周二补丁日（Patch Tuesday）

2022 年 11 月的周二补丁日有大量更新。列出了 68 个漏洞的修复，其中包括 6 个零日漏洞。零日漏洞被积极开发利用很有意义，管理员需要尽快实施这些补丁。

什么是周二补丁日

“周二补丁日”在每个月的第二个星期二。在这一天，微软发布了其操作系统和其他相关应用程序的安全和非安全更新。由于 Microsoft 坚持定期发布更新，因此 IT 管理员期望这些更新，并提前为它们的更新做好准备。

为什么周二补丁日很重要

用于修复关键错误或漏洞的重要安全更新和补丁将于“周二补丁日”发布。通常，零日漏洞也会在周二补丁日期间修复，但有一种情况除外：该漏洞严重且被高度利用。遇到这种情况，会紧急发布安全更新来解决该特定漏洞。

2022 年 11 月周二补丁日：安全更新内容

发布了以下产品、功能和角色的安全更新：
• .NET Framework
• AMD CPU 分支
• Azure
• Azure 实时操作系统
• Linux Kernel
• Microsoft Dynamics
• Microsoft Exchange Server
• Microsoft Graphics Component
• Microsoft Office
• Microsoft Office Excel
• Microsoft Office SharePoint
• Microsoft Office Word
• 网络策略服务器 (NPS)
• 开放源代码软件
• 角色：Windows Hyper-V
• SysInternals
• Visual Studio
• Windows 高级本地过程调用
• Windows ALPC
• Windows 绑定筛选器驱动程序
• Windows BitLocker
• Windows CNG 密钥隔离服务
• Windows 设备人机接口
• Windows 数字媒体
• Microsoft DWM 核心库
• Windows 可扩展文件分配
• Windows 组策略首选客户端
• Windows HTTP.sys
• Windows Kerberos
• Windows Mark of the Web (MOTW)
• Windows Netlogon
• Windows Network Address Translation (NAT)
• Windows ODBC 驱动程序
• Windows 覆盖筛选器
• Windows 点对点隧道协议
• Windows 打印后台处理程序组件
• Windows Resilient 文件系统 (ReFS)
• Windows Scripting
• Windows Win32K

修补了六个零日漏洞

11 月的周二补丁日更新了六个零日漏洞，所有这些漏洞都被积极利用，其中一个被公开披露。

• CVE-2022-41128 – Windows 脚本语言远程执行代码漏洞
此漏洞是由Google威胁分析小组的Clément Lecigne发现的，并且根据Microsoft的公告：

此漏洞要求具有受影响Windows版本的用户访问恶意服务器。攻击者必须托管特制的服务器共享或网站。攻击者无法强迫用户访问此特制服务器共享或网站，但必须说服他们访问服务器共享或网站，通常是通过电子邮件或聊天消息中的引诱。

• CVE-2022-41091 – Windows 标记的网络安全功能绕过漏洞
攻击者可以制作一个恶意文件，以逃避Web标记（MOTW）防御，从而导致安全功能的完整性和可用性的有限损失，例如依赖于MOTW标记的Microsoft Office中的受保护视图。

• CVE-2022-41073 – Windows 后台打印程序特权提升漏洞
该公告由微软威胁情报中心（MSTIC）发现，“成功利用此漏洞的攻击者可以获得系统权限。

• CVE-2022-41125 – Windows CNG 密钥隔离服务特权提升漏洞
成功利用此漏洞的攻击者可以获得系统权限。

• CVE-2022-41040 – 微软交换服务器特权提升漏洞
攻击者获得的权限将是能够在系统上下文中运行PowerShell。

• CVE-2022-41082 – 微软交换服务器远程执行代码漏洞
此漏洞的攻击者可以在任意或远程代码执行中以服务器帐户为目标。作为经过身份验证的用户，攻击者可以尝试通过网络调用在服务器帐户的上下文中触发恶意代码。

除了这些漏洞之外，Microsoft 还发布了 11 月发布的两个主动利用的漏洞的更新：CVE-2022-41040 和 CVE-2022-41082。

上个月补丁星期二之后发布的第三方更新

Citrix，Apple，Google，Cisco，SAP和OpenSSL等第三方供应商在上个月的补丁星期二之后发布了更新。

在混合工作环境中处理补丁管理的最佳实践

大多数企业组织选择远程工作，即使他们已被批准返回办公室。此决策给 IT 管理员带来了各种挑战，尤其是在管理和保护分布式终结点方面。

以下是简化远程修补过程的一些提示：

• 禁用自动更新，因为一个错误的补丁可能会使整个系统瘫痪。IT 管理员可以指导最终用户如何禁用其计算机上的自动更新。Patch Manager Plus和Endpoint Central还有一个专用的补丁105427，可以部署到端点，以确保禁用自动更新。
• 创建一个还原点（捕获计算机状态的备份或映像），然后再部署大型更新（如周二补丁日中的更新）。
• 建立修补计划并让最终用户了解它。建议设置部署补丁和重新启动系统的时间。让最终用户知道他们需要做什么才能实现无故障修补。
• 在将修补程序部署到生产环境之前，先在试点系统组上测试修补程序。这将确保补丁不会干扰其他应用程序的工作。
• 由于许多用户在家工作，他们可能都在不同的工作时间工作，在这种情况下，可以允许最终用户跳过部署和计划的重新启动。这将使他们能够自由地在方便的时候安装更新，并避免中断他们的工作。我们的补丁管理产品附带用户定义的部署和重新启动选项。
• 大多数企业组织都使用 VPN 部署补丁。要阻止补丁任务占用您的 VPN 带宽，请先安装关键补丁和安全更新。
• 将非安全更新和未评级为“关键”的安全更新安排在星期二补丁日之后部署，例如在每月的第三周或第四周。如果您认为环境中不需要某些更新，也可以选择拒绝这些更新。
• 运行修补程序报告以获取端点运行状况的详细视图。
• 对于属于远程工作后返回办公室的用户的计算机，请先检查它们是否符合安全策略。
• 在确认后台办公计算机适合生产之前，请安装最新的更新和功能包。
• 清点并删除后台计算机中不适用的应用。

借助Endpoint Central或Patch Manager Plus，从测试补丁到部署补丁，可以实现自动化补丁管理的整个过程。还可以根据当前需求定制补丁任务。