Dans sa mise à jour de mai, Microsoft a corrigé 51 vulnérabilités dans Windows, Microsoft Office et Visual Studio. Et avec trois failles zero-day à corriger de toute urgence dans Windows (CVE-2023-24932, CVE-2023-29325 et CVE-2023-29336), l’accent doit être mis ce mois-ci sur la mise à jour rapide de Windows et de Microsoft Office. Les deux plates-formes reçoivent notre recommandation « Patch Now ».
Le test de ce cycle de correctifs doit inclure la validation du démarrage sécurisé de Windows, des transferts de bureau à distance et VPN, et la vérification que Microsoft Outlook gère correctement les fichiers de document (RTF et DOC). L’équipe à Préparation des applications a confectionné cette infographie utile pour décrire les risques associés à chacune des mises à jour de ce cycle.
Problèmes connus
Chaque mois, Microsoft inclut une liste des problèmes connus liés au système d’exploitation et aux plates-formes inclus dans les dernières mises à jour. Pour le mois de mai, il s’agit notamment de :
- Après l’installation des mises à jour d’avril et/ou ultérieures, les appareils Windows avec certaines applications de personnalisation de l’interface utilisateur tierces peuvent ne pas se lancer. Startallback et ExplorerPatcher ont publié un correctif pour ces problèmes d’interface utilisateur respectifs.
- Après l’installation de la mise à jour de mai sur les machines virtuelles invitées (VM) exécutant Windows Server 2022, certaines versions de VMware ESXi, Windows Server 2022 peuvent ne pas démarrer. Microsoft et VMWare travaillent (ensemble ??) sur une résolution.
Un problème qui affecte toujours toutes les versions de Windows 10 (comme c’est le cas depuis trois mois) est que les profils d’appareils de kiosque ne se connectent toujours pas automatiquement. Microsoft travaille sur un correctif. Et pour ceux qui recherchent une valeur rédemptrice dans les mises à jour de jeu (qui ne l’est pas ces jours-ci ?) Red Dead Redemption 2 est maintenant signalé pouvoir démarrer. Bien joué.
Révisions majeures
Ce mois-ci, il n’y a eu aucune mise à jour de CVE ni aucune révision majeure des correctifs précédents.
Atténuations et solutions de contournement
Microsoft n’a publié aucune autre atténuation ou solution de contournement pour les correctifs de ce mois-ci.
Guide de test
Chaque mois, l’équipe de Préparation analyse les dernières mises à jour du Patch Tuesday et fournit des conseils de test détaillés et exploitables. Les conseils sont basés sur l’évaluation d’un vaste portefeuille d’applications et sur une analyse détaillée des correctifs Microsoft et de leur impact potentiel sur Windows et les installations d’applications.)
Compte tenu du grand nombre de modifications au niveau du système incluses dans ce cycle, j’ai décomposé les scénarios de test en profils standard et à haut risque.
Risque élevé
Microsoft a apporté des changements importants ce mois-ci à la Module TPM, en particulier Secure Boot et BitLocker. L’équipe de préparation suggère les tests de base suivants pour cette mise à jour :
- Les systèmes cibles doivent démarrer comme prévu avec Secure Boot et BitLocker activés.
- Les systèmes doivent démarrer (avec succès) avec BitLocker activé et Secure Boot désactivé.
- Essayez les scénarios de démarrage suivants : démarrage USB, démarrage DVD, démarrage ISO.
- Testez vos sauvegardes après avoir mis à jour le système de démarrage sécurisé.
- Assurez-vous que les restaurations du système de fichiers de votre système d’exploitation fonctionnent comme prévu une fois la mise à jour appliquée.
Nous ne sommes pas sûrs de la validité des supports de récupération une fois que cette mise à jour de May Patch Tuesday aura été appliquée. Votre support de récupération de démarrage peut échouer s’il est créé sur des systèmes antérieurs à cette mise à jour. Une fois que vous aurez effectué cette mise à jour, vous devrez vous assurer que les sauvegardes complètes sont terminées et testées. Ce scénario affecte à la fois les postes de travail Windows 11 (22H2) et Windows Server 2022.
Risque standard
Les modifications suivantes incluses dans la mise à jour de ce mois-ci n’ont pas été signalées comme des modifications à haut risque et n’incluent pas les modifications fonctionnelles.
- Exercez vos applications avec Microsoft LDAP Commande de connexion/liaison. Essayez ceci en utilisant SLL et sans.
- Le fichier système de clé WIN32K.SYS a été mis à jour, ce qui peut affecter menu des applications.
- Testez les applications qui installent ou configurent les moniteurs.
- Testez vos machines virtuelles avec Defender Application Guard installé et activé.
- Si vous avez déployé Microsoft RAPIDE, testez votre connectivité via un VPN à vos serveurs périphériques. Cela devrait inclure la navigation sur Internet, les e-mails, les téléchargements de fichiers et le streaming vidéo.
Tous ces scénarios de test nécessitent des tests importants au niveau de l’application avant le déploiement général. Compte tenu de la nature des modifications incluses dans ces correctifs, l’équipe de préparation vous recommande de :
- Testez votre bureau à distance et vos connexions VPN à l’aide de SSTP.
- Testez les appareils Bluetooth (audio et souris).
- Créez, lisez, mettez à jour et supprimez des fichiers sur un partage NFS.
- Testez les tâches d’impression (locales et distantes).
Les tests automatisés aideront avec ces scénarios (en particulier en utilisant une plate-forme de test qui offre un « delta » ou une comparaison entre les versions). Pour les applications métier qui impliquent d’obtenir le propriétaire de l’application (faire UAT) pour tester et approuver les résultats des tests, cela reste essentiel.
Mise à jour du cycle de vie de Windows
Cette section inclut les modifications importantes apportées à la maintenance (et à la plupart des mises à jour de sécurité) des plates-formes de bureau et de serveur Windows.
- Toutes les éditions de Windows 10 version 20H2 ont atteint la fin de service le 9 mai.
- La version 21H2 de Windows 10 arrivera en fin de service le 13 juin. Microsoft continuera à assurer la maintenance des éditions suivantes de Windows 10 21H2 : Windows 10 Entreprise et Éducation, Windows 10 IoT Entreprise et Windows 10 Entreprise multisession.
Chaque mois, nous décomposons le cycle de mise à jour en familles de produits (telles que définies par Microsoft) avec les regroupements de base suivants :
- Navigateurs (Microsoft IE et Edge) ;
- Microsoft Windows (bureau et serveur) ;
- Microsoft Office;
- Microsoft Exchange Server ;
- Plateformes de développement Microsoft (ASP.NET Core, .NET Core et Chakra Core);
- Adobe (retraité ???, peut-être l’année prochaine).
Microsoft a publié 11 mises à jour discrètes de son portefeuille de navigateurs, qui ont toutes été jugées importantes. Pour ceux qui utilisent encore l’ancienne base de code (IE), l’ancien service Internet non pris en charge L’application de bureau Explorer 11 a été définitivement désactivée dans le cadre de la mise à jour de sécurité Windows de février (version « B »). Ajoutez ces mises à jour à votre calendrier de publication de correctifs standard.
les fenêtres
Ce mois-ci, Microsoft a publié cinq mises à jour critiques et 22 correctifs jugés importants pour la plate-forme Windows ; ils couvrent les composants clés suivants :
- LDAP Windows – Protocole d’accès à l’annuaire léger.
- Système de fichiers réseau Windows.
- Protocole SSTP (Secure Socket Tunneling Protocol) et PGM de Windows.
A première vue, le Version Windows de mai semblait être assez léger, avec un nombre de mises à jour critiques inférieur à la normale. Cependant, Microsoft a identifié et corrigé une vulnérabilité dans le processus de démarrage sécurisé de Windows si complexe qu’un libération échelonnée est requis. Identifiée en tant que CVE-2023-24932Microsoft avertit que cette vulnérabilité permet à un « attaquant d’exécuter du code auto-signé au niveau de l’interface UEFI (Unified Extensible Firmware Interface) alors que le démarrage sécurisé est activé ».
Oui – vous avez bien entendu – votre processus de démarrage sécurisé a été compromis (présenté par Lotus Noir). Comme mentionné dans la section des conseils de test ci-dessus, le support de démarrage doit être soigneusement analysé ; sinon, « maçonné » les serveurs sont une possibilité réelle. Avant de continuer, lisez ceci directives mises à jour pour CVE-2023-24932avec quelques lectures supplémentaires sur la campagne Black Lotus disponible ici.
Ajoutez cette mise à jour à votre calendrier de publication « Patch Now ».
Microsoft Office
Microsoft a publié une mise à jour critique pour SharePoint Server ce mois-ci. En plus de cela, six autres mises à jour jugées importantes concernant Word, Excel et Teams sont arrivées. L’accent doit être mis sur Microsoft Outlook (CVE-2023-29324) avec un correctif mis à jour (à une atténuation précédente) pour résoudre une grave élévation de privilèges (EOP) vulnérabilité. Microsoft a publié une mise à jour(d) document d’atténuation pour expliquer ce grave problème de sécurité.
Bien que la vulnérabilité liée à Windows OLE (CVE-2023-29325) devrait être inclus dans la section Windows de ce mois-ci, le vrai problème avec cette bibliothèque système principale concerne la façon dont Microsoft Outlook gère RTF et requêtes « ouvertes » Word Doc. Nous n’avons eu aucun rapport sur ces autres vulnérabilités liées à Microsoft Office exploitées dans la nature, ni aucune divulgation publique pour Excel. Compte tenu de l’urgence de ces correctifs Microsoft Outlook et Microsoft Office (OLE), ajoutez ces mises à jour Office à votre calendrier de publication « Patch Now ».
Serveur Microsoft Exchange
Bonne nouvelle : aucun serveur Exchange ne met à jour ce cycle.
Plateformes de développement Microsoft
Microsoft n’a publié que deux mises à jour ce mois-ci (CVE-2023-29338 et CVE-2023-29343), tous deux jugés importants. Affectant uniquement Visual Studio et SysmonName (merci, Marquer) il existe un profil de test très faible pour l’une ou l’autre mise à jour. Ajoutez ces mises à jour à votre calendrier de publication standard pour les développeurs.
Adobe Reader (toujours là, mais pas ce mois-ci)
Jours heureux! Aucune mise à jour d’Adobe Reader de Microsoft pour le mois de mai.
Copyright © 2023 IDG Communications, Inc.