Sembra che gennaio non sia iniziato nel modo migliore per il mondo del patching Microsoft. Nella giornata di martedì sono stati rilasciati i consueti aggiornamenti e questa volta sembra esserci stata una strage operativa. I problemi sono trasversali su diversi sistemi operativi e ne minano la stabilità operativa.
Windows 10/11 KB5009543 – Una volta installata, le VPN L2TP smettono di funzionare con il seguente errore: “The L2TP connection attempt failed because the security layer encountered a processing error during initial negotiations with the remote computer”.
Windows Server 2012 R2 KB5009595, Windows Server 2019 KB5009557, KB5009624, Windows Server 2016 KB5009546, Windows Server 2022 KB5009555 – Una volta installata le connessioni IP Security (IPSEC) che contengono il Vendor ID smettono di funzionare. Sono affette le VPN Layer 2 Tunneling Protocol (L2TP) IP security Internet Key Exchange (IPSEC IKE). Il workaround è la disabilitazione del Vendor ID.
Windows 10 KB5008212 – Una volta installata, la ricerca all’interno di Outlook non fornisce più i risultati richiesti. Da questo punto di vista è presente un documento che spiega come aggirare l’ostacolo temporaneamente – Outlook Search not showing recent emails after Windows update KB5008212 (microsoft.com)
Windows Server 2012 R2 KB5009624 – Una volta installata sui domain controller, comincia un loop di riavvi che impedisce l’accesso alle macchine e quindi l’erogazione dei servizi, oltre a generarsi un errore sul servizio LSASS.EXE (0xc0000005 access violation).
Windows Server 2012 R2 KB5009624 – Sempre la stessa patch, installata sugli host Hyper-V, manda in errore il servizio che impedisce l’esecuzione delle macchine virtuali.
Windows Server 2012 R2 KB5009624, Windows Server 2016 KB5009546, Windows Server 2019 KB5009557, Windows Server 2022 KB5009555 – Una volta installata sui domain controller, si possono manifestare problemi sulla parte DNS.
Windows Server 2012 KB5009586, Windows Server 2012 R2 KB5009624, Windows Server 2016 KB5009546, Windows Server 2019 KB5009557, Windows Server 2022 KB5009555 – Una volta installata sui domain controller, si possono manifestare riavvi inaspettati – Note: On Windows Server 2016 and later, you are more likely to be affected when DCs are using Shadow Principals in Enhanced Security Admin Environment (ESAE) or environments with Privileged Identity Management (PIM).
Windows Server 2012 R2 KB5009595, Windows Server 2019 KB5009557, KB5009624, Windows Server 2016 KB5009546, Windows Server 2022 KB5009555 – Sempre la stessa patch può rendere RAW i dischi formattati in ReFS, distruggendoli all’atto pratico.
Il Patch Planning
Ovviamente tutti stanno puntando il dito verso Microsoft, accusandola di non aver effettuato i dovuti test, cosa probabilmente corretta e giusta. Tuttavia, è bene ricordare che il piano di patching è un’operazione molto critica per l’azienda e che deve essere valutato adeguatamente ed applicato con metodo.
Ci sono diversi strumenti che consentono di aggiornare i server in modo automatico ma fuori dagli orari di produzione:
- Microsoft Configuration Endpoint Manager
- Azure Update Management
Il consiglio è quello di aspettare un paio di settimane prima di procedere al patching, leggere la documentazione relativa alle Known Issues, per poi proseguire con l’installazione degli aggiornamenti durante i momenti di minor carico e quando è possibile fare un rollback senza impattare sulla produttività. E’ fondamentale anche avere dei backup aggiornati prima di fare queste operazioni.
Se qualcuno sta pensando di non aggiornare, perchè è meglio, è bene ricordare che questi aggiornamenti sono considerati fondamentali per risolvere delle vulnerabilità di sicurezza e per risolvere problemi più o meno noti.
E Se Ho Installato?
Qualora aveste già installato questi update, ed avete riscontrato dei problemi, dovete procedere alla loro rimozione per fare in modo di ripristinare il tutto.
