Microsoft a résolu 80 nouveaux CVE ce mois-ci en plus de quatre CVE précédents, portant à 84 le nombre de problèmes de sécurité résolus dans la version Patch Tuesday de ce mois-ci.
Malheureusement, nous avons deux failles zero-day dans Outlook (CVE-2023-23397) et Windows (CVE-2023-24880) qui nécessitent une exigence de version « Patch Now » pour les mises à jour Windows et Microsoft Office. Comme c’était le cas le mois dernier, il n’y a pas eu d’autres mises à jour pour Microsoft Exchange Server ou Adobe Reader. Ce mois-ci, l’équipe de Préparation des applications a fourni une aide infographie qui décrit les risques associés à chacune des mises à jour de ce cycle.
Problèmes connus
Chaque mois, Microsoft inclut une liste des problèmes connus liés au système d’exploitation et aux plates-formes inclus dans le cycle de mise à jour.
- KB5022842: Après avoir installé KB5022842 sur Windows Server 2022 avec le démarrage sécurisé activé et redémarré deux fois, la machine virtuelle VMware n’a pas pu démarrer à l’aide du nouveau bootmgr. Ce problème est toujours à l’étude par Microsoft. Après l’installation de cette mise à jour, les applications WPF peuvent avoir un changement de comportement.
- Après avoir installé la mise à jour Windows de ce mois-ci sur les machines virtuelles (VM) invitées exécutant Windows Server 2022 sur certaines versions de VMware ESXi, Windows Server 2022 peut ne pas démarrer.
Microsoft travaille toujours sur un problème de performances réseau avec Windows 11 22H2. Les transferts de fichiers réseau volumineux (plusieurs gigaoctets) (et les transferts locaux potentiellement volumineux) sont affectés. Ce problème devrait principalement affecter les administrateurs informatiques.
Révisions majeures
Microsoft a publié ce mois-ci quatre révisions majeures couvrant :
- VE-2023-2156: Vulnérabilité d’exécution de code à distance du service d’intégration Microsoft SQL Server (extension VS).
- CVE-2022-41099: Titre : Vulnérabilité de contournement de la fonctionnalité de sécurité BitLocker.
- CVE-2023-21716: Vulnérabilité d’exécution de code à distance dans Microsoft Word.
- CVE-2023-21808 Vulnérabilité d’exécution de code à distance dans .NET et Visual Studio.
Toutes ces révisions étaient dues à la documentation et aux mises à jour logicielles étendues concernées. Aucune autre action est nécessaire.
Atténuations et solutions de contournement
Microsoft a publié les atténuations liées aux vulnérabilités suivantes pour la version de ce mois-ci :
- CVE-2023-23392: Vulnérabilité d’exécution de code à distance dans la pile de protocole HTTP. Une condition préalable pour qu’un serveur Windows 2022 soit vulnérable à ce problème de sécurité est que la liaison réseau ait HTTP/3 activé et que le serveur utilise des E/S mises en mémoire tampon. L’activation de HTTP/3 est discutée ici : Activation de la prise en charge HTTP/3 sur Windows Server 2022.
- CVE-2023-23397: Vulnérabilité d’élévation de privilèges dans Microsoft Outlook. Microsoft a publié deux atténuations pour ce grave problème de sécurité :
- Ajoutez des utilisateurs au groupe de sécurité des utilisateurs protégés, ce qui empêche l’utilisation de NTLM comme mécanisme d’authentification.
- Bloquez les sorties TCP 445/SMB de votre réseau à l’aide d’un pare-feu de périmètre, d’un pare-feu local et via vos paramètres VPN.
Guide de test
Chaque mois, l’équipe de Readiness analyse les mises à jour du Patch Tuesday et fournit des conseils de test détaillés et exploitables ; ces conseils sont basés sur l’évaluation d’un vaste portefeuille d’applications et sur une analyse détaillée des correctifs Microsoft et de leur impact potentiel sur les plates-formes Windows et les installations d’applications.
Compte tenu du grand nombre de changements inclus ce mois-ci, j’ai divisé les scénarios de test en groupes à haut risque et à risque standard.
Risque élevé
Microsoft a publié plusieurs modifications à haut risque dans la mise à jour de mars. Bien qu’ils ne conduisent pas à des changements de fonctionnalité, le profil de test pour chaque mise à jour devrait être obligatoire :
- Microsoft a mis à jour comment DCOM répond aux demandes à distance dans le cadre du récent effort de renforcement. Ce processus est en cours depuis juin 2021 (phase 1), avec une mise à jour en juin 2022 (phase 2) et maintenant ce mois-ci avec toutes les modifications mises en œuvre comme obligatoires. DCOM est un composant Windows de base utilisé pour communiquer entre des services ou des processus. Microsoft a indiqué que cela (et le déploiement complet des recommandations précédentes) entraînerait des problèmes de compatibilité au niveau de l’application. L’entreprise a offert un certain soutien sur qu’est-ce qui change et comment atténuer les problèmes de compatibilité à la suite de ces récents paramètres obligatoires.
- Une modification majeure du fichier système principal Win32kfull.sys a été incluse ce mois-ci sous la forme de deux fonctions (DrvPlgBlt et nf-wingdi-plgblt) ont été mis à jour. Microsoft a indiqué qu’il n’y avait aucune modification fonctionnelle de ces fonctions. Tester les applications qui dépendent de ces fonctions sera essentiel avant un déploiement complet des mises à jour de ce mois-ci.
Ces scénarios nécessitent des tests importants au niveau de l’application avant le déploiement général.
- Bluetooth : essayez d’ajouter et de supprimer de nouveaux appareils Bluetooth. Il serait fortement conseillé de stresser les périphériques réseau Bluetooth.
- Pile réseau Windows (TCPIP.SYS) : la navigation Web de base, les transferts de fichiers « normaux » et le streaming vidéo devraient suffire pour tester les modifications apportées à la pile réseau Windows.
- Hyper-V : Essayez de tester les machines virtuelles Gen1 et Gen2 (VM). Les deux types de machines doivent démarrer, s’arrêter, s’arrêter, s’arrêter et reprendre avec succès.
En plus de ces modifications, Microsoft a mis à jour une fonction de mémoire clé (D3DKMTCreateDCFromMemory) qui affecte deux pilotes Windows clés au niveau du système (win32kbase.sys et win32kfull.sys). Malheureusement, dans les mises à jour précédentes de ces pilotes, certains utilisateurs ont généré BSOD Erreurs SYSTEM_SERVICE_EXCEPTION. Microsoft a publié des informations sur la façon de gérer ces problèmes. J’espère que vous n’aurez pas à résoudre ce genre de problèmes ce mois-ci.
Mise à jour du cycle de vie de Windows
Cette section contient des modifications importantes concernant la maintenance (et la plupart des mises à jour de sécurité) des plates-formes de bureau et de serveur Windows au cours des prochains mois :
- Windows 10 Entreprise (et Éducation), Version 20H2 et Windows 10 IoT Entreprise et Windows Version 20H2 atteindront une date de fin de service le 9 mai 2023.
Chaque mois, nous décomposons le cycle de mise à jour en familles de produits (telles que définies par Microsoft) avec les regroupements de base suivants :
- Navigateurs (Microsoft IE et Edge).
- Microsoft Windows (bureau et serveur).
- Microsoft Office.
- Serveur Microsoft Exchange.
- Plateformes de développement Microsoft (ASP.NET Core, .NET Core et Chakra Core).
- Adobe (retraité ???, peut-être l’année prochaine).
Il y a eu 22 mises à jour pour mars (aucune jugée critique), dont 21 incluses dans le canal de publication de Google et une (CVE-2023-24892) de Microsoft. Toutes ces mises à jour sont des mises à jour faciles à déployer avec un risque de déploiement marginal à faible. Vous pouvez trouver la version de Microsoft de ces notes de version ici et le Notes de version de la chaîne Google Desktop ici. Ajoutez ces mises à jour à votre calendrier de publication de correctifs standard.
les fenêtres
Microsoft a publié 10 mises à jour critiques et 48 correctifs jugés importants pour la plate-forme Windows qui couvrent les composants clés suivants :
- Pilotes Postscript d’imprimante Microsoft.
- Service Bluetooth de Windows.
- Composants Windows Win32K et Core Graphics (GDI).
- Pile de protocole HTTP Windows et PPPoE.
Outre la récente modification de l’authentification DCOM (voir Durcissement DCOM) la plupart des mises à jour de ce mois-ci ont un profil de risque très faible. Nous avons une mise à jour mineure d’un sous-système d’impression (Postscript 6) et d’autres modifications de la gestion du réseau, du stockage et des composants graphiques. Malheureusement, nous avons un vrai problème zero-day avec Windows (CVE-2023-24880) Écran intelligent (alias Windows Defender) avec des rapports d’exploitation et une divulgation publique. Par conséquent, ajoutez ces mises à jour Windows à votre calendrier de publication « Patch Now ».
Microsoft Office
Microsoft a publié 11 mises à jour de la plate-forme Microsoft Office, dont une classée comme (super) critique et les mises à jour restantes jugées importantes et affectant uniquement Excel et SharePoint. Malheureusement, la mise à jour de Microsoft Outlook (CVE-2023-23397) devra être patché immédiatement. J’ai inclus les recommandations proposées par Microsoft dans notre section sur les mesures d’atténuation ci-dessus, notamment l’ajout d’utilisateurs à un groupe de sécurité plus élevé et le blocage des ports 445/SMB sur votre réseau. Compte tenu du faible risque de casser d’autres applications et de la facilité de déploiement de ce correctif, j’ai une autre idée : ajoutez ces mises à jour Office à votre calendrier de publication « Patch Now ».
Serveur Microsoft Exchange
Aucune mise à jour Microsoft Exchange requise ce mois-ci. Cela dit, il existe un problème particulièrement préoccupant avec Microsoft Outlook (CVE-2023-23397) qui suffira à tout administrateur de messagerie à gérer ce mois-ci.
Plateformes de développement Microsoft
Il s’agit d’un cycle de correctifs très léger pour les plates-formes de développement Microsoft avec seulement quatre mises à jour de Visual Studio (extensions GitHub) ce mois-ci. Toutes ces mises à jour sont considérées comme importantes par Microsoft et présentent un profil de risque de déploiement très faible. Ajoutez ces mises à jour à votre calendrier de publication standard pour les développeurs.
Adobe Reader (toujours là, mais pas ce mois-ci)
Nous observons peut-être une tendance ici car Adobe n’a publié aucune mise à jour pour Adobe Reader. Il est également intéressant de noter que c’est le premier mois sur neuf que Microsoft n’a publié aucune mise à jour critique de son système XPS, PDF ou d’impression. Ainsi, aucun test d’imprimante obligatoire n’est requis.
Copyright © 2023 IDG Communications, Inc.