Matériel informatique et ordinateurs

Des mises à jour critiques pour Microsoft Office et Visual Studio entraînent le Patch Tuesday de septembre

Christophe

Microsoft a publié 59 mises à jour dans sa version Patch Tuesday de septembre, avec des correctifs critiques pour Microsoft Office et Visual Studio, et a poursuivi la tendance consistant à inclure des applications non Microsoft dans son cycle de mise à jour. (Notepad++ est un ajout notable, avec le retour d’Autodesk avec un bulletin révisé.) Nous avons formulé des recommandations « Patch Now » pour les plates-formes de développement Microsoft (Visual Studio) et Microsoft Word.

Malheureusement, des mises à jour pour Microsoft Exchange Server sont également revenues, nécessitant cette fois également le redémarrage du serveur.

L’équipe de Readiness a créé cette infographie décrivant les risques associés à chacune des mises à jour de septembre.

Problèmes connus

Chaque mois, Microsoft inclut une liste de problèmes connus liés au système d’exploitation et aux plates-formes incluses dans le dernier cycle de mise à jour :

  • Après avoir installé cette mise à jour sur des machines virtuelles (VM) invitées exécutant Windows Server 2022 sur certaines versions de VMware ESXi, Windows Server 2022 risque de ne pas démarrer. VMWare a publié un article (KB90947) expliquant comment résoudre le problème.
  • Les nouvelles améliorations de sécurité dans SharePoint Server (2019) peuvent empêcher l’affichage des fichiers .aspx personnalisés dans certaines circonstances. La navigation vers une telle page génère une balise d’événement « 92liq » dans les journaux SharePoint Unified Logging System (ULS).

Révisions majeures

Microsoft a publié ce mois-ci les révisions majeures suivantes :

  • CVE-2023-41303 : vulnérabilité d’utilisation après libération dans Autodesk® FBX® SDK 2020. Il s’agit d’une mise à jour d’informations (notez que cette mise à jour d’application tierce n’a pas de journal de version mis à jour – vilain Microsoft). Aucune autre action requise.
  • CVE-2023-20569 Prédicteur d’adresse de retour. Le tableau des produits concernés a été mis à jour pour inclure les machines virtuelles Azure, car les clients qui utilisent des contrôles de maintenance personnalisés sont concernés par CVE-2023-20569 et doivent prendre des mesures pour protéger leurs ressources.
  • CVE-2023-21709, CVE-2023-35368, CVE-2023-35388, CVE-2023-38185, CVE-2023-38181 et CVE-2023-38182 : vulnérabilité d’élévation de privilèges de Microsoft Exchange Server. Le problème connu affectant les mises à jour d’août non anglaises d’Exchange Server a été résolu. Microsoft recommande d’installer les packages mis à jour dès que possible.

Et il semble que Microsoft ait « raté » une CVE le mois dernier – CVE-2023-36769 pour OneNote, qui a maintenant été mise à jour et incluse dans les mises à jour de ce mois-ci.

Atténuations et solutions de contournement

Microsoft a publié les atténuations suivantes liées aux vulnérabilités pour ce cycle de publication :

  • CVE-2023-38162, CVE-2023-38152, CVE-2023-36081 : vulnérabilité de divulgation d’informations sur le service du serveur DHCP. Microsoft note utilement que si vous n’avez pas activé DHCP sur vos serveurs, vous n’êtes pas exposé à cette vulnérabilité.
  • CVE-2023-38148 : Vulnérabilité d’exécution de code à distance dans le cadre du partage de connexion Internet (ICS). De même, si vous n’avez pas activé cette fonctionnalité, vous n’êtes pas exposé.

Conseils pour les tests

Chaque mois, l’équipe de préparation analyse les dernières mises à jour du Patch Tuesday et fournit des conseils de test détaillés et exploitables. Ces conseils sont basés sur l’évaluation d’un large portefeuille d’applications et sur une analyse détaillée des correctifs et de leur impact potentiel sur Windows et sur les installations d’applications.

Compte tenu du grand nombre de modifications au niveau du système dans ce cycle de correctifs, j’ai divisé les scénarios de test en profils standard et à haut risque.

Risque élevé

Microsoft a fait une annonce majeure ce mois-ci concernant un changement important dans la façon dont les pilotes d’imprimante tiers sont gérés,

« Avec la sortie de Windows 10 21H2, Windows offre une prise en charge en boîte de réception pour les imprimantes compatibles Mopria sur les interfaces réseau et USB via le pilote Microsoft IPP Class. Cela élimine le besoin pour les fabricants de périphériques d’impression de fournir leurs propres installateurs, pilotes et utilitaires.

Avec cette annonce, Microsoft a également publié la fin de la maintenance des anciens pilotes d’imprimante Windows (V3 et V4) et propose le calendrier de support suivant.

  • Septembre 2023 : annonce du plan de fin de maintenance du pilote d’imprimante tiers hérité pour Windows.
  • Septembre 2025 : aucun nouveau pilote d’imprimante ne sera publié sur Windows Update.
  • 2026 : modification de l’ordre de classement des pilotes d’imprimante pour toujours préférer le pilote de classe de boîte de réception Windows IPP.
  • 2027 : À l’exception des correctifs liés à la sécurité, les mises à jour de pilotes d’imprimante tiers ne seront plus autorisées.

L’hypothèse ici est que tous les fournisseurs d’impression Windows souscriront à la norme Mopria (une association de fabricants d’imprimantes et de scanners qui produisent des normes et des solutions universelles pour la numérisation et l’impression). Cela est logique et, espérons-le, réduira la surface d’attaque des pilotes d’imprimante qui ont causé tant de problèmes au fil des années.

En raison de ce changement dans la gestion de l’imprimante, les tests suivants sont suggérés :

  • Testez toutes vos imprimantes – avec votre programme complet de tests de production (désolé).
  • Activez différentes fonctionnalités avancées de l’imprimante (par exemple, le filigrane) et exécutez des tests d’impression.
  • Testez votre impression via des connexions RDP et VPN.
  • Installer/mettre à jour/désinstaller le logiciel d’impression de clés.

Risque standard

Les changements suivants n’ont pas été considérés comme présentant un risque élevé (de résultats inattendus) et n’incluent pas de changements fonctionnels.

  • Testez vos restrictions de sécurité/bac à sable lorsque vous utilisez Microsoft Intune et le contrôle des applications Windows Defender (WDAC). Les applications doivent s’installer et se désinstaller comme prévu.
  • Assurez-vous que les tests « CRUD » réussis sont terminés pour vos journaux d’erreurs Windows. Cela devrait inclure Créer, Lire, Mettre à jour et Supprimer. En fait, cela devrait se lire CRUDE — car nous devons ajouter « Extend » au régime de test des journaux de ce mois-ci. (Trouvez les rires là où vous le pouvez.)
  • Testez les écrans sans fil sur les ordinateurs portables ; cela est requis par une mise à jour de la gestion graphique de base dans Windows (GDI.DLL).

Il y a également eu une mise à jour majeure de la pile réseau Windows. Cela inclut des modifications dans la façon dont DHCP gère les relations de basculement. Les tests doivent inclure les éléments suivants :

  • Effectuez des tests de demande/réponse ping (à l’intérieur et à l’extérieur de votre réseau).
  • Pingez les principaux moteurs de recherche (essayez Bing ?) en utilisant à la fois IPv4 et IPv.

Les tests automatisés seront utiles dans ces scénarios (en particulier une plate-forme de test qui propose un « delta » ou une comparaison entre les versions). Cependant, pour vos applications métier, il est toujours absolument essentiel de demander au propriétaire de l’application (qui effectue l’UAT) de tester et d’approuver les résultats.

Chaque mois, nous décomposons le cycle de mise à jour en familles de produits (tels que définis par Microsoft) avec les regroupements de base suivants :

  • Navigateurs (Microsoft IE et Edge) ;
  • Microsoft Windows (ordinateur de bureau et serveur) ;
  • Microsoft Office;
  • Serveur Microsoft Exchange ;
  • Plateformes de développement Microsoft (ASP.NET Core, .NET Core et Chakra Core) ;
  • Adobe Reader et autres (le nouveau domicile pour les applications tierces).

Microsoft n’a publié aucune mise à jour pour ses navigateurs ce mois-ci. Signe des temps, Google Chrome a désormais « abandonné » (obsolète selon les termes Microsoft) la prise en charge de Windows 7/8/8.1 et Windows Server 2012. Pour les utilisateurs de Google Chrome Enterprise, il existe désormais un résumé de version pratique. Mon sentiment est que nous ajouterons à l’avenir Google Chrome à la section de mise à jour tierce située au bas de ce rapport.

les fenêtres

Microsoft a publié une seule mise à jour critique pour les plates-formes Windows au cours de ce cycle de correctifs (CVE-2023-38148). De plus, 20 correctifs jugés importants par Microsoft ont été publiés, couvrant les domaines fonctionnels Windows suivants :

  • Serveur DHCP Windows et pile réseau TCP/IP ;
  • Windows GDI et noyau ;
  • Bibliothèque de codecs Microsoft Windows et thèmes Windows ;
  • Pilote du système de fichiers journaux communs Windows.

Bien qu’il s’agisse d’un ensemble de correctifs relativement léger pour Windows, nous recommandons fortement un test de la pile réseau avant le déploiement général. Ajoutez ces mises à jour Windows à votre calendrier de publication standard.

Microsoft Office

Pour septembre, Microsoft n’a publié aucune mise à jour critique de la plateforme Office. Au lieu de cela, nous voyons sept mises à jour jugées importantes et une mise à jour unique supplémentaire jugée modérée (CVE-2023-41764). Malheureusement, la vulnérabilité Zero Day de ce mois-ci inclut Microsoft Word (CVE-2023-36761), qui a été divulguée publiquement et signalée comme exploitée dans la nature. Ajoutez ces mises à jour Office (en réalité juste Word) à votre calendrier « Patch Now ».

Serveur Microsoft Exchange

Microsoft a publié cinq mises à jour pour Microsoft Exchange Server, toutes jugées importantes par Microsoft. Combinant à la fois des vecteurs d’attaque réseau et adjacents, ces vulnérabilités pourraient conduire à une usurpation d’identité et à l’exécution de code à distance. Aucun exploit n’a été signalé dans la nature, ni aucune divulgation publique, veuillez donc les ajouter à votre calendrier de publication standard. Remarque : le cycle de correctifs de ce mois nécessitera un redémarrage de votre serveur Exchange.

Plateformes de développement Microsoft

C’est un grand mois pour la mise à jour des plateformes de développement. Microsoft a publié trois correctifs critiques (CVE-2023-36796, CVE-2023-36793 et ​​CVE-2023-36792) qui pourraient conduire à de graves scénarios d’exécution de code à distance d’un simple clic sur un seul fichier malveillant. Une fois ces problèmes critiques ajoutés aux 12 correctifs supplémentaires pour Visual Studio et .NET, nous devons faire une recommandation inhabituelle « Patch Now » pour ceux-ci.

Adobe Reader et autres (le nouveau domicile pour les applications tierces)

Suite à la tendance croissante consistant à gérer les mises à jour d’applications tierces, j’inclurai désormais les applications clés qui nécessitent une mise à jour chaque mois. Auparavant, il se concentrait sur Adobe Reader, mais pour septembre, il comprend désormais :

Nous nous attendons à ce que davantage d’applications tierces soient incluses dans le processus de mise à jour mensuelle à l’avenir. Les correctifs mensuels, le packaging mensuel des applications et les correctifs deviendront la nouvelle norme. Disposer d’un processus robuste de reconditionnement, de test et de déploiement pour l’ensemble de votre portefeuille d’applications deviendra rapidement une priorité absolue.

Partager Cet Article
Article Précédent Boostez votre visibilité en ligne avec notre guide complet de l’optimisation SEO
Article Suivant Cisco renonce au développement d’HyperFlex et confie l’avenir de l’HCI à Nutanix
Quitter la version mobile