Bien que nous obtenions un sursis des mises à jour Exchange dans la mise à jour Patch Tuesday de ce mois-ci, d’autres mises à jour d’imprimantes sont en cours. Même sans mises à jour pour Microsoft Exchange ou Visual Studio, Adobe est de retour avec 15 mises à jour critiques pour Adobe Reader. Et le nouvel outil de déploiement de correctifs de Microsoft Patch automatique est maintenant en ligne. (J’ai toujours pensé que les tests d’application étaient le principal problème ici, mais il est toujours difficile de déployer des correctifs.)
Bien que les chiffres soient encore assez élevés (avec plus de 86 vulnérabilités signalées), le profil de test et de déploiement pour juillet devrait être assez modéré. Nous vous suggérons de prendre le temps de renforcer vos processus de défense et d’atténuation Exchange Server, et d’investir dans vos processus de test.
Vous pouvez trouver plus d’informations sur le risque de déploiement de ces mises à jour Patch Tuesday dans notre infographie utile .
Principaux scénarios de test
Compte tenu du grand nombre de changements dans ce cycle de correctifs de juillet, j’ai décomposé les scénarios de test en groupes à haut risque et à risque standard :
Risque élevé: Ces changements sont susceptibles d’inclure des changements de fonctionnalités, peuvent rendre obsolètes les fonctionnalités existantes et nécessiteront probablement la création de nouveaux plans de test.
La fonctionnalité d’impression de base a été mise à jour :
- Installez et testez tous les nouveaux pilotes d’impression V4 sur une machine locale et imprimez.
- Testez les nouvelles connexions d’imprimante V4 à l’aide du client et du serveur et imprimez.
- Tester les connexions d’imprimante v4 existantes
- Assurez-vous que le rendu GDI et les pilotes d’imprimante génèrent la sortie attendue
Les modifications principales concernent la manière dont Microsoft prend en charge la vérification de l’horodatage pour les pilotes du noyau. Le test des applications nécessitant des fichiers binaires signés numériquement est donc essentiel pour ce cycle. Le grand changement ici est que les pilotes non signés ne doivent pas se charger. Cela peut entraîner des problèmes d’application ou des problèmes de compatibilité. Nous recommandons une analyse du portefeuille d’applications, en identifiant toutes les applications qui dépendent des pilotes (signés et non signés) et en générant un plan de test qui comprend l’installation, l’exercice des applications et la désinstallation. Avoir une comparaison entre les machines pré- et post-patchées serait également utile.
Les modifications suivantes ne sont pas documentées comme incluant des modifications fonctionnelles, mais nécessiteront toujours au moins « test de fumée » avant le déploiement général :
- Scénarios de test qui utilisent Sélecteur de périphérique Windows. Presque impossible à tester — car la plupart des applications utilisent cette classe commune. Si vos applications développées en interne réussissent leur test de fumée de base, tout va bien.
- Testez votre gamme d’applications métier qui référencent le CDP mobile de Microsoft Apis. Si vous avez développé en interne des applications de bureau qui communiquent avec des appareils mobiles, une vérification des communications peut être nécessaire.
- Tester les connexions au serveur rasl2tp. Cela signifie rechercher et tester des applications qui dépendent du pilote de miniport RAS sur des connexions distantes ou VPN.
Et Boucle. Plus précisément, CURL.EXE : — un outil en ligne de commande pour envoyer des fichiers via les protocoles HTTP (d’où « URL client ») — a été mis à jour ce mois-ci. Curl pour Windows (celui qui est mis à jour ce mois-ci) est différent du curl du projet Open Source. Si vous ne comprenez pas pourquoi l’équipe du projet Curl propose cela, voici la réponse :
« L’outil curl fourni avec Windows est construit et géré par Microsoft. Il s’agit d’une version distincte qui aura différentes fonctionnalités et capacités activées et désactivées par rapport aux versions Windows proposées par le projet curl. Ils construisent cependant curl à partir de la même source code. Si vous rencontrez des problèmes avec leur version curl, signalez-le-leur. Vous pouvez probablement supposer que les packages curl de Microsoft seront toujours en retard par rapport aux versions fournies par le projet curl lui-même.
Cela dit, nous recommandons aux équipes qui utilisent la commande curl (provenant de la branche prise en charge par Windows) de tester rapidement leurs scripts. Microsoft a publié une matrice de scénarios de test qui comprend ce mois-ci :
- Utilisez des machines physiques et des machines virtuelles.
- Utilisez des machines basées sur le BIOS et des machines compatibles UEFI.
- Utilisez des machines x86, ARM, ARM64 et AMD64.
Remarque : pour chacun de ces scénarios de test, un arrêt, un redémarrage et un redémarrage manuels sont suggérés.
Problèmes connus
Chaque mois, Microsoft inclut une liste des problèmes connus liés au système d’exploitation et aux plateformes inclus dans ce cycle de mise à jour. Pour le mois de juillet, certains changements complexes doivent être pris en compte :
- Les appareils avec des installations Windows créées à partir d’un support hors ligne personnalisé ou d’une image ISO personnalisée peuvent avoir Microsoft Edge Legacy supprimé par cette mise à jour, mais pas automatiquement remplacé par le nouveau Microsoft Edge.
- Après avoir installé le 21 juin 2021 (KB5003690), certains appareils ne peuvent pas installer de nouvelles mises à jour, comme la mise à jour du 6 juillet 2021 (KB5004945) ou des mises à jour ultérieures. Vous recevrez le message d’erreur « PSFX_E_MATCHING_BINARY_MISSING ». Pour plus d’informations et une solution de contournement, voir KB5005322.
- Après l’installation de cette mise à jour, les onglets du mode IE dans Microsoft Edge peuvent cesser de répondre lorsqu’un site affiche une boîte de dialogue modale. Ce problème est résolu en utilisant Restauration des problèmes connus (KIR) avec les téléchargements de stratégie de groupe suivants : Télécharger pour Windows 10, version 20H2 et Windows 10, version 21H1 .
- Après l’installation KB4493509les appareils sur lesquels certains modules linguistiques asiatiques sont installés peuvent recevoir l’erreur « 0x800f0982 – PSFX_E_MATCHING_COMPONENT_NOT_FOUND ».
Révisions majeures
Ce mois-ci, Microsoft n’a officiellement publié aucune révision ou mise à jour majeure des correctifs précédents. Il y avait une sorte de « sournois » mise à jour du groupe .NET cela aurait vraiment dû être inclus dans le processus officiel de mise à jour de la documentation Microsoft. Cependant, cette mise à jour était simplement une prise en charge documentée des versions ultérieures de Visual Studio.
Atténuations et solutions de contournement
Microsoft a publié une atténuation clé pour une vulnérabilité du réseau Windows :
- CVE-2022-22029: Vulnérabilité d’exécution de code à distance du système de fichiers réseau Windows. Notant qu’il n’y a pas d’exploits signalés publiquement pour cette vulnérabilité de réseau, Microsoft reconnaît toujours que certains administrateurs peuvent choisir de désactiver NFSV3 avant que leurs systèmes de serveur ne soient entièrement corrigés. Pour désactiver cette fonctionnalité réseau, utilisez la commande PowerShell. » Set-NfsServerConfiguration -EnableNFSV3 $false. » Il n’est pas nécessaire de désactiver V4 (par opposition à V3) car les versions ultérieures de ce protocole ne sont pas affectées par cette faille de sécurité.
Chaque mois, nous décomposons le cycle de mise à jour en familles de produits (telles que définies par Microsoft) avec les regroupements de base suivants :
- Navigateurs (Microsoft IE et Edge) ;
- Microsoft Windows (bureau et serveur) ;
- Microsoft Office;
- Microsoft Exchange;
- Plateformes de développement Microsoft ( ASP.NET Core, .NET Core et Chakra Core);
- Adobe (retraité ???, peut-être l’année prochaine).
Ça ne fait que s’améliorer. La tendance à la baisse de la vulnérabilité signalée par le navigateur de Microsoft continue de baisser avec seulement deux (CVE-2022-2294 et CVE-2022-2295) Mises à jour de Chromium pour ce mois de juillet. Les deux mises à jour n’affectent que Edge (Chromium) et ont été publiées la semaine dernière. Chrome devrait se mettre à jour automatiquement, notre analyse initiale montrant que les deux mises à jour auront un impact marginal sur la compatibilité du navigateur. Vous pouvez en savoir plus sur cette mise à jour sur le Blogue Googleavec les détails techniques trouvés sur Gite. Ajoutez ces mises à jour discrètes et à faible risque au calendrier de publication standard de votre navigateur.
les fenêtres
Avec seulement quatre mises à jour critiques et 16 jugées importantes ce mois-ci, Microsoft donne vraiment une petite pause aux administrateurs informatiques. Les quatre mises à jour critiques de Windows pour ce cycle de publication incluent :
- CVE-2022-30221: Cette vulnérabilité Windows dans le sous-système graphique principal (GDI) pourrait conduire à un scénario d’exécution de code à distance (RCE).
- CVE-2022-22029 et CVE-2022-22039: Ces Fichier réseau Windows des problèmes système pourraient entraîner des scénarios RCE sur le système compromis.
- CVE-2022-22038: Ce composant RPC de bas niveau (Win32), signalé comme difficile à exploiter, pourrait conduire à des scénarios de dépannage très difficiles.
Toutes ces mises à jour critiques ont été officiellement confirmées comme corrigées, sans signalement d’exploits publics sur les systèmes de bureau Windows. Les 14 mises à jour restantes sont jugées importantes par Microsoft et affectent les systèmes et composants Windows suivants :
Malheureusement, Windows Server 2012 n’a pas si bien fonctionné, avec des rapports de CVE-2022-22047 exploité à l’état sauvage. Cette vulnérabilité de serveur Windows affecte le sous-système Client Server Run-Time (CRSS) où se trouvent tous les pilotes en mode utilisateur qui se comportent mal. Si vous avez sous votre garde Windows Server 2012, il s’agit d’une mise à jour « Patch Now ». Sinon, ajoutez cette mise à jour Windows très discrète à votre calendrier de publication standard. Et n’oubliez pas, Microsoft a livré une autre vidéo de mise à jour de Windows 11 ; ça se trouve ici .
Microsoft Office
Microsoft n’a publié que deux (CVE-2022-33632 et CVE-2022-33633) mises à jour de Microsoft Office ce mois-ci. Les deux mises à jour sont jugées importantes par Microsoft et nécessitent toutes deux des privilèges locaux et authentifiés sur le système cible. Ajoutez ces mises à jour à votre calendrier de mise à jour Office standard.
Serveur Microsoft Exchange
C’est bien que nous ayons une pause dans les mises à jour de Microsoft Exchange Server. Plutôt que de simplement se reposer, il peut être intéressant d’investir dans votre infrastructure de sécurité Exchange. Microsoft a apporté quelques améliorations majeures à Exchange au cours de l’année écoulée ; voici quelques idées sur la sécurisation de votre serveur Exchange :
- Analyseur de sécurité Microsoft: Cet outil de ligne de commande est téléchargé à partir de Microsoft (doit être actualisé tous les 10 jours) et supprime les logiciels malveillants de votre système cible. Ce n’est pas un remplacement pour les outils tiers, mais s’il y a un souci concernant une machine, c’est une bonne première étape.
- Outil d’atténuation sur site Exchange (EOMT): Si vous ne parvenez pas à corriger rapidement des serveurs Exchange spécifiques, Microsoft propose une ligne de commande pour atténuer les attaques connues. Ce script PowerShell tentera à la fois de corriger et d’atténuer vos serveurs contre de nouvelles attaques – notant qu’une fois cela fait, l’application de correctifs est la priorité absolue.
- Service d’atténuation d’urgence d’échange (EM) : le service Exchange Emergency Mitigation (service EM) assure la sécurité de vos serveurs Exchange en appliquant des atténuations/mises à jour/correctifs pour faire face à toute menace potentielle contre vos serveurs. Il utilise le cloud Service de configuration de bureau (OCS) pour rechercher et télécharger les mesures d’atténuation disponibles et renverra les données de diagnostic à Microsoft.
Toutes ces fonctionnalités et offres reposent sur l’utilisation d’au moins Office 2019 – une autre raison pour laquelle Microsoft a fortement recommandé à tout le monde de passer au moins à Exchange Server 2019. Le service EM a été utilisé pour la dernière fois en Mars 2021 pour traiter plusieurs vulnérabilités de Microsoft Exchange (CVE-2021-26855, CVE-2021-26857et CVE-2021-26858). Il s’agissait d’attaques spécifiques sur des serveurs sur site. Il est utile de savoir que ce service existe, mais je suis heureux qu’il n’ait pas été requis récemment.
Plateformes de développement Microsoft
Comme pour Microsoft Exchange, Microsoft n’a pas publié de « nouvelles » mises à jour de sécurité pour la plate-forme ou les outils Microsoft .NET ce mois-ci. Cependant, il y avait un problème avec Mise à jour .NET de juinqui a été abordé ce mois-ci. Le .NET du mois La version résout le problème selon lequel certaines versions de .NET n’étaient pas résolues par le correctif précédent – il s’agit simplement d’une mise à jour informative. Si vous utilisez l’infrastructure de mise à jour de Microsoft Windows, aucune autre action n’est requise.
Adobe (vraiment juste Reader)
Il s’agit d’une grosse mise à jour d’Adobe, avec 15 mises à jour jugées critiques et sept importantes, toutes uniquement pour Adobe Reader. Les mises à jour critiques concernent principalement des problèmes de mémoire et pourraient conduire à l’exercice de code arbitraire sur le système non corrigé. Vous pouvez en savoir plus sur le bulletin Adobe (APSB22-32) et bulletins de sécurité Adobe ici. Ajoutez cette mise à jour spécifique à l’application à votre version « Patch Now ».
Copyright © 2022 IDG Communications, Inc.