Pour le Patch Tuesday de mars, pas de faille zero-day

Microsoft a publié cette semaine 61 mises à jour du Patch Tuesday sans aucun rapport de divulgation publique ou d’autres jours zéro affectant l’écosystème plus large (Windows, Office, .NET). Bien qu’il existe trois packages mis à jour à partir de février, il ne s’agit que de modifications informatives sans aucune autre action requise.

L’équipe de Readiness a élaboré cette infographie utile décrivant les risques associés à chacune des mises à jour de mars.

Problèmes connus

Chaque mois, Microsoft publie une liste des problèmes connus liés au système d’exploitation et aux plates-formes incluses dans le dernier cycle de mise à jour ; pour le mois de mars, deux problèmes mineurs ont été signalés :

• Les appareils Windows utilisant plusieurs moniteurs peuvent rencontrer des problèmes avec les icônes du bureau se déplaçant de manière inattendue entre les moniteurs ou rencontrer d’autres problèmes d’alignement des icônes lors de la tentative d’utilisation de Copilot sous Windows. Microsoft travaille toujours sur le problème.
• Pour Exchange Server, Microsoft a publié une note d’information : après avoir installé la dernière mise à jour de sécurité, la technologie Oracle OutsideIn (OIT) ou OutsideInModule n’est plus prise en charge. Pour plus d’informations, consultez cette mise à jour de service.

Février n’a pas été un bon mois pour la manière dont Microsoft a communiqué les mises à jour et les révisions. Le mois de mars étant un mois exceptionnellement léger en termes de « problèmes connus » signalés pour les plates-formes de bureau et de serveur, notre équipe n’a trouvé aucun problème de documentation. Bon travail Microsoft !

Révisions majeures

Ce mois-ci, Microsoft a publié les révisions majeures suivantes des mises à jour de sécurité et de fonctionnalités antérieures, notamment :

• CVE-2024-2173, CVE-2024-2174 et CVE-2024-2176 : Chromium : CVE-2024-2173 Accès mémoire hors limites dans la V8. Ces mises à jour concernent les récents correctifs de sécurité pour le projet de navigateur Chromium chez Microsoft. Aucune autre action requise.

Atténuations et solutions de contournement

Microsoft a publié ces atténuations liées aux vulnérabilités pour le cycle de publication de ce mois-ci :

• CVE-2023-28746 Échantillonnage de données de fichier d’enregistrement (RFDS). Nous ne savons pas comment catégoriser cette mise à jour d’Intel, car elle concerne un problème matériel avec certains chipsets Intel. L’atténuation de cette vulnérabilité nécessite une mise à jour du micrologiciel, et une mise à jour Windows correspondante permet cette atténuation basée sur le micrologiciel tiers. Plus d’informations peuvent être trouvées ici.

Chaque mois, l’équipe de Readiness analyse les dernières mises à jour du Patch Tuesday et fournit des conseils de test détaillés et exploitables. Ces conseils sont basés sur l’évaluation d’un large portefeuille d’applications et sur une analyse détaillée des correctifs et de leur impact potentiel sur les plates-formes Windows et les installations d’applications.

Pour ce cycle de mars, nous avons regroupé les mises à jour critiques et les efforts de tests requis dans différents domaines fonctionnels, notamment :

Microsoft Office

• Visio devra être testé pour les dessins plus grands. (Les dessins CAO sont de bons candidats.)
• Microsoft SharePoint nécessitera des tests pour le téléchargement de fichiers de plus de 1 Go.
• Excel aura besoin d’un test des objets incorporés OLE et de toutes les macros de feuille de données liées.

Microsoft .NET et outils de développement

• PowerShell : Get-StorageDiagnosticInfo a été mis à jour, alors vérifiez votre DACL (Discretionary Access Control List) pour connaître les paramètres « résultants » corrects (par exemple, a le bon propriétaire).

les fenêtres

Les fonctionnalités principales de Microsoft suivantes ont été mises à jour, notamment :

• SQL OLE et ODBC : ces mises à jour nécessiteront un cycle de test complet des connexions à la base de données (DB) et des commandes SQL. Nous vous conseillons d’exécuter des commandes SQL de base et d’essayer différents serveurs SQL.
• Hyper-V : testez que les machines virtuelles (VM) démarrent, s’arrêtent, se mettent en pause, reprennent, puis éteignent la machine.
• Impression : les connexions des imprimantes versions 4 (V4) et V3 nécessiteront des tests de base.
• Téléphonie et FAX : les API Microsoft TAPI ont été mises à jour, pensez donc à tester vos serveurs FAXPress
• Pilotes USB : Un test de base des périphériques USB sera requis avec un cycle « brancher, copier depuis et vers l’USB et détacher ».
• Fichiers compressés : une mise à jour mineure nécessitera des tests de base des fichiers .7z, far, tar, tar.gz.

L’une des principales mises à jour du système de fichiers Windows ce mois-ci est un changement dans la façon dont NTFS gère les fichiers d’images composites ; Microsoft les décrit comme « une petite collection de fichiers plats comprenant un ou plusieurs fichiers de régions de données et de métadonnées, un ou plusieurs fichiers d’ID d’objet et un ou plusieurs fichiers de description du système de fichiers. En raison de leur « planéité », les CIM sont plus rapides à construire, extraire et supprimer que les répertoires bruts équivalents qu’ils contiennent. »

Les tests de base pour cette mise à jour doivent inclure la création, le montage et la navigation des objets CIM.

Les tests automatisés seront utiles dans ces scénarios (en particulier une plate-forme de test qui propose un « delta » ou une comparaison entre les versions). Cependant, pour les applications métier, il est toujours absolument essentiel de demander au propriétaire de l’application (qui effectue l’UAT) de tester et d’approuver les résultats.

Ce mois-ci, Microsoft a effectué une mise à jour majeure (générale) des sous-systèmes Win32 et GDI avec une recommandation de tester une partie importante de votre portefeuille d’applications.

Mise à jour du cycle de vie Windows

Cette section contiendra des modifications importantes concernant la maintenance (et la plupart des mises à jour de sécurité) des plates-formes de bureau et de serveur Windows.

• Windows 10 21H2 perdra le support actif dans 3 mois (juin 2024).
• La prise en charge de Microsoft .NET version 7 prend fin dans 2 mois (mai 2024).

Chaque mois, nous décomposons le cycle de mise à jour en familles de produits (tels que définis par Microsoft) avec les regroupements de base suivants :

• Navigateurs (Microsoft IE et Edge) ;
• Microsoft Windows (ordinateur de bureau et serveur) ;
• Microsoft Office;
• Serveur Microsoft Exchange ;
• Plateformes de développement Microsoft (NET Core, .NET Core et Chakra Core) ;
• Adobe (si vous arrivez jusqu’ici).

Navigateurs

Microsoft a publié ce mois-ci trois mises à jour mineures du projet de navigateur basé sur Chromium (Edge) (CVE-2024-1283, CVE-2024-1284 et CVE-2024-1059) avec les vulnérabilités signalées suivantes :

• CVE-2024-1060 : Chromium : CVE-2024-1060 Utilisation après libre dans Canvas.
• CVE-2024-1077 : Chromium : CVE-2024-1077 Utilisation après libre en Réseau.
• CVE-2024-21399 : Vulnérabilité d’exécution de code à distance dans Microsoft Edge (basé sur Chromium).

En plus de ces versions standards, Microsoft a publié ces ajouts « tardifs » avec sa mise à jour mensuelle de son navigateur :

• CVE-2024-26163 : Vulnérabilité de contournement de la fonctionnalité de sécurité de Microsoft Edge (basée sur Chromium)
• CVE-2024-26167 : Vulnérabilité d’usurpation d’identité de Microsoft Edge pour Android
• CVE-2024-26246 : vulnérabilité de contournement de la fonctionnalité de sécurité Microsoft Edge (basée sur Chromium)

Toutes ces mises à jour devraient avoir un impact négligeable sur les applications qui intègrent et fonctionnent sur Chromium. Ajoutez ces mises à jour à votre calendrier de publication de correctifs standard.

les fenêtres

En février, Microsoft a publié (encore) deux mises à jour critiques (CVE-2024-21407 et CVE-2024-21408) et 39 correctifs jugés importants pour la plate-forme Windows qui couvrent les composants clés suivants :

• Fournisseur Windows SQL et OLE DB
• Windows Hyper-V
• Noyau Windows

Ce mois-ci, nous n’avons vu aucun rapport de vulnérabilités ou d’exploits signalés publiquement, et si vous utilisez un Windows 10/11 moderne, toutes ces vulnérabilités de sécurité signalées sont difficiles à exploiter. Veuillez ajouter cette mise à jour à votre calendrier de publication standard de Windows.

Microsoft Office

Suite à une tendance récente, Microsoft n’a publié que trois mises à jour de la plateforme Microsoft Office pour le mois de mars (CVE-2024-21448, CVE-2024-21426 et CVE-2024-26199). Les trois correctifs ont un faible potentiel d’exploitabilité et doivent être ajoutés à votre calendrier de mise à jour régulier d’Office.

Serveur Microsoft Exchange

Microsoft a (encore) publié une seule mise à jour pour Exchange Server avec CVE-2024-26198. Cette mise à jour affecte uniquement Exchange Server 2016 et 2019 ; Microsoft décrit la vulnérabilité comme « une attaque qui nécessite qu’un fichier spécialement conçu soit placé soit dans un répertoire en ligne, soit dans un emplacement du réseau local. Lorsqu’une victime exécute ce fichier, elle charge la DLL malveillante.

Microsoft considère cette mise à jour comme importante et il n’y a aucun rapport de divulgation publique ou d’exploit. Ajoutez-le à votre calendrier régulier de mise à jour du serveur. Pour les administrateurs Exchange Server, nous pensons que chaque serveur mis à jour nécessitera un redémarrage.

Plateformes de développement Microsoft

Microsoft a publié trois mises à jour (CVE-2024-26190, CVE-2024-26165 et CVE-2024-21392 pour .NET (versions 7 et 8) et Microsoft Visual Studio 2022. Les trois mises à jour ont un faible impact et peuvent être incluses dans les versions régulières. efforts de publication de correctifs des développeurs.

Adobe Reader (si vous arrivez jusqu’ici)

Aucune mise à jour Adobe ce mois-ci. Hormis la mise à jour du micrologiciel Intel (CVE-2023-28746), nous n’avons aucun fournisseur/ISV tiers à ajouter au calendrier de mise à jour de ce mois-ci.