Microsoft a commencé 2025 avec une importante publication de correctifs ce mois-ci, traitant de huit jours zéro avec 159 correctifs pour Windows, Microsoft Office et Visual Studio. Windows et Microsoft Office proposent tous deux des recommandations « Patch Now » (sans correctifs de navigateur ni Exchange) pour janvier.
Microsoft a également publié une mise à jour importante de la pile de services (SSU) qui modifie la façon dont les plates-formes de bureau et de serveur sont mises à jour, nécessitant des tests supplémentaires sur la façon dont les packages MSI Installer, MSIX et AppX sont installés, mis à jour et désinstallés.
Pour naviguer dans ces changements, l’équipe Readiness a fourni cette infographie utile détaillant les risques liés au déploiement des mises à jour.
Problèmes connus
Readiness a travaillé avec Citrix et Microsoft pour détailler les problèmes de mise à jour les plus graves affectant les postes de travail d’entreprise, notamment :
- Windows 10/11 : Suite à l’installation de la mise à jour de sécurité d’octobre 2024, certains clients signalent que le service OpenSSH (Open Secure Shell) ne démarre pas, empêchant les connexions SSH. Le service échoue sans journalisation détaillée ; une intervention manuelle est requise pour exécuter le processus sshd.exe. Microsoft étudie le problème sans (pour l’instant) publié de calendrier pour des mesures d’atténuation ou une résolution.
Citrix a signalé des problèmes importants avec son agent d’enregistrement de session (SRA), entraînant l’échec de la mise à jour de janvier. Microsoft a publié un bulletin de sécurité (KB5050009) qui dit : « Les appareils concernés peuvent initialement télécharger et appliquer correctement la mise à jour de sécurité Windows de janvier 2025, par exemple via la page Windows Update dans Paramètres. » Cependant, une fois que cette situation se produit, le processus de mise à jour s’arrête et revient à l’état d’origine.
En bref, si Citrix SRA est installé, votre appareil n’a (probablement) pas été mis à jour ce mois-ci.
Révisions majeures
Pour ce Patch Tuesday, nous avons les révisions suivantes par rapport aux mises à jour précédemment publiées :
- CVE-2025-21311 : Vulnérabilité d’élévation de privilèges de Windows Installer. Microsoft a publié une stratégie de groupe mise à jour (SkuSiPolicy.p7b) pour mieux gérer les problèmes liés à la sécurité avec les scripts VBS inclus dans la note de connaissances « Conseils pour bloquer la restauration de la sécurité basée sur la virtualisation (VBS) ».
- CVE-2025-21308 : Vulnérabilité d’usurpation d’identité des thèmes Windows. Microsoft recommande de désactiver NTLM pour les systèmes de bureau afin de résoudre cette vulnérabilité. Des conseils sur le processus peuvent être trouvés ici : Restreindre NTLM : trafic NTLM sortant vers des serveurs distants.
Microsoft a également publié CVE-2025-21224 pour corriger deux vulnérabilités de sécurité liées à la mémoire dans l’ancien démon d’imprimante en ligne (LPD), une fonctionnalité Windows obsolète depuis 15 ans. Je ne vois pas les choses s’améliorer pour ces fonctions liées à l’impression (compte tenu des problèmes que nous avons constatés au cours de la dernière décennie). Il est peut-être temps de commencer à supprimer ces fonctionnalités héritées de votre plateforme.
Mises à jour du cycle de vie et de l’application de Windows
Les produits Microsoft suivants seront retirés cette année :
- Microsoft Genomics : 6 janvier 2025
- Centre d’applications Visual Studio : 31 mars 2025
- Grandes instances SAP HANA (HLI) : 30 juin 2025
Bien sûr, nous n’avons pas besoin de mentionner l’éléphant dans la pièce. Microsoft mettra fin au support de Windows 10 en octobre.
Chaque mois, nous analysons les mises à jour de Microsoft pour les principales familles de produits (Windows, Office et outils de développement) pour vous aider à prioriser les efforts de mise à jour des correctifs. Ces conseils prescriptifs et exploitables sont basés sur l’évaluation d’un vaste portefeuille d’applications et sur une analyse détaillée des correctifs Microsoft et de leur impact potentiel sur les plates-formes et applications Windows.
Pour ce cycle de publication de Microsoft, nous avons regroupé les mises à jour critiques et les efforts de tests requis dans différents domaines fonctionnels, notamment :
Bureau à distance
Le mois de janvier est fortement axé sur la passerelle Bureau à distance (RD Gateway) et les protocoles réseau, avec les conseils de test suivants :
- Connexions RD Gateway : assurez-vous que RD Gateway (RDG) continue de faciliter le trafic UDP et TCP de manière transparente sans dégradation des performances. Essayez de déconnecter RDG d’une connexion existante/établie.
- Scénarios VPN, Wi-Fi et Bluetooth : testez les configurations de bout en bout et les fonctionnalités de partage à proximité.
- Gestion DNS pour les opérateurs : vérifiez que les utilisateurs du groupe « Opérateurs de configuration réseau » peuvent gérer les paramètres du client DNS sans effort.
Système de fichiers et stockage Windows locaux
Le système de fichiers et les composants de stockage bénéficient également de mises à jour mineures. Les efforts de test des systèmes de fichiers des postes de travail et des serveurs doivent se concentrer sur :
- Fichiers hors ligne et lecteurs mappés : testez les lecteurs réseau mappés dans des conditions en ligne et hors ligne. Portez une attention particulière aux mises à jour de l’état du Centre de synchronisation.
- BitLocker : validez le verrouillage et le déverrouillage du lecteur, les scénarios de démarrage natifs BitLocker et les états de post-hibernation avec BitLocker activé.
Virtualisation et Microsoft Hyper-V
Hyper-V et les machines virtuelles reçoivent des mises à jour légères :
- Tests de trafic : installez la fonctionnalité Hyper-V et redémarrez les systèmes. Surveillez les performances du réseau et assurez-vous qu’il n’y a aucune régression dans le trafic du réseau virtuel ou dans la gestion des machines virtuelles.
Sécurité et authentification
Les domaines clés pour les tests liés à la sécurité comprennent :
- Tests de stress d’authentification Digest : simulez des charges lourdes tout en utilisant l’authentification Digest pour découvrir les problèmes potentiels.
- Négociations SPNEGO : vérifiez les fonctionnalités du protocole de négociation sécurisée (SPNEGO) dans les configurations Active Directory inter-domaines ou multi-forêts.
- Scénarios d’authentification : testez les applications qui s’appuient sur les processus LSASS et assurez-vous que les protocoles tels que Kerberos, NTLM et l’authentification basée sur les certificats restent stables sous charge.
Autres mises à jour critiques
Il existe quelques priorités de tests supplémentaires pour cette version :
- Scénarios de déploiement d’applications : installez et mettez à jour les packages MSIX/Appx avec et sans services packagés, en confirmant les exigences réservées aux administrateurs pour les mises à jour.
- Connexions WebSocket : établissez et surveillez des connexions WebSocket sécurisées, en garantissant des résultats de cryptage et de prise de contact appropriés.
- Graphiques et thèmes : testez les applications et les flux de travail basés sur GDI+ impliquant des fichiers de thème pour garantir que les éléments de l’interface utilisateur s’affichent correctement dans différents modes d’affichage. Certaines suggestions incluent des applications en langue étrangère qui s’appuient sur des éditeurs de méthode d’entrée (IME).
Les mises à jour de janvier maintiennent un profil de risque moyen pour la plupart des systèmes, mais les tests restent essentiels, en particulier pour les scénarios de mise en réseau, d’authentification et de système de fichiers. Nous recommandons de donner la priorité à la validation du trafic réseau à distance, avec des tests légers pour les environnements de stockage et de virtualisation. Si vous disposez d’un vaste portefeuille de packages MSIX/Appx, il y a beaucoup de travail à faire pour garantir que votre package s’installe, se met à jour et se désinstalle avec succès.
Chaque mois, nous décomposons le cycle de mise à jour en familles de produits (tels que définis par Microsoft) avec les regroupements de base suivants :
- Navigateurs (Microsoft IE et Edge)
- Microsoft Windows (ordinateur de bureau et serveur)
- Microsoft Office
- Microsoft Exchange et SQL Server
- Outils de développement Microsoft (Visual Studio et .NET)
- Adobe (si vous arrivez jusqu’ici)
Navigateurs
Il n’y a eu aucune mise à jour du navigateur Microsoft pour le Patch Tuesday ce mois-ci. Attendez-vous à des mises à jour de Chromium qui affecteront Microsoft Edge dans la semaine à venir. (Vous pouvez trouver le calendrier des versions d’entreprise de Chromium ici.)
Microsoft Windows
Il s’agit d’une mise à jour assez importante pour l’écosystème Windows, avec 124 correctifs pour les ordinateurs de bureau et les serveurs, couvrant plus de 50 groupes de produits/fonctionnalités. Nous avons mis en évidence certains des principaux domaines d’intérêt :
- Fax/Téléphonie
- MSI/AppX/Installer et les mécanismes de mise à jour Windows
- WindowsCOM/DCOM/OLE
- Réseau, Bureau à distance
- Kerberos, certificats numériques, BitLocker, gestionnaire de démarrage Windows
- Pilotes graphiques Windows (GDI) et noyau
Malheureusement, les vulnérabilités de sécurité Windows CVE-2025-21275 et CVE-2025-21308 affectent toutes deux les fonctionnalités principales des applications et ont été divulguées publiquement. Ajoutez ces mises à jour Windows à votre calendrier de publication « Patch Now ».
Microsoft Office
Microsoft Office reçoit trois mises à jour critiques et 17 autres correctifs jugés importants. Exceptionnellement, trois mises à jour de Microsoft Office affectant Microsoft Access entrent dans la catégorie zero-day avec CVE-2025-21366, CVE-2025-21395 et CVE-2025-21186 divulguées publiquement. Ajoutez ces mises à jour Microsoft à votre calendrier « Patch Now ».
Microsoft Exchange et SQL Server
Aucune mise à jour de Microsoft pour les serveurs SQL Server ou Microsoft Exchange n’a été effectuée ce mois-ci.
Outils de développement Microsoft (Visual Studio et .NET)
Microsoft a publié sept mises à jour jugées importantes affectant Microsoft .NET et Visual Studio. Compte tenu de l’attention urgente requise pour Office et Windows ce mois-ci, vous pouvez ajouter ces correctifs standard et discrets à votre calendrier de publication standard pour les développeurs.
Mises à jour Adobe et tierces
Aucun correctif lié à Adobe n’a été publié par Microsoft ce mois-ci. Cependant, deux mises à jour tierces liées au développement ont été publiées ; ils affectent GitHub (CVE-2024-50338) et le correctif CERT CC (CVE-2024-7344). Les deux mises à jour peuvent être ajoutées au calendrier de publication standard des développeurs.