce i zranitelnosti nultého dne jsou také opraveny během Patch Tuesday, pokud není zranitelnost kritická a vysoce zneužitá. V takovém případě je vydána mimopásmová bezpečnostní aktualizace, která řeší tuto konkrétní zranitelnost. Krátce po vydání opravy je vidět mnoho událostí využití. Ve skutečnosti je den po Patch Tuesday často známý jako Exploit Wednesday. Útočníci přišli na způsob, jak reverzně analyzovat záplaty, aby identifikovali základní zranitelnosti a poté vytvořili metody, jak tuto zranitelnost využít. Tuto příležitost pak využijí k útoku na počítače, které neaktualizovaly záplaty předchozího dne.
Byl to nedostatek záplatování, který umožnil Ransomwarový útok WannaCry která se odehrála v květnu 2017 se tak rychle rozšířila. Přestože Microsoft již dříve vydal záplaty k odstranění zranitelnosti WannaCry, velká část jejího šíření pocházela od organizací, které záplatu neaplikovaly nebo používaly starší systémy Windows, kterým skončila životnost. Tyto záplaty jsou zásadní pro kybernetickou bezpečnost organizace, ale mnoho z nich nebylo použito kvůli nutnosti nepřerušovat provoz.
Jak víte, co se vydává?
Společnost Microsoft vydává aktualizace související se zabezpečením pro Windows (edice pro počítače a servery), Office a související produkty každé druhé úterý v měsíci. Čtvrté úterý každého měsíce je vyhrazeno pro aktualizace, které se netýkají zabezpečení. Společnost Microsoft příležitostně vydává to, čemu se říká „out of band“ aktualizace (aktualizace vydaná v den mimo běžnou úterní rutinu aktualizace) kvůli kritickým bezpečnostním problémům. Obvykle k tomu dochází pouze v případě, že je bezpečnostní problém extrémně závažný a je aktivně využíván ve volné přírodě.
Patch Tuesday je v Microsoftu známý také jako vydání „B“, aby se odlišilo od vydání „C“ a „D“, které se vyskytují ve třetím a čtvrtém týdnu měsíce. Vydání „C“ a „D“ obsahují pouze aktualizace nesouvisející se zabezpečením a jejich účelem je poskytnout viditelnost a testování plánovaných oprav nesouvisejících se zabezpečením, na které se zaměřuje vydání Update Tuesday příští měsíc. Tyto aktualizace jsou pak odeslány jako součást vydání „B“ nebo aktualizace úterý následujícího měsíce.
Každá aktualizace zabezpečení vydaná společností Microsoft (ať už v úterý nebo jako vydání mimo pásmo) je doprovázena Bezpečnostní rady a bulletiny které jsou zveřejněny Microsoft Security Response Center (MSRC) přibližně ve stejnou dobu jsou vydány aktualizace. MSRC vydává tyto dokumenty jako součást trvalého úsilí o pomoc uživatelům řídit bezpečnostní rizika a chránit jejich systémy. Bezpečnostní doporučení a bulletiny se skládají z následujících klíčových položek:
- Souhrny bezpečnostních bulletinů : Poskytněte přehled na vysoké úrovni o bulletinech zabezpečení, které každý měsíc vydává MSRC. Souhrny poskytují informace, které uživatelům pomohou upřednostnit měsíční aktualizace zabezpečení.
- Bezpečnostní bulletiny : Poskytněte popis dostupných zmírnění a také články znalostní báze (KB), které obsahují další informace o aktualizacích.
- Bezpečnostní doporučení : Řeší změny zabezpečení, které možná nevyžadují bulletin zabezpečení, ale přesto mohou ovlivnit celkové zabezpečení uživatelů. Ke každému informačnímu zpravodaji je připojen článek znalostní báze Microsoft KB, který poskytuje další informace o aktualizacích dodávaných s vydáním informačního zpravodaje.
- Doporučení Microsoft Vulnerability Research (MSVR). : Popište slabá místa zabezpečení, která společnost Microsoft nebo externí výzkumníci objevili v produktech třetích stran a které společnost Microsoft oznámila dotčeným dodavatelům.
Chyby zabezpečení jsou popsány pomocí identifikačního systému známého jako Common Vulnerabilities and Exposures (CVE). CVE jako např CVE-2021-31184 a CVE-2021-30540 jsou jedinečné, společné identifikátory pro veřejně známé zranitelnosti zabezpečení informací ve veřejně vydávaných softwarových balíčcích. Specifika jednotlivých opravných balíčků se budou lišit v závislosti na řešených bezpečnostních problémech – podrobnosti o každém opravném balíčku naleznete na Průvodce aktualizací zabezpečení MSRC společnosti Microsoft .
Jak poznáte, které aktualizace jsou nejkritičtější?
Ne všechny zranitelnosti jsou stejné, pokud jde o závažnost a související úroveň rizika. Aby společnost Microsoft pomohla uživatelům porozumět rizikům spojeným s každou opravenou chybou zabezpečení, zveřejnila a systém hodnocení závažnosti který hodnotí každou zranitelnost podle nejhoršího teoretického výsledku, pokud by tato zranitelnost měla být zneužita. Hodnocení závažnosti je popsáno takto:
- Kritické : Chyba zabezpečení označená jako „Kritická“ znamená, že její zneužití by mohlo vést ke spuštění kódu bez interakce uživatele. Mezi příklady patří malware, který se sám šíří, jako jsou červi. Společnost Microsoft doporučuje, aby uživatelé aplikovali důležité aktualizace ihned po jejich vydání.
- Důležité : Zranitelnost označená jako „Důležitá“ znamená, že její zneužití by mohlo ohrozit důvěrnost, dostupnost nebo integritu (CIA) uživatelských dat. Příklady zahrnují útoky odepření služby, jako je ransomware a další malware, které kradou naše data. Společnost Microsoft doporučuje, aby uživatelé použili důležité aktualizace při nejbližší příležitosti.
- Mírný : Zranitelnost označená jako „střední“ znamená, že její dopad je do značné míry zmírněn faktory, jako jsou požadavky na ověření nebo použitelnost pouze na jiné než výchozí konfigurace. Společnost Microsoft doporučuje uživatelům zvážit použití aktualizace zabezpečení.
- Nízký : Zranitelnost označená jako „Nízká“ znamená, že její dopad je zmírněn vlastnostmi dotčené součásti. Tento typ zranitelnosti obvykle vyžaduje buď rozsáhlou interakci, nebo neobvyklou konfiguraci. Společnost Microsoft doporučuje, aby uživatelé zvážili, zda mají aktualizaci zabezpečení použít na postižené systémy.
Hodnocení závažnosti zranitelnosti se liší od pravděpodobnosti jejího výskytu. Aby bylo možné posoudit pravděpodobnost výskytu, Index využitelnosti společnosti Microsoft poskytuje další informace o pravděpodobnosti, že bude zneužita chyba zabezpečení uvedená v aktualizaci zabezpečení společnosti Microsoft. Společnost Microsoft doporučuje, aby správci systému vyhodnotili svá vlastní prostředí a rozhodovali o tom, které aktualizace jsou nutné pro ochranu jejich systémů.
Rizikové faktory a možná zmírnění
Jakkoli je aplikace záplat na Patch Tuesday důležitá pro celkové zdraví počítačových systémů a serverů, není bez problémů a rizik – zejména pro organizace s velkým počtem systémů Windows a přizpůsobených aplikací. Mnoho organizací nesouhlasí s používáním oprav v úterý kvůli souvisejícím rizikům.
Aktualizace Patch Tuesday jsou považovány za zdroj bolesti hlavy pro většinu správců Windows, protože mohou způsobit další problémy a komplikace. Záplaty jsou někdy nekompatibilní se softwarem třetích stran nebo dokonce s vlastním softwarem společnosti Microsoft, což může vést k poruše systému a výpadkům. Když se podíváte na dnešní prostředí hrozeb, útoky zero-day v posledních několika letech exponenciálně vzrostly, a to jak z hlediska rychlosti, tak důmyslnosti, jak dokazují dobře zavedené útoky „Exploit Wednesday“.
Podle Christophera Budda (bývalého zaměstnance střediska Microsoft Security Response Center) „když se Microsoft začal odklánět od modelu „loď, když je připraven“, bylo hodně kritizováno, že necháváme lidi zranitelné vůči útoku déle, než bylo potřeba“ — zvláště když je situace nultého dne a lidé volají po vydání „mimo skupinu“. 'V těchto situacích se výhody strukturovaného procesu střetávají s problémem delší doby, po kterou je zranitelnost otevřena útoku.' To obvykle vede k delšímu oknu expozice – časovému období mezi vydáním zranitelnosti a dostupností opravy.
Patch Tuesday může také ovlivnit šířku internetového pásma organizace, pokud s ním není správně zacházeno. To je zvláště patrné v prostředích, kde mnoho počítačů diskrétně načítá aktualizace přes sdílené připojení s omezenou šířkou pásma, jaké se vyskytuje v mnoha sítích pracovních skupin nebo v některých malých a středně velkých podnicích. Jak se tedy s těmito rizikovými faktory vypořádáme?
V první řadě se jako administrátorovi Windows doporučuje otestovat záplaty v prostředí laboratoře nebo izolovaného prostoru a ujistit se, že jsou kompatibilní s vašimi systémy, než je použijete na produkční systémy. Kromě toho Microsoft poskytuje nástroj tzv Windows Server Update Services (WSUS) které lze použít k zajištění řízeného zavádění oprav. To usnadňuje správu nasazení oprav do vašeho testovacího a produkčního prostředí.
Chcete-li minimalizovat dopad na šířku pásma internetu organizace, lze k místní distribuci aktualizací použít nástroj WSUS. To výrazně sníží nároky na šířku pásma pro záplatování velkého počtu počítačů. Kromě WSUS mohou počítače se systémem Windows 10 „sdílet“ aktualizace způsobem peer-to-peer s jinými počítači se systémem Windows 10 v místní síti nebo dokonce s počítači se systémem Windows 10 na internetu. To pomáhá zajistit rychlejší distribuci aktualizací a zároveň snížit využití sítí s měřeným připojením.