השבוע מיקרוסופט הוציאו את ה-Patch Tuesday של מאי, וזה אחד הגדולים של השנה. 120 פגיעויות שתוקנו בבת אחת, מתוכן 29 חמורות שמאפשרות הרצת קוד מרחוק. למי שלא מנהל את העדכונים באופן מסודר אצלו בארגון, זה הזמן לעצור ולקרוא.
מה כל הרעש?
הסיבוב הזה נוגע ב-Windows, Office, Azure, Microsoft 365, SharePoint, ועד למנהל ההתקנים ב-Microsoft Partner Center. הגרעין של ה-Windows קיבל תיקונים ב-TCP/IP stack ו-Win32k – שני רכיבים שמופיעים שוב ושוב ברשימות הפריצות בארגונים בינוניים. מנגנון Office (Word, Excel, SharePoint) קיבל תיקוני RCE שאפשר להפעיל דרך קובץ שמתקבל במייל, חלקם גם דרך Preview Pane בלי לפתוח את הקובץ.
הנקודה החשובה: זו הפעם הראשונה מאז יוני 2024 שאין באסופה הזו פגיעות zero-day מנוצלת. נשמע טוב? כן ולא. כי דווקא חודשים כאלה זה הזמן שתוקפים פנויים לחקור את הפגיעויות החדשות שפורסמו, ולעיתים תוקפים הופכים פגיעות שלא נוצלה לכלי תקיפה תוך שבועות.
על מה לשים דגש
אם אני צריך לבחור שלוש קבוצות לטפל בהן השבוע:
- Office (Word/Excel/SharePoint): כי וקטור התקיפה הוא קבצים שמגיעים במייל, וזה הדבר שעובדים פותחים יום-יום. עדכון ה-Click-to-Run בדרך כלל יעבוד אוטומטי, אבל בארגונים עם תוכנת התקנה ארגונית צריך לעדכן ידנית את ה-servicing stack לפני.
- SharePoint Hybrid: אם יש לכם שרת SharePoint מקומי שמסונכרן עם הענן, יש כמה תיקונים שצריכים סדר התקנה ספציפי. אל תקפיצו שרת אחד לפני שעדכנת את האחרים.
- Azure Logic Apps, DevOps, Monitor Agent: רוב התשתית הזו מתעדכנת אוטומטית, אבל סוכן ה-Monitor שרץ ב-VMs דורש פעולה אנושית. כדאי לעבור על רשימת ה-VMs ולוודא שגרסת הסוכן עדכנית.
שלב פרקטי
במקום להתקין הכל בלחיצה ולהתפלל, מומלץ:
- להתחיל בקבוצת בדיקה (5-10 מכונות), להמתין 48 שעות, ולוודא שאין הפתעות.
- לבדוק את Known Issues של מיקרוסופט לפני הפריסה הרחבה – יש שם בכל חודש כמה דברים שלא מסתדרים. החודש למשל יש דיווחים על קפיאות ב-Outlook לאחר העדכון אצל חלק מהמשתמשים, ומיקרוסופט הוציאה out-of-band update לתיקון.
- לאחר הפריסה, לוודא שמכונות מציגות את ה-build המעודכן. שיטה נפוצה: לעבור על דוחות ה-WSUS או Intune ולתת תשומת לב למכונות שעדיין לא דיווחו.
ולגבי המיקוד הכללי
אם לתהליך העדכון אצלכם אין אחראי ברור, או שהוא מתבצע "כשמישהו זוכר", הסיכון העיקרי שלכם הוא לא הפגיעות הספציפית הזו. הוא הפגיעות הבאה שכבר לא תזכרו לטפל בה. בצוות M-Challenge אנחנו מטפלים בתהליכי פריסה ועדכון של עשרות לקוחות חודש בחודש, כולל ניטור, התראות, ובדיקות אחרי כל cycle. אם זה לא מסודר אצלכם – שווה להעביר זאת לידיים שזו העבודה שלהן.
למי שמעוניין להבין את התמונה הרחבה של ניהול אבטחת מידע בעסק, יש לנו פוסט קצר על איך מתגוננים מפני מתקפות כופר שמסכם את הצעדים הבסיסיים שכל ארגון חייב לעשות.