Le Patch Tuesday de la semaine dernière a commencé avec 73 mises à jour, mais s’est terminé (jusqu’à présent) avec trois révisions et un ajout tardif (CVE-2022-30138) pour un total de 77 vulnérabilités corrigées ce mois-ci. Par rapport au large éventail de mises à jour publiées en avril, nous constatons une plus grande urgence à corriger Windows – en particulier avec trois jours zéro et plusieurs failles très graves dans les domaines clés du serveur et de l’authentification. L’échange demandera également de l’attention, en raison de nouvelle technologie de mise à jour du serveur.

Il n’y a pas eu de mises à jour ce mois-ci pour les navigateurs Microsoft et Adobe Reader. Et Windows 10 20H2 (nous vous connaissions à peine) n’est plus pris en charge.

Vous pouvez trouver plus d’informations sur les risques liés au déploiement de ces mises à jour Patch Tuesday dans cette infographie utile, et le centre MSRC a publié un bon aperçu de la façon dont il gère les mises à jour de sécurité ici.

Table des matières hide
1 Principaux scénarios de test
2 Problèmes connus
3 Révisions majeures
4 Atténuations et solutions de contournement
5 Navigateurs
6 les fenêtres
7 Microsoft Office
8 Serveur Microsoft Exchange

Principaux scénarios de test

Compte tenu du grand nombre de modifications incluses dans ce cycle de correctifs de mai, j’ai divisé les scénarios de test en groupes à haut risque et à risque standard :

Risque élevé: Ces changements sont susceptibles d’inclure des modifications de fonctionnalités, peuvent rendre obsolètes des fonctions existantes et nécessiteront probablement la création de nouveaux plans de test :

Publicité
  • Testez les certificats CA de votre entreprise (nouveaux et renouvelés). Votre serveur de domaine KDC validera automatiquement les nouvelles extensions incluses dans cette mise à jour. Recherchez les échecs de validation !
  • Cette mise à jour inclut une modification des signatures de pilotes qui incluent désormais la vérification de l’horodatage ainsi que signatures d’authentification. Les pilotes signés doivent se charger. Les pilotes non signés ne devraient pas. Vérifiez les exécutions de test de votre application pour les chargements de pilotes ayant échoué. Incluez également des contrôles pour les fichiers EXE et DLL signés.

Les modifications suivantes ne sont pas documentées comme incluant des modifications fonctionnelles, mais nécessiteront toujours au moins « test de fumée » avant le déploiement général des correctifs de mai :

Les tests de ce mois-ci nécessiteront plusieurs redémarrages de vos ressources de test et devraient inclure à la fois des machines virtuelles et physiques (BIOS/UEFI).

Problèmes connus

Microsoft inclut une liste des problèmes connus qui affectent le système d’exploitation et les plates-formes inclus dans ce cycle de mise à jour :

  • Après l’installation de la mise à jour de ce mois-ci, les appareils Windows qui utilisent certains GPU peuvent entraîner la fermeture inattendue des applications ou générer un code d’exception (0xc0000094 dans le module d3d9on12.dll) dans les applications utilisant Direct3D version 9. Microsoft a publié un KIR mise à jour de la stratégie de groupe pour résoudre ce problème avec les paramètres GPO suivants : Télécharger pour Windows 10, version 2004, Windows 10, version 20H2, Windows 10, version 21H1 et Windows 10, version 21H2.
  • Après l’installation des mises à jour publiées le 11 janvier 2022 ou une version ultérieure, les applications qui utilisent Microsoft .NET Framework pour acquérir ou définir les informations d’approbation de la forêt Active Directory peuvent échouer ou générer une erreur de violation d’accès (0xc0000005). Il apparaît que les applications qui dépendent de la API System.DirectoryServices sont affectés.

Microsoft a vraiment amélioré son jeu lors de la discussion des correctifs et mises à jour récents pour cette version avec un utile mettre à jour les faits saillants vidéo.

Révisions majeures

Bien qu’il y ait une liste de correctifs beaucoup plus réduite ce mois-ci par rapport à avril, Microsoft a publié trois révisions, notamment :

  • CVE-2022-1096: Chrome : CVE-2022-1096 Type Confusion dans la V8. Ce correctif de mars a été mis à jour pour inclure la prise en charge de la dernière version de Visual Studio (2022) afin de permettre le rendu mis à jour du contenu webview2. Aucune autre action est nécessaire.
  • CVE-2022-24513: Vulnérabilité d’élévation de privilèges dans Visual Studio. Ce correctif d’avril a été mis à jour pour inclure TOUTES les versions prises en charge de Visual Studio (15.9 à 17.1). Malheureusement, cette mise à jour peut nécessiter des tests d’application pour votre équipe de développement, car elle affecte le rendu du contenu webview2.
  • CVE-2022-30138: Vulnérabilité d’élévation des privilèges du spouleur d’impression Windows. Il s’agit d’un changement d’information uniquement. Aucune autre action est nécessaire.

Atténuations et solutions de contournement

Pour le mois de mai, Microsoft a publié une atténuation clé pour une grave vulnérabilité du système de fichiers réseau Windows :

  • CVE-2022-26937: Vulnérabilité d’exécution de code à distance du système de fichiers réseau Windows. Vous pouvez atténuer une attaque en désactivant NFSV2 et NFSV3. La commande PowerShell suivante désactivera ces versions : « PS C:\Set-NfsServerConfiguration -EnableNFSV2 $false -EnableNFSV3 $false. » Une fois fait. vous devrez redémarrer votre serveur NFS (ou de préférence redémarrer la machine). Et pour confirmer que le serveur NFS a été correctement mis à jour, utilisez la commande PowerShell « PS C:\Get-NfsServerConfiguration ».

Chaque mois, nous décomposons le cycle de mise à jour en familles de produits (telles que définies par Microsoft) avec les regroupements de base suivants :

  • Navigateurs (Microsoft IE et Edge) ;
  • Microsoft Windows (bureau et serveur) ;
  • Microsoft Office;
  • Microsoft Exchange;
  • Plateformes de développement Microsoft ( ASP.NET Core, .NET Core et Chakra Core);
  • Adobe (retraité ???, peut-être l’année prochaine).

Navigateurs

Microsoft n’a publié aucune mise à jour de ses navigateurs hérités (IE) ou Chromium (Edge) ce mois-ci. Nous constatons une tendance à la baisse du nombre de problèmes critiques qui ont tourmenté Microsoft au cours de la dernière décennie. Mon sentiment est que le passage au projet Chromium a été un « super plus-plus gagnant-gagnant » pour l’équipe de développement et les utilisateurs.

En parlant de navigateurs hérités, nous devons nous préparer à la retraite d’IE arriver à la mi-juin. Par « préparer », je veux dire célébrer – après, bien sûr, nous nous sommes assurés que les applications héritées n’ont pas de dépendances explicites sur l’ancien moteur de rendu IE. Veuillez ajouter « Célébrez le retrait d’IE » au calendrier de déploiement de votre navigateur. Vos utilisateurs comprendront.

les fenêtres

La plate-forme Windows reçoit six mises à jour critiques ce mois-ci et 56 correctifs jugés importants. Malheureusement, nous avons aussi trois exploits zero-day :

  • CVE-2022-22713: Cette vulnérabilité révélée publiquement dans la plate-forme de virtualisation Hyper-V de Microsoft obligera un attaquant à exploiter avec succès une condition de concurrence interne pour conduire à un scénario potentiel de déni de service. C’est une vulnérabilité sérieuse, mais nécessite d’enchaîner plusieurs vulnérabilités pour réussir.
  • CVE-2022-26925: À la fois révélé publiquement et signalé comme exploité à l’état sauvage, ce Problème d’authentification LSA est un vrai souci. Il sera facile à corriger, mais le profil de test est large, ce qui en fait un déploiement difficile. En plus de tester l’authentification de votre domaine, assurez-vous que les fonctions de sauvegarde (et de restauration) fonctionnent comme prévu. Nous vous recommandons fortement de vérifier la dernière Notes d’assistance Microsoft sur ce problème en cours.
  • CVE-2022-29972: Cette vulnérabilité révélée publiquement dans le Redshift ODBC pilote est assez spécifique aux applications Synapse. Mais si vous êtes exposé à l’un des Azure Synapse RBAC rôles, le déploiement de cette mise à jour est une priorité absolue.

En plus de ces problèmes zero-day, trois autres problèmes nécessitent votre attention :

  • CVE-2022-26923: cette vulnérabilité dans l’authentification Active Directory n’est pas tout à fait « vermifuge » mais est si facile à exploiter, je ne serais pas surpris de la voir bientôt attaquée activement. Une fois compromise, cette vulnérabilité donnera accès à l’ensemble de votre domaine. Les enjeux sont importants avec celle-ci.
  • CVE-2022-26937: Ce bogue du système de fichiers réseau a une note de 9,8 – l’une des plus élevées signalées cette année. NFS n’est pas activé par défaut, mais si vous avez Linux ou Unix sur votre réseau, vous l’utilisez probablement. Corrigez ce problème, mais nous vous recommandons également de mettre à niveau vers NFSv4.1 dès que possible.
  • CVE-2022-30138: Ce patch a été publié après le Patch Tuesday. Ce problème de spouleur d’impression n’affecte que les anciens systèmes (Windows 8 et Server 2012) mais nécessitera des tests importants avant le déploiement. Ce n’est pas un problème de sécurité extrêmement critique, mais le potentiel de problèmes liés à l’imprimante est important. Prenez votre temps avant de déployer celui-ci.

Compte tenu du nombre d’exploits graves et des trois jours zéro en mai, ajoutez la mise à jour Windows de ce mois-ci à votre programme « Patch Now ».

Microsoft Office

Microsoft n’a publié que quatre mises à jour pour la plate-forme Microsoft Office (Excel, SharePoint), toutes jugées importantes. Toutes ces mises à jour sont difficiles à exploiter (nécessitant à la fois une interaction de l’utilisateur et un accès local au système cible) et n’affectent que les plates-formes 32 bits. Ajoutez ces mises à jour Office discrètes et à faible risque à votre calendrier de publication standard.

Serveur Microsoft Exchange

Microsoft a publié une seule mise à jour pour Exchange Server (CVE-2022-21978) qui est jugé important et semble assez difficile à exploiter. Cette vulnérabilité d’élévation de privilège nécessite un accès entièrement authentifié au serveur, et jusqu’à présent, il n’y a eu aucun rapport de divulgation publique ou d’exploitation dans la nature.

Plus important encore, ce mois-ci, Microsoft a introduit une nouvelle méthode pour mettre à jour les serveurs Microsoft Exchange qui comprend désormais :

  • Fichier de correctif Windows Installer (.MSP), qui fonctionne mieux pour les installations automatisées.
  • Programme d’installation auto-extractible et auto-élévateur (.exe), qui fonctionne mieux pour les installations manuelles.

Il s’agit d’une tentative de résoudre le problème des administrateurs Exchange mettant à jour leurs systèmes de serveur dans un contexte non administrateur, ce qui entraîne un mauvais état du serveur. Le nouveau format EXE permet des installations en ligne de commande et une meilleure journalisation de l’installation. Microsoft a utilement publié l’exemple de ligne de commande EXE suivant :

« Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains »

Notez que Microsoft vous recommande d’avoir la variable d’environnement %Temp% avant d’utiliser le nouveau format d’installation EXE. Si vous suivez la nouvelle méthode d’utilisation de l’EXE pour mettre à jour Exchange, n’oubliez pas que vous devrez toujours déployer (séparément) le fichier mensuel SSU update pour vous assurer que vos serveurs sont à jour. Ajoutez cette mise à jour (ou EXE) à votre calendrier de publication standard, en vous assurant qu’un redémarrage complet est effectué lorsque toutes les mises à jour sont terminées.

Plateformes de développement Microsoft

Microsoft a publié cinq mises à jour jugées importantes et un seul correctif avec une note faible. Tous ces correctifs affectent Visual Studio et le framework .NET. Comme vous allez mettre à jour vos instances Visual Studio pour résoudre ces vulnérabilités signalées, nous vous recommandons de lire le Guide de mise à jour d’avril de Visual Studio.

Pour en savoir plus sur les problématiques spécifiques abordées du point de vue de la sécurité, le Publication sur le blog de la mise à jour .NET de mai 2022 Sera utile. En notant que .NET 5.0 a maintenant atteint la fin du support et avant de passer à .NET 7, il peut être utile de vérifier certaines compatibilités ou « changements avec rupture » qui doivent être résolus. Ajoutez ces mises à jour à risque moyen à votre calendrier de mise à jour standard.

Adobe (vraiment juste Reader)

J’ai pensé que nous pourrions voir une tendance. Aucune mise à jour d’Adobe Reader pour ce mois. Cela dit, Adobe a publié un certain nombre de mises à jour d’autres produits trouvés ici : APSB22-21. Voyons ce qui se passe en juin – peut-être pouvons-nous prendre notre retraite tous les deux Adobe Reader et IE.

Copyright © 2022 IDG Communications, Inc.

Rate this post
Publicité
Article précédentComment personnaliser le message d’erreur Accès refusé sur Windows 11/10
Article suivantMetafy acquiert GamerzClass pour étendre les classes pour les joueurs
Berthe Lefurgey
Berthe Lefurgey
https://muckrack.com/berthe-lefurgey
Berthe Lefurgey est une journaliste chevronnée, passionnée par la technologie et l'innovation, qui fait actuellement ses armes en tant que rédactrice de premier plan pour TechTribune France. Avec une carrière de plus de dix ans dans le monde du journalisme technologique, Berthe s'est imposée comme une voix de confiance dans l'industrie. Pour en savoir plus sur elle, cliquez ici. Pour la contacter cliquez ici

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici