La version Patch Tuesday de novembre de Microsoft corrige 89 vulnérabilités dans Windows, SQL Server, .NET et Microsoft Office – ainsi que trois vulnérabilités Zero Day (CVE-2024-43451, CVE-2024-49019 et CVE-2024-49039) qui nécessitent un correctif maintenant recommandation pour les plateformes Windows. Exceptionnellement, il existe un nombre important de « rééditions » de correctifs qui peuvent également nécessiter l’attention de l’administrateur.
L’équipe de Readiness a fourni cette infographie décrivant les risques associés à chacune des mises à jour de ce cycle. (Pour un aperçu des récentes mises à jour du Patch Tuesday, voir Monde informatiqueC’est le tour d’horizon ici.
Problèmes connus
Quelques problèmes signalés pour la mise à jour de septembre ont été résolus, notamment :
- Les clients Entreprise signalent des problèmes liés au démarrage du service SSH sur les machines Windows 11 24H2 mises à jour. Microsoft a recommandé de mettre à jour les autorisations au niveau fichier/répertoire sur les répertoires du programme SSH (n’oubliez pas d’inclure les fichiers journaux). Vous pouvez en savoir plus sur cette solution de contournement officielle ici.
Il semble que nous entrions dans une nouvelle ère de défis de compatibilité ARM pour Microsoft. Cependant, avant de prendre de l’avance, nous devons vraiment régler le problème Roblox (il y a trois mois).
Révisions majeures
Ce Patch Tuesday inclut les révisions majeures suivantes :
- CVE-2013-390 : Vulnérabilité de validation de signature WinVerifyTrust. Cette mise à jour a été initialement publiée en 2013 via TechNet. Cette mise à jour est désormais disponible et est applicable aux utilisateurs de Windows 10 et 11 en raison d’une modification récente de l’appel d’API Windows EnableCertPaddingCheck. Nous recommandons fortement de consulter ce CVE et la documentation de questions-réponses associée. N’oubliez pas : si vous devez définir vos valeurs dans le registre, assurez-vous qu’elles sont de type DWORD et non Reg SZ.
- CVE-2024-49040 : Vulnérabilité d’usurpation d’identité du serveur Microsoft Exchange. Lorsque Microsoft met à jour un CVE (deux fois) au cours de la même semaine et que la vulnérabilité a été divulguée publiquement, il est temps d’y prêter attention. Avant d’appliquer cette mise à jour d’Exchange Server, nous vous recommandons vivement d’examiner les problèmes de détection d’en-tête signalés et les facteurs atténuants.
Et exceptionnellement, nous avons trois mises à jour du mode noyau (CVE-2024-43511, CVE-2024-43516 et CVE-2024-43528) qui ont été rééditées en octobre et mises à jour ce mois-ci. Ces vulnérabilités de sécurité exploitent une condition de concurrence critique dans le système basé sur la virtualisation de Microsoft. Sécurité (VBS). Cela vaut la peine de revoir les stratégies d’atténuation pendant que vous testez minutieusement ces correctifs de noyau de bas niveau.
Conseils pour les tests
Chaque mois, l’équipe Readiness analyse les dernières mises à jour du Patch Tuesday et fournit des conseils de test détaillés et exploitables basés sur un vaste portefeuille d’applications et une analyse détaillée des correctifs et de leur impact potentiel sur les plates-formes Windows et les installations d’applications.
Pour ce cycle de publication, nous avons regroupé les mises à jour critiques et les efforts de tests requis dans des domaines de produits et fonctionnels distincts, notamment :
Réseautage:
- Testez des scénarios VPN, Wi-Fi, partage et Bluetooth de bout en bout.
- Testez les clients HTTP sur SSL.
- Assurez-vous que les fichiers de raccourci Internet (ICS) s’affichent correctement
Sécurité/crypto:
- Après avoir installé la mise à jour de novembre sur vos serveurs d’autorité de certification (CA), assurez-vous que l’inscription et le renouvellement des certificats fonctionnent comme prévu.
- Testez Windows Defender Application Control (WDAC) et assurez-vous que les applications métier ne sont pas bloquées. Assurez-vous que WDAC fonctionne comme prévu sur vos machines virtuelles (VM).
Système de fichiers et journalisation :
- L’API NTFileCopyChunk a été mise à jour et nécessitera des tests d’application internes si elle est directement utilisée. Testez la validité de vos paramètres et problèmes liés à la notification d’annuaire.
Je ne peux pas prétendre avoir la nostalgie de l’accès Internet par ligne commutée (même si j’ai une certaine réponse pavlovienne au son de la poignée de main de la ligne commutée). Pour ceux qui utilisent encore cette approche pour accéder à Internet, la mise à jour de novembre de l’API TAPI vous pense. Un test « rapide » (haha) est nécessaire pour garantir que vous pouvez toujours vous connecter à Internet via une ligne commutée une fois que vous avez mis à jour votre système.
Mises à jour du cycle de vie et de l’application de Windows
Il n’y a eu aucune application de produits ou de sécurité ce cycle. Cependant, les produits Microsoft suivants atteignent leurs conditions de fin de service respectives :
- 8 octobre 2024 : Windows 11 Entreprise et Éducation, version 21H2, Windows 11 Édition familiale et Pro, version 22H2, Windows 11 IoT Entreprise, version 21H2.
- 9 octobre 2024 : Microsoft Project 2024 (LTSC)
Atténuations et solutions de contournements
Microsoft a publié les atténuations suivantes applicables à ce Patch Tuesday.
- CVE-2024-49019 : Vulnérabilité d’élévation de privilèges des services de certificats Active Directory. Cette vulnérabilité ayant été révélée publiquement, nous devons la prendre au sérieux. Microsoft a proposé certaines stratégies d’atténuation lors de la mise à jour/des tests/du déploiement pour la plupart des entreprises, notamment :
- Supprimez les autorisations d’inscription ou d’inscription automatique trop larges.
- Supprimez les modèles inutilisés des autorités de certification.
- Des modèles sécurisés qui permettent de préciser le sujet dans la demande.
Étant donné que la plupart des entreprises utilisent Microsoft Active Directory, nous vous recommandons vivement de consulter cette note de connaissances de Microsoft.
Chaque mois, nous décomposons le cycle de mise à jour en familles de produits (tels que définis par Microsoft) avec les regroupements de base suivants :
- Navigateurs (Microsoft IE et Edge) ;
- Microsoft Windows (ordinateur de bureau et serveur) ;
- MicrosoftOffice ;
- Serveur Microsoft Exchange ;
- Plateformes de développement Microsoft (ASP.NET Core, .NET Core et Chakra Core) ;
- Adobe (si vous arrivez jusqu’ici).
Navigateurs
Microsoft a publié une seule mise à jour spécifique à Microsoft Edge (CVE-2024-49025) et deux mises à jour pour le moteur Chromium qui sous-tend le navigateur (CVE-2024-10826 et CVE-2024-10827). Il y a une brève note sur la mise à jour du navigateur ici. Nous vous recommandons d’ajouter ces mises à jour de navigateur discrètes à votre calendrier de publication standard.
Fenêtres
Microsoft a publié deux correctifs (CVE-2024-43625 et CVE-2024-43639) avec une note critique et 35 autres correctifs jugés importants par Microsoft. Ce mois-ci, les fonctionnalités clés de Windows suivantes ont été mises à jour :
- Pile Windows Update (remarque : les restaurations du programme d’installation peuvent poser problème) ;
- Système d’exploitation NT, noyau sécurisé et GDI ;
- Microsoft Hyper-V ;
- Réseaux, PME et DNS ;
- Windows Kerberos.
Malheureusement, ces mises à jour Windows ont été divulguées publiquement ou signalées comme étant exploitées de manière sauvage, ce qui en fait des problèmes Zero Day :
- CVE-2024-43451 : Vulnérabilité d’usurpation d’identité de divulgation de hachage NTLM.
- CVE-2024-49019 : élévation de privilèges des services de certificats Active Directory.
- CVE-2024-49039 : Vulnérabilité d’élévation de privilèges du Planificateur de tâches Windows.
Ajoutez ces mises à jour Windows à votre Patcher maintenant cadence de libération.
Microsoft Office
Microsoft a publié six mises à jour de Microsoft Office (toutes jugées importantes) qui affectent SharePoint, Word et Excel. Aucune de ces vulnérabilités signalées n’implique des problèmes d’accès à distance ou de volet de prévisualisation et n’a pas été divulguée publiquement ou exploitée dans la nature. Ajoutez ces mises à jour à votre calendrier de publication standard.
Serveur Microsoft SQL (né Exchange)
Vous souhaitez des mises à jour de Microsoft SQL Server ? Nous les avons reçus : 31 correctifs pour le client SQL Server Native ce mois-ci. Cela représente beaucoup de correctifs, même pour un produit complexe comme Microsoft SQL Server. Ces mises à jour semblent être le résultat d’un effort de nettoyage majeur de la part de Microsoft visant à corriger les vulnérabilités de sécurité signalées suivantes :
- CWE-122 : Débordement de tampon basé sur le tas
- CWE-416 : utilisation gratuite
La grande majorité de ces mises à jour de SQL Server Native Client résolvent les problèmes de dépassement de tampon liés au CWE-122. Remarque : ces correctifs mettent à jour le client SQL Native. Il s’agit donc d’une mise à jour de bureau et non de serveur. Créer un profil de test pour celui-ci est une tâche difficile. Aucune nouvelle fonctionnalité n’a été ajoutée et aucune zone à haut risque n’a été corrigée. Cependant, de nombreuses applications métier internes s’appuient sur ces fonctionnalités client SQL. Nous vous recommandons de tester vos applications cœur de métier avant cette mise à jour SQL, sinon de l’ajouter à votre planning de release standard.
Remarque de démarrage: N’oubliez pas qu’il existe une révision majeure de CVE-2024-49040 — cela pourrait affecter le côté « serveur » de SQL Server.
Plateformes de développement Microsoft
Microsoft a publié une mise à jour de niveau critique (CVE-2024-43498) et trois mises à jour jugées importantes pour Microsoft .NET 9 et Visual Studio 2022. Il s’agit de vulnérabilités de sécurité à faible risque et très spécifiques à ces versions des plates-formes de développement. Ils devraient présenter un profil de test réduit. Ajoutez ces mises à jour à votre calendrier de développement standard ce mois-ci.
Adobe Reader (et autres mises à jour tierces)
Microsoft n’a publié aucune mise à jour liée à Adobe Reader ce mois-ci. La société a publié trois CVE non Microsoft couvrant Google Chrome et SSH (CVE-2024-5535). Compte tenu de la mise à jour de Windows Defender (suite au problème SSH), Microsoft a également publié une liste de vulnérabilités et de faiblesses de Defender qui pourraient vous aider dans vos déploiements.