[2020年网络安全月] 微软安全补丁基础知识②
※ 2020年11月,安全更新指南进行了更新。关于新安全更新指南的使用方法,请参考“尝试使用新的安全更新指南(Security Update Guide)”。
微软将每月第二个星期二定为月度安全更新日,公开各种产品的漏洞信息并提供安全更新程序。默认情况下,安全更新程序设置为自动安装,但在企业和组织环境中,通常会在进行更新程序应用测试后部署,因此IT管理员需要确认信息并进行风险评估。本次,我们将介绍月度安全更新日公开的信息,以供IT管理员参考。
1. 掌握月度安全信息的概要
首先,通过安全更新指南(Security Update Guide)了解月度安全更新日发布了哪些安全更新程序和修复了哪些安全漏洞。
发布说明介绍了月度安全更新日公开的安全更新程序的概要。该页面列出了发布更新程序的产品、更新程序的主要注意事项、包含附加信息的漏洞信息(CVE)列表,以及已知存在问题的安全更新程序列表。
下载漏洞列表
在安全更新指南的仪表板页面,可以查看与月度安全发布相关的发布说明。此外,还可以按产品或发布日期范围进行过滤和排序,并可以通过CVE或KB编号搜索更新程序。显示的安全更新程序列表可以下载到Excel中。详细使用方法请参考之前的博客“尝试使用安全更新指南(Security Update Guide)”。
如何获取包含更详细信息的列表?
如上所述,在安全更新指南网站上下载信息时,列表包含各漏洞的严重程度和影响程度,以及修复的安全更新程序的KB编号。但是,不包含各漏洞的CVSS分数、可利用性指标、漏洞是否为零日攻击等更详细的信息。要获取这些信息并进行更详细的风险分析,请使用API获取安全更新指南上的数据。
我们创建了Microsoft安全更新API演示视频系列,在YouTube上公开,介绍了使用API获取安全更新数据的方法,以及将获取的数据导入Excel文件并进行处理的方法。请通过以下链接参考:
- GitHub上安全更新API信息的查看方法
- 安全更新API的访问方法
- 以HTML文件获取月度安全更新概要的方法
- 将安全更新信息导出到Excel文件的方法
- 在Excel中获取CVE列表的方法
- 在Excel中获取KB列表的方法
2. 确认各漏洞的详细信息
获取发布说明或漏洞/安全更新程序列表并掌握整体情况后,接下来了解需要特别注意的漏洞的详细信息。各漏洞的说明记录在安全更新程序的漏洞页面。
各漏洞页面记录了微软关于该漏洞公开的所有信息。
| 项目 | 内容概要 |
|---|---|
| CVE | 分配给漏洞的通用漏洞标识符CVE(Common Vulnerabilities and Exposures) |
| 漏洞标题 | 表示漏洞的名称 |
| 漏洞公开日、更新日 | 漏洞公开的日期,以及内容有更新时的更新日期 |
| 漏洞概要 | 存在漏洞的行为、漏洞被利用的场景和影响、安全修复的概要 |
| 可利用性指标 | 表示漏洞被利用可能性的指标相关博客“[IT管理员向]了解漏洞的易利用性~可利用性指标和缓解措施” |
| 安全更新程序公开前的漏洞利用有无・漏洞详细信息公开有无 | 在安全更新程序公开之前,第三方是否公开了漏洞、是否利用了漏洞 |
| 受影响的产品・版本和安全更新程序 | 存在漏洞的产品及版本,以及修复漏洞的安全更新程序的链接仅列出漏洞最初公开时在支持范围内以及扩展安全更新程序(ESU)的对象产品/版本。 |
| 问题缓解因素 | 除了应用安全更新程序之外,减轻漏洞利用影响的措施 |
| 受影响的产品・版本和安全更新程序 | 除了应用安全更新程序之外,避免漏洞利用影响的措施 |
| 常见问题 | 关于漏洞和安全更新程序应用的常见问题与回答 |
| 致谢 | 协助发现和调查漏洞的组织和个人 |
| 更新历史 | 漏洞信息有更新时的更新历史 |
表1:各漏洞页面记录的项目及其概要
如上所述,各漏洞页面刊登了有助于分析和评估漏洞风险的信息。此外,特别是在企业环境中,在安全更新程序公开后、实施安全更新程序应用之前,需要研究保护系统免受漏洞影响的缓解措施和回避措施。缓解措施、回避措施和常见问题中记录了IT管理员参考的信息,例如特定服务或功能运行时才受漏洞影响的信息,或特定功能缓解漏洞利用影响等。请务必确认。例如,经常刊登以下信息:
- 例:Microsoft Office文件漏洞的情况下,仅利用预览窗口浏览文件是否可能被利用。(CVE-2020-0651)
- 例:网络攻击的情况下,受影响的端口号和协议。(CVE-2020-0609)
- 例:从事件日志中检测是否进行了利用的方法。(CVE-2020-0601)
至少,对于已确认被利用的漏洞、CVSS分数和可利用性指标高的漏洞,以及记录有注意事项的漏洞(发布说明上标有*标记的漏洞),建议务必确认漏洞的详细信息。
3. 收集安全更新程序应用相关信息
重新启动的必要性和已知故障信息等,规划安全更新程序应用时所需的信息,记录在各更新程序的支持技术信息(KB)、Microsoft Update目录或发布说明中。
| 项目 | 参考来源 |
|---|---|
| 更新程序包含的功能追加和修复 | 各更新程序的支持技术信息(KB) |
| 更新程序的已知问题 | ・各更新程序的支持技术信息(KB)・Windows的情况下,汇总在Windows发布信息页面(aka.ms/WRI) |
| 更新程序的获取方法 | 各更新程序的支持技术信息(KB) |
| 通过提供此更新程序替换的文件列表和文件版本号 | 各更新程序的支持技术信息(KB)(以CSV文件提供) |
| 更新程序的包名 | ・Microsoft Update Catalog・Security update deployment支持技术信息(KB)* |
| 更新程序替换的以前更新程序 | ・Microsoft Update Catalog・Security update deployment支持技术信息(KB)* |
| 更新程序应用时的重新启动必要性 | ・Microsoft Update Catalog・Security update deployment支持技术信息(KB)* |
| 更新程序的卸载可否 | ・Microsoft Update Catalog・Security update deployment支持技术信息(KB)* |
*每月月度安全更新日公开的更新程序的包名、重新启动必要性、已知问题有无等项目列表,刊登在标题为“安全更新程序的部署信息”的支持技术信息(KB)中。(此KB的URL为https://support.microsoft.com/ja-jp/help/<月度安全公开日的年月日(美国时间)>/security-update-deployment)
表2:安全更新程序应用相关主要信息和获取来源
2020年2月的月度安全公开日计划在本周三。
请务必参考本次介绍的信息,确认漏洞和更新程序的信息。
[2020年网络安全月]系列连载文章请参考此处。
安全响应团队安全程序经理垣内由梨香