Les mises à jour Patch Tuesday de juin, publiées le 14 juin, corrigent 55 vulnérabilités dans Windows, SQL Server, Microsoft Office et Visual Studio (bien qu’il existe oo Microsoft Exchange Server ou des mises à jour Adobe ce mois-ci). Et une vulnérabilité zero-day dans un composant clé de Windows, CVE-2022-30190, conduit à une recommandation « Patch Now » pour Windows, tandis que les mises à jour .NET, Office et SQL Server peuvent être incluses dans un calendrier de publication standard.

Vous pouvez trouver plus d’informations sur le risque de déploiement de ces mises à jour Patch Tuesday dans cette infographie.

Table des matières hide
1 Principaux scénarios de test
2 Problèmes connus
3 Révisions majeures
4 Atténuations et solutions de contournement
5 Navigateurs
6 les fenêtres
7 Microsoft Office
8 Serveur Microsoft Exchange
9 Plateformes de développement Microsoft
10 Adobe (en fait, juste Reader)

Principaux scénarios de test

Compte tenu du grand nombre de modifications incluses dans ce cycle de correctifs de juin, j’ai divisé les scénarios de test pour les groupes à haut risque et à risque standard.

Ces changements à haut risque sont susceptibles d’inclure des changements de fonctionnalités, peuvent rendre obsolètes les fonctions existantes et nécessiteront probablement de nouveaux plans de test. Testez vos pilotes signés à l’aide de machines physiques et virtuelles (BIOS et UEFI) et sur toutes les plateformes (x86, 64 bits) :

  • Exécutez des applications contenant des fichiers binaires (.EXE et .DLL) signés et non signés.
  • Exécutez des pilotes signés et non signés. Les pilotes non signés ne doivent pas se charger. Les pilotes signés doivent se charger.
  • Utilisez les pilotes signés SHA-1 par rapport aux pilotes signés SHA-2.

Chacun de ces cycles de test à haut risque doit inclure un arrêt manuel, un redémarrage et un redémarrage. Les modifications suivantes ne sont pas documentées comme incluant des modifications fonctionnelles, mais nécessiteront toujours au moins « test de fumée » avant le déploiement général :

Publicité
  • Tester la télécommande Garde d’accréditation scénarios. (Ces tests nécessitent une authentification Kerberos et ne peuvent être utilisés qu’avec le Protocole RDP.)
  • Testez vos serveurs Hyper-V et démarrez/arrêtez/reprenez vos machines virtuelles (VM).
  • Effectuez des opérations de cliché instantané à l’aide de Compatible VSS applications de sauvegarde dans un déploiement VSS distant sur SMB.
  • Testez le déploiement d’exemples d’applications à l’aide de AADJ et Intune. Assurez-vous de déployer et de révoquer l’accès dans le cadre de votre cycle de test.

En plus de ces directives de test standard, nous recommandons que toutes les applications principales soient soumises à un régime de test qui inclut l’auto-réparation, la désinstallation et la mise à jour. Cela est dû aux modifications apportées à Windows Installer (MSI) ce mois-ci. Trop peu de services informatiques testent les fonctions de mise à jour, de réparation et de désinstallation de leur portefeuille d’applications. Il est bon de tester chaque package d’application dans le cadre du processus d’assurance qualité (AQ) qui comprend les étapes clés du cycle de vie de l’application que sont l’installation, l’activation, la mise à jour, la réparation, puis la désinstallation.

Ne pas tester ces étapes pourrait laisser les systèmes informatiques dans un état indésirable – à tout le moins, ce sera un état inconnu.

Problèmes connus

Chaque mois, Microsoft inclut une liste des problèmes connus liés au système d’exploitation et aux plates-formes concernées par ce cycle. Ce mois-ci, certains changements complexes doivent être pris en compte, notamment :

  • Après l’installation de cette mise à jour de juin, les appareils Windows qui utilisent certains GPU peuvent entraîner la fermeture inattendue d’applications ou provoquer des problèmes intermittents. Microsoft a publié des articles de la base de connaissances pour Windows 11 (KB5013943) et Windows 10, version 21H2, toutes les éditions (KB5013942). Aucune résolution pour ces problèmes signalés pour le moment.
  • Après l’installation de la mise à jour de ce mois-ci, certaines applications .NET Framework 3.5 peuvent rencontrer des problèmes ou ne pas s’ouvrir. Microsoft a déclaré que vous pouvez atténuer ce problème en réactivant .NET Framework 3.5 et Windows Communication Foundation dans les fonctionnalités Windows.

Comme vous le savez peut-être, Microsoft a publié un mise à jour hors bande (OOB) le mois dernier (le 19 mai). Cette mise à jour a affecté les principales fonctionnalités réseau suivantes basées sur Windows Server :

Les vulnérabilités de sécurité corrigées par cette mise à jour OOB n’affectent que les serveurs fonctionnant en tant que contrôleurs de domaine et les serveurs d’applications qui s’authentifient auprès des serveurs de contrôleur de domaine. Les plates-formes de bureau ne sont pas affectées. En raison de ce correctif antérieur, Microsoft a recommandé que la mise à jour de juin doit être installée sur tous les serveurs intermédiaires ou d’application qui transmettent d’abord les certificats d’authentification des clients authentifiés au contrôleur de domaine (DC). Installez ensuite cette mise à jour sur tous les ordinateurs de rôle DC. Ou pré-remplir CertificateMappingMethodsCertificateMappingMethods à 0x1F comme documenté dans le informations sur la clé de registre section de KB5014754 sur tous les DC. Supprimer le CertificateMappingMethodsCertificateMappingMethods paramètre de registre seulement après l’installation de la mise à jour du 14 juin sur tous les serveurs intermédiaires ou d’application et tous les DC.

Est-ce que tu a reçu sa? Je dois noter avec une certaine ironie que l’ensemble d’instructions le plus détaillé et spécifique à la commande que Microsoft ait jamais publié (jamais) est enfoui profondément, à mi-chemin dans un très long article technique. J’espère que tout le monde fait attention.

Révisions majeures

Bien que nous ayons moins de « nouveaux » correctifs publiés ce mois-ci, il y a beaucoup de correctifs mis à jour et nouvellement publiés des mois précédents, notamment :

  • CVE-2021-26414: contournement de la fonctionnalité de sécurité du serveur DCOM de Windows. Une fois les mises à jour de ce mois installées, RPC_C_AUTHN_LEVEL_PKT_INTEGRITY sur les serveurs DCOM sera activé par défaut. Les clients qui en ont besoin peuvent toujours le désactiver à l’aide de la clé de registre RequireIntegrityActivationAuthenticationLevel. Microsoft a publié KB5004442 pour vous aider avec les modifications de configuration requises.
  • CVE-2022-23267: Vulnérabilité de déni de service NET et Visual Studio. Il s’agit d’une mise à jour mineure des applications concernées (affectant désormais la plate-forme MAC). Aucune autre action requise.
  • CVE-2022-24513: Vulnérabilité d’élévation de privilèges dans Visual Studio. Il s’agit d’une mise à jour mineure de la liste des applications concernées (affectant désormais la plate-forme MAC). Aucune autre action requise.
  • CVE-2022-24527: Élévation de privilège Microsoft Endpoint Configuration Manager. Cette mise à jour majeure de ce patch est un peu en désordre. Ce correctif a été attribué par erreur au groupe de mise à jour de sécurité Windows. Microsoft a supprimé ce gestionnaire de points de terminaison du groupe Windows et a fourni les options suivantes pour accéder à ce correctif et l’installer :
  1. Mettez à niveau vers la branche actuelle de Configuration Manager, version 2203 (Build 5.00.9078), qui est disponible en tant que mise à jour dans la console. Voir Liste de contrôle pour l’installation de la mise à jour 2203 pour Configuration Manager pour plus d’informations.
  2. Appliquez le correctif. Les clients exécutant Microsoft Endpoint Configuration Manager, versions 1910 à 2111 qui ne sont pas en mesure d’installer Configuration Manager Update 2203 (Build 5.00.9078) peuvent télécharger et installer le correctif KB12819689.
  • CVE-2022-26832: Vulnérabilité de déni de service dans .NET Framework. Cette mise à jour inclut désormais la couverture des plates-formes concernées suivantes : Windows 10 version 1607, Windows Server 2016 et Windows Server 2016 (installation Server Core). Aucune autre action requise.
  • CVE-2022-30190: Outil de diagnostic de prise en charge de Microsoft Windows (MSDT) Vulnérabilité d’exécution de code à distance. Ce correctif est personnel – nous avons été affectés par ce problème avec des pics de performances massifs du serveur. Si vous rencontrez des problèmes avec MSDT, vous devez lire le MSRC Blog Publier, qui comprend des instructions détaillées sur les mises à jour et les mesures d’atténuation. Pour résoudre nos problèmes, nous avons dû désactiver le protocole URL MSDT, qui a ses propres problèmes.

Je pense que nous pouvons travailler en toute sécurité sur les mises à jour de Visual Studio, et les modifications de Endpoint Configuration Manager prendront un certain temps à mettre en œuvre, mais les deux modifications n’ont pas de profils de test significatifs. Les changements DCOM sont différents – ils sont difficiles à tester et nécessitent généralement qu’un propriétaire d’entreprise valide non seulement l’installation/l’instanciation des objets DCOM, mais aussi la logique métier et les résultats souhaités. Assurez-vous d’avoir une liste complète de toutes les applications qui ont des dépendances DCOM et de passer par un test de logique métier, ou vous pourriez avoir des surprises désagréables – avec des scénarios de dépannage très difficiles à déboguer.

Atténuations et solutions de contournement

Pour ce Patch Tuesday, Microsoft a publié une atténuation clé pour une vulnérabilité grave de Windows :

  • CVE-2022-30136: Vulnérabilité d’exécution de code à distance du système de fichiers réseau Windows. C’est la première fois que je vois cela, mais pour cette atténuation, Microsoft vous recommande fortement d’installer d’abord la mise à jour de mai 2022. Une fois cela fait, vous pouvez réduire votre surface d’attaque en désactivant NFSV4.1 avec la commande PowerShell suivante : « PS C:\Set-NfsServerConfiguration -EnableNFSV4 $false »

Cette modification nécessitera un redémarrage du serveur cible.

Chaque mois, nous décomposons le cycle de mise à jour en familles de produits (telles que définies par Microsoft) avec les regroupements de base suivants :

  • Navigateurs (Microsoft IE et Edge) ;
  • Microsoft Windows (bureau et serveur) ;
  • Microsoft Office;
  • Microsoft Exchange;
  • Plateformes de développement Microsoft (ASP.NET Core, .NET Core et Chakra Core);
  • Adobe (retraité ???, peut-être l’année prochaine).

Navigateurs

Nous constatons une tendance bienvenue de moins en moins de mises à jour critiques pour l’ensemble du portefeuille de navigateurs Microsoft. Pour ce cycle, Microsoft a publié cinq mises à jour au Chrome version d’Edge. Ils présentent tous un faible risque de déploiement et de résolution des vulnérabilités signalées suivantes :

Un facteur clé de cette tendance à la baisse des problèmes de sécurité liés aux navigateurs est le déclin et maintenant le retrait d’Internet Explorer (IE). IE n’est officiellement plus pris en charge depuis ce mois de juillet. L’avenir des navigateurs de Microsoft est Edge, selon Microsoft. Microsoft nous a fourni un aperçu vidéo de la retraite d’Internet Explorer. Ajoutez ces mises à jour de navigateur Chromium/Edge à votre calendrier de publication d’application standard.

les fenêtres

Avec 33 des 55 mises à jour du Patch Tuesday de ce mois-ci, la plate-forme Windows est au centre des préoccupations, en particulier compte tenu des mises à jour à faible risque et discrètes des navigateurs Microsoft, d’Office et des plates-formes de développement (.NET). Les mises à jour Windows couvrent une large base de fonctionnalités, notamment : NTFS, la mise en réseau Windows, les bibliothèques de codecs (médias) et les composants Hyper-V et Docker. Comme mentionné précédemment, les plus difficiles à tester et à dépanner seront les mises à jour du noyau et le sous-système de sécurité local (LSASS). Microsoft recommande un déploiement en anneau approche, qui fonctionnera bien pour les mises à jour de ce mois-ci, principalement en raison du nombre de changements d’infrastructure de base qui devraient être détectés lors des premiers tests. (Microsoft a publié une autre vidéo sur les changements apportés ce mois-ci à la plate-forme Windows 11, trouvé ici.)

Microsoft a corrigé le Windows largement exploité Follina MSDT vulnérabilité zero-day signalé comme CVE-2022-30190, qui compte tenu des trois autres mises à jour critiques (CVE-2022-30136, CVE-2022-3063 et CVE-2020-30139) conduit à une recommandation « Patch Now ».

Microsoft Office

Microsoft a publié sept mises à jour de la plate-forme Microsoft Office (SharePoint, Excel et la bibliothèque de base Office Core), toutes jugées importantes. Les mises à jour du serveur SharePoint présentent un risque relativement faible, mais nécessiteront un redémarrage du serveur. Nous étions d’abord inquiets de la CRE vulnérabilité dans Excel, mais après examen, il apparaît que le « distant » dans Remote Code Execution fait référence à l’emplacement de l’attaquant. Cette vulnérabilité Excel est davantage une vulnérabilité d’exécution de code arbitraire ; étant donné qu’il nécessite une interaction de l’utilisateur et un accès à un système cible local, il s’agit d’un risque très réduit. Ajoutez ces mises à jour Office discrètes à votre calendrier de déploiement de correctifs standard.

Serveur Microsoft Exchange

Nous avons un Mise à jour du serveur SQL ce mois-ci, mais aucune mise à jour Microsoft Exchange Server pour juin. C’est une bonne nouvelle.

Plateformes de développement Microsoft

Microsoft a publié un seul, à faible risque (CVE-2022-30184) mise à jour vers la plate-forme .NET et Visual Studio. Si vous utilisez un Mac (j’adore le Version Mac de Code), Microsoft vous recommande de mettre à jour vers Mac Visual Studio 2022 (toujours en avant-première) dès que possible. À partir de juillet (oui, le mois prochain), la version Mac de Visual Studio 2019 ne sera plus prise en charge. Et oui, perdre le support des correctifs le même mois que la sortie de la prochaine version est serré. Ajoutez cette mise à jour .NET unique à votre calendrier de publication de correctifs de développement standard.

Adobe (en fait, juste Reader)

Il n’y a pas de mises à jour Adobe Reader ou Acrobat pour ce cycle. Adobe a publié une bulletin de sécurité pour leurs autres applications (non liées à Acrobat ou PDF) – qui sont toutes classées au niveau 3 le plus bas par Adobe. Il y aura beaucoup de travail avec les imprimeurs dans les semaines à venir, c’est donc un soulagement bienvenu.

Copyright © 2022 IDG Communications, Inc.

Rate this post
Publicité
Article précédentCe jeu de science-fiction classique est gratuit sur PC pour une durée limitée
Article suivantRien ne dit qu’il ne lancera pas le téléphone (1) aux États-Unis
Berthe Lefurgey
Berthe Lefurgey
https://muckrack.com/berthe-lefurgey
Berthe Lefurgey est une journaliste chevronnée, passionnée par la technologie et l'innovation, qui fait actuellement ses armes en tant que rédactrice de premier plan pour TechTribune France. Avec une carrière de plus de dix ans dans le monde du journalisme technologique, Berthe s'est imposée comme une voix de confiance dans l'industrie. Pour en savoir plus sur elle, cliquez ici. Pour la contacter cliquez ici

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici