Intelligence artificielle Big Data

Microsoft aborde trois zéros jours pour le Patch Tuesday d’octobre

Christophe

Ce mois-ci, Microsoft a publié 103 mises à jour pour Windows, Edge, Microsoft Office et Exchange Server. Cette mise à jour inclut également des mises à jour mineures de Visual Studio. Trois jours zéro (CVE-2023-44487, CVE-2023-36563 et CVE-2023-41763) nécessitent des mises à jour « Patch Now » pour Windows et le navigateur Edge pour ce cycle de mise à jour d’octobre.

Microsoft a également mis à jour son système de publication de correctifs et de notification avec la prise en charge des flux RSS et a publié son dernier rapport sur la défense numérique pour cette année. L’équipe d’Application Readiness a fourni une infographie utile qui décrit les risques associés à chacune des mises à jour pour ce cycle de mise à jour d’octobre.

Problèmes connus

Chaque mois, Microsoft inclut une liste de problèmes connus liés au système d’exploitation et aux plates-formes incluses dans ce cycle de mise à jour.

  • Microsoft Server 2022 : après l’installation de la mise à jour de ce mois-ci sur les machines virtuelles (VM) invitées exécutant Windows Server 2022 sur certaines versions de VMware ESXi, Windows Server 2022 peut ne pas démarrer. Microsoft et VMware étudient tous deux ce problème, mais aucune solution n’a été publiée au moment de la rédaction de cet article.

Révisions majeures

Microsoft a publié une révision majeure ce mois-ci :

  • CVE-2023-36794 : Dans le tableau des mises à jour de sécurité, ajout de Microsoft Visual Studio 2013 Update 5 et Visual Studio 2015 Update 3, car ces versions de Visual Studio sont également affectées par la vulnérabilité. Aucune autre action est nécessaire.

Atténuations et solutions de contournement

Microsoft a publié les atténuations suivantes liées aux vulnérabilités pour le cycle de publication du Patch Tuesday de ce mois-ci :

  • Il y a 15 mises à jour de Microsoft Message Queue ce mois-ci, chacune avec une atténuation publiée par Microsoft qui indique : « si le service Message Queuing est activé et écoute sur le port 1801, alors votre système est vulnérable ».
  • Microsoft propose ce mois-ci quelques conseils limités sur les vulnérabilités liées à OLE (par exemple, CVE-2023-36730) avec des conseils pour se connecter uniquement à des serveurs de confiance.

Certains pourraient remettre en question l’efficacité des mesures d’atténuation proposées.

Conseils pour les tests

Chaque mois, l’équipe de Readiness analyse les dernières mises à jour du Patch Tuesday de Microsoft et fournit des conseils de test détaillés et exploitables. Ces conseils sont basés sur l’évaluation d’un large portefeuille d’applications et sur une analyse détaillée des correctifs Microsoft et de leur impact potentiel sur les plates-formes Windows et les installations d’applications.

L’un des domaines les plus difficiles à mettre à jour sur la plate-forme Windows (à la fois sur le bureau et sur le serveur) est le sous-système du noyau Windows. Ce sous-système principal gère la sécurité, l’accès aux services de bas niveau, les pilotes et la couche d’abstraction matérielle (HAL). Compte tenu de son importance, la couche noyau est essentielle pour fournir la plupart des services et applications sous Windows. Changer ce système central se traduit généralement par un risque élevé qu’un composant, un service ou une application ne se comporte pas comme prévu. Ainsi, les tests sont essentiels et également très difficiles à réaliser correctement.

Ce mois-ci, Microsoft a mis à jour les sous-systèmes Kernel et GDI au niveau principal. Chez Readiness, nous avons examiné ces changements (au niveau du GDI et du noyau), et ils sont à la fois mineurs et de grande envergure. (Ce n’est pas une tautologie.) Plutôt qu’un plan d’orientation de test spécifique, nous recommandons un « test de fumée » pour vos applications couramment utilisées et un effort de test axé sur la logique métier pour vos applications critiques ou métiers. (Peut-être vos 20 meilleures applications ?)

Tous ces scénarios nécessiteront des tests importants au niveau des applications avant un déploiement général de la mise à jour de ce mois-ci. En plus de ces exigences de test spécifiques répertoriées, nous suggérons un test général des fonctionnalités Windows suivantes :

  • Testez vos systèmes de rapport d’erreurs Windows (journaux et rapports d’erreurs avec un cycle de test Créer/Lire/Mettre à jour/Supprimer/Extendre (CRUDE).
  • Méfiez-vous de l’utilisation intensive du GPU (nous vous suggérons d’essayer AutoCAD ou Bloomberg).
  • Testez vos connexions VPN : un simple test de connexion/déconnexion suffira ce mois-ci.
  • En raison d’une mise à jour des codecs de fichiers Windows WAV, un petit cycle de test des fichiers audio devrait être inclus pour cette mise à jour d’octobre.

Vous vous inquiétez de la dernière vulnérabilité de sécurité de WordPad ? Malheureusement, nous devons encore tester nos fichiers au format RTF ce mois-ci également. Cela fait suite aux vulnérabilités Notepad++ du mois dernier, qui comprenaient CVE-2023-40031, CVE-2023-40036, CVE-2023-40164 et CVE-2023-40166. À ce rythme, Microsoft pourrait simplement décider de supprimer tous les éditeurs de texte (gratuits) de Windows. Le bureau, ça vous tente ?

Mise à jour du cycle de vie Windows

Au cours des derniers mois, nous avons utilisé cette section pour détailler les changements à venir dans l’écosystème Windows, comme la fin du support de la plateforme ou les modifications des mises à jour de sécurité. Ce mois-ci, nous avons deux dépréciations majeures de Windows annoncées par Microsoft :

  1. VBScript — c’est un gros problème. Oui, le vénérable langage de script est à la fois très décrié et très apprécié des ingénieurs de bureau. Sa dépréciation est un problème majeur et affectera de nombreuses installations d’applications (plus que vous ne le pensez) et nécessitera une certaine attention.
  2. WordPad (quoi, vraiment ?). Selon Microsoft, WordPad ne sera plus mis à jour et sera supprimé dans une future version de Windows. Vous pouvez toujours générer des fichiers RTF à l’aide de la commande Echo dans une invite DOS, après avoir défini le type de générateur, la page ANSI, la langue par défaut, le code de caractère, le jeu de caractères et la police. Ou vous pouvez utiliser Office.

Et en parlant de cycles de vie, joyeux anniversaire au Patch Tuesday : 20 ans se sont écoulés depuis la première mise à jour correctement planifiée de l’écosystème Windows. Les choses étaient plutôt chaotiques à l’époque, avec des mises à jour imprévues distribuées tout au long du mois. Je doute que quiconque aurait réfléchi à l’importance des correctifs/mises à jour de sécurité pour la communauté informatique. Plus qu’une tradition, le Patch Tuesday fait désormais partie intégrante des bonnes pratiques informatiques.

Chaque mois, nous décomposons le cycle de mise à jour en familles de produits (tels que définis par Microsoft) avec les regroupements de base suivants :

  • Navigateurs (Microsoft IE et Edge)
  • Microsoft Windows (ordinateur de bureau et serveur)
  • Microsoft Office
  • Serveur Microsoft Exchange
  • Plateformes de développement Microsoft (NET Core, .NET Core et Chakra Core)
  • Adobe (retraité ???, peut-être l’année prochaine)

Navigateurs

Microsoft s’est adapté au calendrier de sortie de Chromium et ne publie plus spécifiquement de mises à jour le deuxième mardi de chaque mois. Cela dit, Microsoft a utilisé la sortie des correctifs CVE-2023-5346 et CVE-2023-5217 cette semaine comme une sorte de « stub » ou de proxy pour les mises à jour du Patch Tuesday Chromium (Edge).

Pour plus d’informations sur les mises à jour de sécurité de Microsoft Edge, veuillez vous référer à la page d’assistance Microsoft mise à jour chaque semaine. Ces deux vulnérabilités sont extrêmement graves (nous les considérons comme des jours zéro) et doivent être ajoutées au calendrier de mise à jour de votre navigateur « Patch Now », Patch Tuesday ou non.

les fenêtres

En octobre dernier, Microsoft a publié 13 mises à jour critiques et 68 correctifs jugés importants pour la plate-forme Windows qui couvrent les composants clés suivants :

  • File d’attente des messages Windows
  • Windows Win32K et noyau
  • Windows RDP, protocole de tunneling de couche 2 et Windows TCP/IP
  • Rapport d’erreurs Windows
  • Pilote du système de fichiers journaux communs Windows
  • Fournisseurs Windows OLE, ODBC et SQL

Les principaux défis concernent les mises à jour critiques de la fonctionnalité Message Queuing dans Windows. L’ajout du noyau, des mises à jour principales de GDI et des problèmes de réseau signifie que ce mois-ci, nous devons ajouter cette mise à jour Windows à votre calendrier de publication « Patch Now ».

Microsoft Office

Nous pouvons respirer un peu plus facilement ce mois-ci puisque Microsoft n’a publié que sept mises à jour (toutes jugées importantes) pour la plate-forme Office. Ignorant Skype Entreprise (ce que tout le monde fait), Microsoft fournit ce mois-ci des correctifs pour des vulnérabilités de sécurité complexes et difficiles à exploiter qui n’ont pas été divulguées publiquement. Ajoutez ces mises à jour Office discrètes à votre calendrier de publication standard.

Serveur Microsoft Exchange

Microsoft a publié ce mois-ci une seule mise à jour pour Microsoft Exchange. Cette vulnérabilité affecte toutes les versions prises en charge d’Exchange Server et a été jugée importante par Microsoft. Les mises à jour du serveur Microsoft Exchange de ce mois nécessiteront un redémarrage du serveur – pour toutes les versions. Ajoutez cette mise à jour à votre calendrier de publication de mises à jour standard pour ce Patch Tuesday d’octobre.

Plateformes de développement Microsoft

À l’exclusion du problème Mitre Rapid Reset (CVE-2023-44487) abordé ci-dessous, Microsoft a publié trois mises à jour relativement simples pour la plate-forme de développement Visual Studio. Ajoutez ces mises à jour à votre calendrier de publication standard pour les développeurs.

Adobe Reader (toujours là, mais pas ce mois-ci)

Aucune mise à jour d’Adobe pour Reader ou Acrobat ce mois-ci.

Vulnérabilité de réinitialisation rapide HTTP/2

Enfin, discutons de la vulnérabilité HTTP/2 Rapid Reset (CVE-2023-44487). Cette attaque par déni de service distribué (DDOS) a été signalée comme étant exploitée de manière sauvage depuis août dernier. Comme cela ne concerne pas seulement Microsoft Windows, j’ai inclus quelques liens utiles (fournis par CISA) sur cette grave vulnérabilité.

Microsoft a publié un article de blog détaillé sur le problème de réinitialisation rapide, qui comprend des conseils sur l’application de correctifs aux applications Web, l’activation du pare-feu d’application Web Azure et la configuration d’Azure Front Door.

Partager Cet Article
Article Précédent C’est quoi popd sous Linux ?
Article Suivant Les chercheurs dévoilent le nouvel ensemble d’outils de ToddyCat pour l’exfiltration de données
Quitter la version mobile