Hvad er Microsoft Patch Tuesday?
Hvis du er en Windows-computerbruger, er du sikkert bekendt med de sædvanlige pop-ups eller meddelelser, der fortæller dig, at din enhed skal genstarte for at fuldføre installationen af opdateringer; eller beder dig om at planlægge genstarten til et mere bekvemt tidspunkt. Disse opdateringer udgives normalt af Microsoft på en særlig dag, der er blevet kendt somPatch tirsdag.
Patch Tuesday (også kendt som Update Tuesday) er et uformelt udtryk, der bruges til at referere til, når Microsoft regelmæssigt udgiver softwarerettelser til deres softwareprodukter, såsom Windows-operativsystemet, Microsoft Office og andre Microsoft-softwareapplikationer. Patch Tuesday finder sted den anden, og nogle gange den fjerde tirsdag i hver måned i Nordamerika.
Microsoft har ikke en garanteret tid, hvor disse patches vil blive frigivet. Men mønsteret gennem årene er, at opdateringerne generelt ankommer omkring kl. 10 Pacific Standard Time (UTC−8), men de kan blive frigivet senere på dagen. Opdateringerne vises i Download Center, før de føjes til Windows Update (WU). Disse patches frigives for at rette fejl i dets softwareapplikation, der kan føre til sårbarheder, og forbedre sikkerheden for Microsoft-applikationer. De fleste af disse sårbarheder er fundet af eksterne forskere, som rapporterer dem ansvarligt til Microsoft gennem Microsoft bug bounty program . Microsoft Security Response Center undersøger de rapporterede sårbarheder og leverer løsninger, der hjælper med at mindske sikkerhedsrisici.
Hovedideen bag Patch Tuesday er at gøre opdateringsprocessen så forudsigelig som muligt for at forhindre, at Windows-administratorer skal kæmpe for at håndtere opdateringer, der er udgivet på en uregelmæssig tidsplan. Dette sætter dem i stand til at lave planer om at teste og installere dem. Andre virksomheder som Adobe og Oracle har vedtaget den samme Patch Tuesday-plan for at gøre patch-administration lettere for systemadministratorer.
Mindre opdateringer udgives ofte på andre tidspunkter (out-of-band), især hvis de er presserende og kritiske.
Relateret indlæg: Bedste Partch Management Tools
Hvordan det hele startede
Windows 98 var det første Microsoft-operativsystem, der indeholdt muligheden for at kontrollere og installere opdateringer til operativsystemet. I den periode blev opdateringer til Microsoft-produkter udgivet uregelmæssigt og på tilfældige tidspunkter indtil oktober 2003, hvor den anden tirsdag i måneden blev valgt til at være 'opdateringsdag', som blev det, der nu er kendt i branchen som Patch Tuesday.
Processen med at frigive og distribuere disse softwarerettelser koster uregelmæssigt Microsoft og organisationer mange penge, tid og kræfter – især organisationer med et stort antal Windows-maskiner. Du kan forestille dig, hvor tidskrævende det kan være at manuelt opdatere hver Windows-maskine separat. Microsoft introducerede 'Patch Tuesday' for at reducere omkostningerne ved at distribuere patches. Den nye tilgang tillader sikkerhedsrettelser at akkumulere over en måned og sender dem alle den anden tirsdag i hver måned.
Før fremkomsten af Patch Tuesday blev opdateringer udgivet, når de var klar (afsendes-når-klar) uden forudgående advarsel eller meddelelse. Selvom dette tillod rettelser at forsvinde næsten med det samme, var det en byrde for Windows-administratorer og brugere, som nogle gange måtte genstarte deres computere flere gange for at anvende nye opdateringer, snarere end blot én genstart for at anvende en kumulativ opdatering.
Ifølge Microsoft blev tirsdag valgt af to grunde:
- At give brugerne en dag (mandag) til at håndtere uventede problemer, der kunne være opstået i løbet af den foregående weekend.
- For at give brugerne masser af tid til at teste opdateringerne og implementere dem på enheder, så svar på eventuelle problemer, der måtte opstå i resten af ugen.
Hvorfor er det vigtigt?
Patch Tuesday er blevet en stor ting for Windows-brugere og administratorer. At få de seneste sikkerhedsopdateringer til dine desktops og servere burde være noget at se frem til hver måned. Disse opdateringer er vigtige og kritiske for den overordnede tilstand af dine systemer og servere. Alle organisationer opfordres til at anvende patches på Patch Tuesday. Hvorfor er dette vigtigt?
Softwareopdateringer er vigtige for dine systemers generelle sundhed. Stærk sikkerhed er afgørende for alle organisationer, især dem, der bruger systemer, der gemmer eller har adgang til følsomme data såsom personlige oplysninger. Operativsystemer og andre applikationer, der ikke opdateres, vil sandsynligvis blive sårbare over for cyberangreb. Angribere udnytter ofte forældede systemer - de udnytter sårbarheder, som patches er tilgængelige for, men som ikke anvendes. Af denne grund anbefaler Microsoft, at kunder prioriterer patchning. Patches kan rette potentielle fejl og sikkerhedshuller og samtidig øge effektiviteten af operativsystemer og de softwareapplikationer, der kører på dem.
De vigtigste sikkerhedsopdateringer og patches til at rette kritiske fejl eller sårbarheder udgives på Patch Tuesday. Selv nul-dages sårbarheder er også rettet under Patch Tuesday, medmindre sårbarheden er kritisk og stærkt udnyttet, i hvilket tilfælde en out-of-band sikkerhedsopdatering frigives for at løse den særlige sårbarhed. Mange udnyttelsesbegivenheder ses kort efter udgivelsen af en patch. Faktisk er dagen efter Patch Tuesday ofte kendt som Exploit Wednesday. Angribere har fundet ud af en måde at reverse-engine patches for at identificere de underliggende sårbarheder og derefter skabe metoder til at udnytte sårbarheden. De bruger derefter denne mulighed til at angribe computere, der ikke har opdateret den foregående dags patches.
Det var mangel på patching, der aktiverede WannaCry ransomware angreb der fandt sted i maj 2017 for at sprede sig så hurtigt. Mens Microsoft tidligere havde udgivet patches for at lukke WannaCry-sårbarheden, var en stor del af dens spredning fra organisationer, der ikke havde anvendt patchen eller brugte ældre Windows-systemer, der var forbi deres end-of-life. Disse patches er kritiske for en organisations cybersikkerhed, men mange blev ikke anvendt på grund af behovet for ikke at afbryde driften.
Hvordan ved du, hvad der bliver frigivet?
Microsoft udgiver sikkerhedsrelaterede opdateringer til Windows (desktop- og serverudgaver), Office og relaterede produkter den anden tirsdag i hver måned. Den fjerde tirsdag i hver måned er reserveret til opdateringer, der ikke er relateret til sikkerhed. Nogle gange udgiver Microsoft, hvad der kaldes en 'out of band'-opdatering (opdatering udgivet på en dag uden for den normale tirsdagsopdateringsrutine) for kritiske sikkerhedsproblemer. Dette sker typisk kun, når et sikkerhedsproblem er ekstremt alvorligt og bliver aktivt udnyttet i naturen.
Patch Tuesday er inden for Microsoft også kendt som 'B'-udgivelsen for at skelne den fra 'C'- og 'D'-udgivelserne, der opstår i henholdsvis den tredje og fjerde uge af måneden. 'C' og 'D'-udgivelserne indeholder kun ikke-sikkerhedsmæssige opdateringer og er beregnet til at give synlighed og test af de planlagte ikke-sikkerhedsrettelser, der er målrettet til næste måneds Update Tuesday-udgivelse. Disse opdateringer sendes derefter som en del af den følgende måneds 'B' eller Update Tuesday-udgivelse.
Hver sikkerhedsopdatering udstedt af Microsoft (uanset om det er på Patch Tuesday eller som en out-of-band-udgivelse) er ledsaget af Sikkerhedsrådgivninger og bulletiner der er udgivet af Microsoft Security Response Center (MSRC) omtrent samtidig med at opdateringerne udgives. MSRC frigiver disse dokumenter som en del af den igangværende indsats for at hjælpe brugere med at håndtere sikkerhedsrisici og holde deres systemer beskyttet. Sikkerhedsrådgivningerne og bulletinerne består af følgende nøglepunkter:
- Resuméer af sikkerhedsbulletin : Giv et overblik på højt niveau over de sikkerhedsbulletiner, der udgives af MSRC hver måned. Resuméerne giver oplysninger, der hjælper brugerne med at prioritere månedlige sikkerhedsopdateringer.
- Sikkerhedsbulletiner : Giv en beskrivelse af de tilgængelige afbødende samt videnbase (KB) artikler, der indeholder yderligere information om opdateringerne.
- Sikkerhedsrådgivning : Håndter sikkerhedsændringer, der muligvis ikke kræver en sikkerhedsbulletin, men som stadig kan påvirke brugernes overordnede sikkerhed. Hver meddelelse er ledsaget af en Microsoft KB-artikel for at give yderligere oplysninger om opdateringer, der leveres med meddelelsens udgivelse.
- Microsoft Vulnerability Research (MSVR) rådgivninger : Beskriv sikkerhedssårbarheder, som Microsoft eller eksterne forskere har opdaget i tredjepartsprodukter, og som Microsoft har afsløret til de berørte leverandører.
Sårbarhederne er beskrevet ved hjælp af et identifikationssystem kendt som Common Vulnerabilities and Exposures (CVE). CVE'er som f.eks CVE-2021-31184 og CVE-2021-30540 er unikke, fælles identifikatorer for offentligt kendte informationssikkerhedssårbarheder i offentligt frigivne softwarepakker. Specifikationerne for hver patch-pakke vil variere afhængigt af de sikkerhedsproblemer, der behandles - detaljer om hver patch-pakke kan findes ved at besøge Microsofts MSRC sikkerhedsopdateringsvejledning .
Hvordan ved du, hvilke opdateringer der er mest kritiske?
Ikke alle sårbarheder er lige med hensyn til sværhedsgrad og tilhørende risikoniveau. For at hjælpe brugere med at forstå den risiko, der er forbundet med hver rettet sårbarhed, udgav Microsoft en alvorlighedsvurderingssystem der vurderer hver sårbarhed efter det værste teoretiske resultat, hvis denne sårbarhed skulle udnyttes. Sværhedsgraderne er beskrevet som følger:
- Kritisk : En sårbarhed markeret som 'Kritisk' betyder, at dens udnyttelse kan føre til kodekørsel uden brugerinteraktion. Eksempler omfatter selvudbredende malware såsom orme. Microsoft anbefaler, at brugere anvender kritiske opdateringer med det samme, når de udgives.
- Vigtig : En sårbarhed markeret som 'Vigtigt' betyder, at dens udnyttelse kan kompromittere fortroligheden, tilgængeligheden eller integriteten (CIA) af brugerdata. Eksempler inkluderer lammelsesangreb, såsom ransomware og anden malware, der stjæler vores data. Microsoft anbefaler, at brugerne anvender Vigtige opdateringer så hurtigt som muligt.
- Moderat : En sårbarhed markeret som 'Moderat' betyder, at dens indvirkning afbødes i væsentlig grad af faktorer som godkendelseskrav eller kun anvendelighed på ikke-standardkonfigurationer. Microsoft anbefaler, at brugere overvejer at anvende sikkerhedsopdateringen.
- Lav : En sårbarhed markeret som 'Lav' betyder, at dens påvirkning afbødes af den berørte komponents egenskaber. Denne type sårbarhed kræver normalt enten omfattende interaktion eller en usædvanlig konfiguration. Microsoft anbefaler, at brugerne vurderer, om de skal anvende sikkerhedsopdateringen på de berørte systemer.
Vurderingen af en sårbarheds sværhedsgrad er forskellig fra dens sandsynlighed for forekomst. For at vurdere sandsynligheden for forekomst, Microsoft Exploitability Index giver yderligere oplysninger om sandsynligheden for, at en sårbarhed, der er rettet i en Microsoft-sikkerhedsopdatering, vil blive udnyttet. Microsoft anbefaler, at systemadministratorer evaluerer deres egne miljøer og træffer beslutninger om, hvilke opdateringer der er nødvendige for at holde deres systemer beskyttet.
Risikofaktorer og mulig reduktion
Lige så vigtigt som at anvende patches på Patch Tuesday er for den overordnede sundhed af computersystemer og servere, er det ikke uden udfordringer og risici – især for organisationer med et stort antal Windows-systemer og tilpassede applikationer. Mange organisationer ærgrer sig over at anvende patches på Patch Tuesdays på grund af de tilknyttede risici.
Patch Tuesday-opdateringer ses som en kilde til hovedpine for de fleste Windows-administratorer på grund af deres potentiale til at forårsage flere problemer og komplikationer. Patcherne er nogle gange inkompatible med tredjepartssoftware eller endda Microsofts egen software, hvilket kan føre til systemfejl og nedetider. Når man ser på nutidens trusselslandskab, er zero-day-angreb steget eksponentielt i de sidste par år, både i hastighed og sofistikering, som det fremgår af de veletablerede 'Exploit Wednesday'-angreb.
Ifølge Christopher Budd (tidligere Microsoft Security Response Center-medarbejder), 'da Microsoft begyndte at bevæge sig væk fra modellen 'skib, når klar', var der megen kritik af, at vi efterlod folk sårbare over for angreb længere, end de skulle være'— især når der er en nul-dages situation, og folk råber efter en 'out of band'-udgivelse. 'I de situationer kolliderer fordelene ved en struktureret proces med problemet med den øgede tid, en sårbarhed er åben for angreb'. Dette resulterer normalt i et længere eksponeringsvindue - tidsrummet mellem frigivelsen af en sårbarhed og tilgængeligheden af en patch.
Patch Tuesday kan også påvirke en organisations internetbåndbredde, hvis den ikke håndteres korrekt. Dette er især bemærkelsesværdigt i miljøer, hvor mange maskiner diskret henter opdateringer over en delt, båndbreddebegrænset forbindelse, såsom dem, der findes i mange arbejdsgruppenetværk eller i nogle små til mellemstore virksomheder. Så hvordan håndterer vi disse risikofaktorer?
Først og fremmest anbefales det som Windows-administrator, at du tester patches i et laboratorie- eller sandkassemiljø og sikrer, at de er kompatible med dine systemer, før du anvender dem på produktionssystemer. Derudover leverer Microsoft et værktøj kaldet Windows Server Update Services (WSUS) der kan bruges til at levere en kontrolleret udrulning af patches. Dette gør det nemmere at administrere implementeringen af patches til dit test- og produktionsmiljø.
For at minimere indvirkningen på en organisations internetbåndbredde kan WSUS-værktøjet bruges til at distribuere opdateringerne lokalt. Dette vil reducere båndbreddekravene til patchning af et stort antal computere markant. Ud over WSUS kan Windows 10-computere 'dele' opdateringer på en peer-to-peer-måde med andre Windows 10-computere på det lokale netværk eller endda med Windows 10-computere på internettet. Dette er med til at sikre, at opdateringer distribueres hurtigere, samtidig med at forbruget for netværk med en målt forbindelse reduceres.