Microsoft telah menarik pembaruan Windows Server yang dikeluarkan pada Patch Selasa setelah admin menemukan bahwa pembaruan memiliki bug kritis yang merusak tiga hal: Mereka memicu loop boot spontan pada server Windows yang bertindak sebagai pengontrol domain, memecah Hyper-V dan membuat sistem volume ReFS tidak tersedia .
Hancurnya Windows pertama kali dilaporkan oleh BornCity pada hari Selasa, seperti pada, pada hari yang sama ketika Microsoft merilis mega-dump dari 97 pembaruan keamanan dalam pembaruan Patch Tuesday Januari 2022.
Batch bulan ini termasuk pembaruan Windows Server 2012 R2 KB5009624 , pembaruan Windows Server 2019 KB5009557 dan pembaruan Windows Server 2022 KB5009555, yang semuanya ternyata buggy.
“Administrator Windows Domain Controllers harus berhati-hati menginstal pembaruan keamanan Januari 2022,” lapor BornCity, yang merupakan blog tentang informasi teknologi yang dijalankan oleh penulis lepas Jerman dan insinyur fisika Günter Born.
“Saya sekarang telah menerima numero kami melaporkan bahwa server Windows yang bertindak sebagai pengontrol domain tidak akan bisa boot setelahnya,” tulis Born. Lsass.exe (atau wininit.exe) memicu layar biru dengan kesalahan berhenti 0xc0000005. Itu dapat mengenai semua versi Windows Server yang bertindak sebagai pengontrol domain, menurut perkiraan saya.” Pengontrol
Domain adalah server yang menangani permintaan otentikasi keamanan dalam domain Windows. Microsoft's Hyper-V, bagian lain dari Windows yang dirusak oleh pembaruan Windows Server, adalah hypervisor asli yang dapat membuat mesin virtual pada sistem x86-64 yang menjalankan Windows.
Hal ketiga yang hancur karena pembaruan, Resilient File System (ReFS ), adalah sistem file yang dirancang untuk memaksimalkan ketersediaan data, menskalakan secara efisien ke kumpulan data besar di berbagai beban kerja dan menyediakan integritas data dengan ketahanan terhadap korupsi, seperti yang dijelaskan Microsoft.
Born mengutip banyak laporan dari pengguna yang menyimpulkan bahwa masalah tersebut memengaruhi semua versi Windows Server yang didukung.
Beberapa pengguna Reddit mengkonfirmasi masalah tersebut. Seorang komentator mengatakan bahwa "Sepertinya KB5009557 (2019) dan KB5009555 (2022) menyebabkan sesuatu gagal pada pengontrol domain, yang kemudian terus me-reboot setiap beberapa menit."
Kontributor Reddit lain mengatakan pada hari Selasa bahwa mereka baru saja me-reboot laptop Win10 yang pembaruan KB5009543 & KB5008876 yang diinstal dan menemukan bahwa mereka juga memutus koneksi VPN L2TP.
“Sekarang VPN L2TP mereka ke situs yang berbeda (Semua SonicWalls) tidak berfungsi,” kata Redditor, mengutip pesan kesalahan yang berbunyi: “L2TP upaya koneksi gagal karena lapisan keamanan mengalami kesalahan pemrosesan selama negosiasi awal dengan komputer jarak jauh.
Pada hari Kamis, setelah pembaruan server brouhaha, BleepingComputer melaporkan bahwa Microsoft telah menarik pembaruan kumulatif Windows Server Januari, yang dilaporkan tidak lagi dapat diakses melalui Windows Memperbarui. Namun, pada Kamis sore, perusahaan dilaporkan belum menarik pembaruan kumulatif Windows 10 dan Windows 11 yang memutus koneksi VPN L2TP.
011422 08:48 UPDATE: Microsoft mengonfirmasi bahwa mereka mengetahui laporan tersebut dan sedang menyelidiki. Seorang juru bicara mengarahkan pengguna ke halaman panduan pelanggan perusahaan untuk masalah yang diketahui: Kesehatan rilis Windows | Microsoft Docs.
When Patches Bite Back
Bagaimana Anda meyakinkan organisasi untuk segera menambal ketika patch terkadang tidak berfungsi – atau, lebih buruk, ketika menyebabkan pemadaman pada infrastruktur penting seperti pengontrol direktori?
Ini jelas merupakan masalah dari perspektif keamanan, kata para ahli. “Kesulitan log4j dalam beberapa minggu terakhir menunjukkan bahwa … kami membutuhkan organisasi untuk menerapkan patch keamanan saat tersedia,” kata John Bambenek, pemburu ancaman utama di Netenrich.
Ketika patch tidak berfungsi, atau lebih buruk lagi, ketika mereka merusak sesuatu, itu “memberikan insentif balasan untuk menambal di mana organisasi mengambil pendekatan menghindari risiko untuk menerapkan pembaruan,” katanya kepada Threatpost pada hari Kamis. “Waktu henti mudah diukur… risiko tambahan dari pelanggaran keamanan tidak, yang berarti tindakan hati-hati (bukan proaktif) untuk menambal akan cenderung menang.” kerentanan versus menjaga sistem tersebut sepenuhnya aman tetapi dengan upaya administratif tambahan, kata Bud Broomhead, CEO di Viakoo. “Organisasi membuat pengorbanan ini setiap hari dengan perangkat IoT yang gagal ditambal dengan cepat (atau selamanya); namun, hal ini jarang terlihat pada Windows Server, karena ada mekanisme yang efektif melalui Pembaruan Windows untuk mengirimkan dan menginstal tambalan dengan cepat.”
Broomhead menyarankan bahwa terlepas dari pengujian yang dilakukan Microsoft dalam merilis pembaruan, satu praktik terbaik adalah selalu menginstal patch baru pada satu mesin sebelum digunakan secara lebih luas. “Ini dapat membantu administrator Windows Server untuk menilai masalah spesifik mereka, dan toleransi mereka untuk berjalan di bawah kondisi tersebut hingga patch yang lebih stabil tersedia,” katanya kepada Threatpost.
Itu sebenarnya mendekati kenyataan, kata Roy Horev, salah satu pendiri dan CTO di Vulcan Cyber. “Pertama, sangat jarang tambalan langsung diterapkan langsung dari Microsoft, atau vendor mana pun, pada hari Selasa, atau hari lainnya, tanpa terlebih dahulu melalui serangkaian tes untuk memastikan mereka tidak merusak sesuatu,” katanya.
Even jadi, sulit untuk mengimplementasikan patch dan pembaruan vendor tanpa merusaknya, katanya kepada Threatpost melalui email – bahkan jika patch tersebut dikirimkan langsung dari Redmond. “Kompromi abadi antara lingkungan produksi yang aman dan/atau stabil tidak berhenti hanya karena pembaruan berasal dari Microsoft,” komentar Horev.
PasswordReset: Acara Sesuai Permintaan: Fortify 2022 dengan strategi keamanan kata sandi yang dibuat untuk ancaman saat ini. Meja Bundar Keamanan Threatpost ini, dibuat untuk para profesional infosec, berpusat pada manajemen kredensial perusahaan, dasar-dasar kata sandi baru, dan mengurangi pelanggaran pasca-kredensial. Bergabunglah dengan Darren James, dengan Specops Software dan Roger Grimes, penginjil pertahanan di KnowBe4 dan pembawa acara Threatpost Becky Bracken. Daftar & Streaming sesi GRATIS ini hari ini – disponsori oleh Specops Software.
Tulis komentar
Bagikan artikel ini:
- iKeamanan Web
