Microsoft a suivi son précédent établi en octobre avec Windows 11 24H2 et a annoncé Microsoft Server 2025 le 1er novembre. Nous nous attendions à l’annonce officielle lors de Microsoft Ignite vers la fin du mois, mais avec la version anticipée, les premiers utilisateurs et les participants à Ignite peuvent avoir des discussions plus approfondies grâce à leur familiarité avec le produit.
Avant d’aborder certaines des améliorations et fonctionnalités de sécurité du nouveau serveur, jetons un coup d’œil rapide au Patch Tuesday d’octobre 2024. Microsoft était occupé à résoudre 91 vulnérabilités dans Windows 10 et 68 dans Windows 11. Trois des vulnérabilités ont été divulguées publiquement et classées comme importantes ; deux autres ont été divulgués publiquement et connus pour être exploités et classés importants et modérés. Toutes ces vulnérabilités étaient associées aux systèmes d’exploitation Microsoft. Deux vulnérabilités ont également été corrigées dans les mises à jour du framework .NET. Les mises à jour Office habituelles ont complété les mises à jour du Patch Tuesday.
La liste des nouvelles fonctionnalités de Server 2025 est longue, mais je souhaite me concentrer sur quelques fonctionnalités de sécurité intéressantes. Server 2025 introduit le hotpatching qui met à jour le système en cours d’exécution en mémoire via Azure Arc. Cela réduira le nombre de redémarrages tout en améliorant instantanément la sécurité du système.
Active Directory présente un certain nombre d’améliorations qui fournissent les dernières options de protocoles, de renforcement et de chiffrement. Selon Microsoft, « Windows Server 2025 inclut SMB sur QUIC pour permettre un accès sécurisé aux partages de fichiers sur Internet. La sécurité des PME ajoute également des paramètres de pare-feu renforcés par défaut, une prévention des attaques par force brute et des protections contre les attaques de l’homme du milieu, les attaques par relais et les attaques d’usurpation d’identité. Et une dernière fonctionnalité à noter, il inclut des comptes de service gérés délégués (dMSA) via lesquels les autorisations peuvent être déléguées pour accéder aux ressources du domaine, réduisant ainsi les risques de sécurité. Assurez-vous de consulter toutes les autres nouvelles fonctionnalités et améliorations de ce nouveau serveur. Microsoft Server 2025 est une version LTSC (Long-Term Servicing Channel) pour Windows Server.
L’équipe de sécurité Mandiant de Google a fourni un rapport très révélateur sur certaines tendances récentes en matière d’exploitation des vulnérabilités. Ils examinent le temps d’exploitation (TTE) défini comme le temps moyen nécessaire pour exploiter une vulnérabilité avant ou après la publication d’un correctif. Pour paraphraser leurs conclusions, de 2018 à 2019, le TTE a duré en moyenne 63 jours. Ce nombre a diminué progressivement au fil des différentes périodes analysées (voir rapport), au point qu’en 2023, ils ont observé la plus forte baisse du TTE jusqu’à présent, avec une moyenne de seulement cinq jours.
Ils ont également mené une analyse des jours zéro (vulnérabilités exploitées avant la mise à disposition des correctifs, à l’exclusion des technologies en fin de vie) par rapport aux n jours (vulnérabilités exploitées pour la première fois après la disponibilité des correctifs). Mandiant a suivi 138 vulnérabilités qui ont été divulguées en 2023 et exploitées dans la nature et a découvert que 97 étaient exploitées en tant que jour zéro et 41 étaient exploitées en tant que n jours.
Le principal point à retenir dans le domaine des correctifs est que « l’exploitation était la plus susceptible de se produire dans le premier mois suivant la mise à disposition d’un correctif pour une vulnérabilité déjà divulguée ». L’implication est claire : nous devons prioriser et déployer nos mises à jour en utilisant une stratégie d’exécution rapide et basée sur les risques.
Au cas où vous l’auriez manqué le mois dernier, les mises à jour finales ont été publiées pour les versions Windows 11, 21H2 Enterprise et Education, ainsi que Windows 11 22H2 Home et Professional. Si vous utilisez toujours ces systèmes d’exploitation, vous devez effectuer une mise à jour car il n’y a pas de nouveaux correctifs de sécurité et de nouvelles vulnérabilités seront certainement annoncées.
Prévisions du Patch Tuesday de novembre 2024
- Je prévois que Microsoft maintiendra son calendrier de publication accélérée de CVE ce mois-ci, puis se retirera pour Ignite, les vacances et la fin de l’année. Attendez-vous à l’ensemble habituel de mises à jour pour tous les systèmes d’exploitation et les suites Office.
- J’attends la prochaine mise à jour majeure pour Acrobat et Reader le mois prochain, mais nous pourrions voir une mise à jour mineure la semaine prochaine. La dernière version était le Patch Tuesday de septembre.
- Apple vient de publier Ventura 13.7.1, Sonoma 14.7.1 et Sequoia 15.1 le 28 octobre. Assurez-vous qu’ils font partie de votre dernière série de déploiements la semaine prochaine.
- Les prochaines mises à jour du canal stable pour Google Chrome sont attendues mardi prochain comme d’habitude.
- La Fondation Mozilla a publié ses principales mises à jour de sécurité la semaine dernière, notamment Thunderbird ESR 128.4 et Thunderbird 132, Firefox ESR 115.17, Firefox ESR 128.4 et enfin Firefox 132. Comme pour les mises à jour Apple, rien d’autre n’est attendu, alors incluez-les également dans vos déploiements.
Les correctifs habituels de Microsoft et une petite mise à jour d’Adobe constituent un Patch Tuesday standard. Pour ceux d’entre vous ici aux États-Unis, il est un peu tôt mais je vous souhaite un joyeux Thanksgiving !