La version Patch Tuesday de cette semaine était énorme, diversifiée, risquée et urgente, avec des arrivées tardives de mises à jour pour les navigateurs Microsoft (CVE-2022-1364) et deux vulnérabilités zero-day affectant Windows (CVE-2022-26809 et CVE-2022-24500). Heureusement, Microsoft n’a publié aucun correctif pour Microsoft Exchange, mais ce mois-ci, nous devons faire face à davantage de vulnérabilités liées à l’impression Adobe (PDF) et aux efforts de test associés. Nous avons ajouté les mises à jour Windows et Adobe à notre calendrier « Patch Now », et nous surveillerons de près ce qui se passera avec les autres mises à jour de Microsoft Office.
Pour rappel, Windows 10 1909/20H2 (Home et Pro) atteindra leur date de fin de service le 10 mai. Et si vous cherchez un moyen simple de mettre à jour vos composants .NET basés sur serveur, Microsoft a maintenant Mises à jour automatiques .NET pour les serveurs. Vous pouvez trouver plus d’informations sur le risque de déploiement de ces mises à jour Patch Tuesday dans cette infographie utile.
Principaux scénarios de test
Compte tenu de ce que nous savons jusqu’à présent, trois modifications à haut risque ont été signalées dans la version du correctif de ce mois-ci, notamment :
- Mises à jour de l’imprimante vers le composant SPOOL, qui peuvent affecter l’impression des pages à partir des navigateurs et des images graphiquement denses.
- Une mise à jour réseau des canaux nommés pouvant entraîner des problèmes avec les services de bureau à distance de Microsoft.
Plus généralement, compte tenu du grand nombre et de la diversité des changements pour le cycle de ce mois-ci, nous vous recommandons de tester les domaines suivants :
- Testez vos opérations DNS Zone et Server Scope si elles sont utilisées sur vos serveurs locaux (DNS Manager) ;
- Testez l’impression de PDF à partir de vos navigateurs (de bureau et de serveur) ;
- Testez votre FAX (Château n’importe qui?) et téléphone (téléphonie) applications basées sur ;
- Et installez, réparez et désinstallez vos packages d’application principaux (cela devrait probablement être automatisé, avec des données de base pour une analyse détaillée).
Microsoft a mis à jour un certain nombre d’API, y compris les fichiers clés et les composants du noyau (FindNextFile, FindFirstStream et FindNextStream). Compte tenu de l’omniprésence de ces appels d’API courants, nous vous suggérons de créer un test de résistance du serveur qui utilise des charges de fichiers locales très lourdes et de porter une attention particulière à la mise à jour de Windows Installer qui nécessite à la fois des tests d’installation et de désinstallation. La validation des routines de désinstallation des applications n’est plus à la mode ces derniers temps en raison des améliorations apportées au déploiement des applications, mais il convient de garder à l’esprit ce qui suit lorsque des applications sont supprimées d’un système :
- L’application se désinstalle-t-elle ? (Fichiers, registre, raccourcis, services et paramètres d’environnement) ;
- Le processus de désinstallation supprime-t-il des composants des applications ou des ressources partagées ?
- Des ressources clés (pilotes système) ont-elles été supprimées et d’autres applications ont-elles des dépendances partagées ?
J’ai trouvé que conserver les journaux du programme d’installation de désinstallation d’applications et comparer (espérons-le les mêmes) les informations entre les mises à jour est probablement la seule méthode précise – « regarder » un système nettoyé n’est pas suffisant. Et enfin, étant donné les modifications apportées au noyau dans cette mise à jour, testez (test de fumée) vos applications héritées. Microsoft a maintenant inclus exigences de déploiement et de redémarrage sur une seule page.
Problèmes connus
Chaque mois, Microsoft inclut une liste des problèmes connus liés au système d’exploitation et aux plates-formes inclus dans le dernier cycle de mise à jour. Il y en a plus que d’habitude ce mois-ci, j’ai donc fait référence à quelques problèmes clés liés aux dernières versions de Microsoft, notamment :
- Après avoir installé les mises à jour Windows publiées le 11 janvier 2022 ou une version ultérieure sur une version affectée de Windows, les disques de récupération (CD ou DVD) créés à l’aide du Sauvegarde et restauration (Windows 7) app dans le Panneau de configuration peut ne pas pouvoir démarrer.
- Après l’installation de cette mise à jour Windows, la connexion à des appareils dans un domaine non approuvé à l’aide du Bureau à distance peut échouer lors de l’authentification lors de l’utilisation de l’authentification par carte à puce. Vous pouvez recevoir l’invite « Vos informations d’identification n’ont pas fonctionné. Les informations d’identification qui ont été utilisées pour se connecter à [device name] n’a pas fonctionné. Veuillez entrer de nouvelles informations d’identification » et « La tentative de connexion a échoué » en rouge. Ce problème est résolu en utilisant Restauration des problèmes connus (KIR) à l’aide des fichiers d’installation de stratégie de groupe : Serveur Windows 2022, Windows 10, version 2004, Windows 10, version 20H2, Windows 10, version 21H1 et Windows 10, version 21H2.
- Après l’installation des mises à jour publiées le 11 janvier 2022 ou une version ultérieure, les applications qui utilisent Microsoft .NET Framework pour acquérir ou définir les informations d’approbation de la forêt Active Directory peuvent rencontrer des problèmes. Pour résoudre ce problème manuellement, appliquez ces mises à jour hors bande Microsoft .NET.
- Certaines organisations ont signalé des problèmes de couplage et de connectivité Bluetooth. Si vous utilisez Windows 10 21H2 ou une version ultérieure, Microsoft est conscient de la situation et travaille sur une résolution.
- Le service Microsoft Exchange échoue après l’installation de la mise à jour de sécurité de mars 2022. Pour plus d’informations, veuillez consulter :
Pour plus d’informations sur les problèmes connus, veuillez visiter le Version d’intégrité de Windows site.
Révisions majeures
Ce mois-ci, nous voyons deux révisions majeures des mises à jour qui ont été publiées précédemment :
- CVE-2022-8927: Vulnérabilité de débordement de la mémoire tampon de la bibliothèque Brotli: Ce correctif, publié le mois dernier, a été soulevé comme une préoccupation sur la façon dont Internet Explorer gérerait les modifications apportées aux fichiers compressés tels que CSS et les scripts personnalisés. Cette dernière mise à jour augmente simplement le nombre de produits concernés et inclut désormais Visual Studio 2022. Aucune autre modification n’a été apportée et aucune autre action n’est donc requise.
- CVE-2021-43877 | ASP.NET Vulnérabilité d’élévation des privilèges dans Core et Visual Studio : il s’agit d’une autre mise à jour du « produit concerné » qui inclut également la couverture de Visual Studio 2022. Aucune autre action n’est requise.
Atténuations et solutions de contournement
Il s’agit d’une mise à jour importante pour un Patch Tuesday, nous avons donc constaté un nombre plus important que prévu d’atténuations documentées pour les produits et composants Microsoft, notamment :
- CVE-2022-26919: Vulnérabilité d’exécution de code à distance dans Windows LDAP — Microsoft a proposé l’atténuation suivante : « Pour que cette vulnérabilité soit exploitable, un administrateur doit augmenter le paramètre LDAP MaxReceiveBuffer par défaut.
- CVE-2022-26815: Vulnérabilité d’exécution de code à distance du serveur DNS Windows. Ce problème ne s’applique que lorsque les mises à jour DNS dynamiques sont activées.
Et pour les vulnérabilités signalées suivantes, Microsoft recommande de « bloquer le port 445 au niveau du pare-feu de périmètre ».
- CVE-2022-26809: Vulnérabilité d’exécution de code à distance lors de l’exécution des appels de procédure à distance.
- CVE-2022-26830: Vulnérabilité d’exécution de code à distance DiskUsage.exe
- CVE-2022-24541: Vulnérabilité d’exécution de code à distance du service Windows Server
- CVE-2022-24534: Vulnérabilité d’exécution de code à distance dans l’énumération de flux Win32
Tu peux en savoir plus ici sur la sécurisation de ces vulnérabilités et de vos réseaux SMB.
Chaque mois, nous décomposons le cycle de mise à jour en familles de produits (telles que définies par Microsoft) avec les regroupements de base suivants :
- Navigateurs (Microsoft IE et Edge)
- Microsoft Windows (bureau et serveur)
- Microsoft Office
- Microsoft Exchange
- Plateformes de développement Microsoft (ASP.NET Core, .NET Core et Chakra Core)
- Adobe (retraité ???, peut-être l’année prochaine)
Navigateurs
Il n’y a eu aucune mise à jour critique des navigateurs de Microsoft. Il y a eu 17 mises à jour du navigateur Edge du projet Chromium, qui, compte tenu de la façon dont elles ont été mises en œuvre, devraient avoir un effet marginal, voire nul, sur les déploiements en entreprise. Toutes ces mises à jour ont été publiées la semaine dernière dans le cadre du cycle de mise à jour de Chromium. Cependant, il semble que nous verrons un autre ensemble de mises à jour critiques/d’urgence de Chrome avec des rapports de CVE-2022-1364 exploité à l’état sauvage. Ce sera la troisième série de mises à jour d’urgence cette année.
Si votre équipe informatique constate un grand nombre de plantages inattendus du navigateurvous pouvez être vulnérable à ce problème très grave problème de confusion de type dans le moteur JavaScript V8. Microsoft n’a publié aucune mise à jour ce mois-ci pour ses autres navigateurs. C’est donc le bon moment pour vous assurer que vos pratiques de gestion des modifications d’urgence sont en place pour prendre en charge les modifications importantes et très rapides apportées aux principaux composants de bureau (tels que les mises à jour du navigateur).
les fenêtres
Ce Patch Tuesday a livré un grand nombre de mises à jour de la plateforme Windows. Avec plus de 117 correctifs signalés (maintenant 119) couvrant les composants clés des plates-formes de bureau et de serveur, notamment :
- Hyper-V
- Mise en réseau Windows (SMB).
- Installateur Windows.
- Journal commun Windows (encore).
- Bureau à distance (encore, et encore).
- Impression Windows (oh non, pas encore).
Avec tous ces correctifs variés, cette mise à jour comporte un profil de test diversifié et, malheureusement, avec les récents rapports de CVE-2022-26809 et CVE-2022-24500 exploité à l’état sauvage, un sentiment d’urgence. En plus de ces deux exploits zero-day capables de ver, Microsoft a recommandé des atténuations immédiates (blocage des ports réseau) contre cinq vulnérabilités signalées. Nous avons également été informés que pour la plupart des grandes organisations, le test du programme d’installation de Windows (installation, réparation et désinstallation) est recommandé pour les applications principales, augmentant encore une partie de l’effort technique requis avant le déploiement général de ces correctifs. Et, oui, l’impression va être un problème. Nous vous suggérons de vous concentrer sur l’impression de fichiers PDF volumineux via des connexions distantes (VPN) comme un bon début pour votre régime de test.
Ajoutez cette grande mise à jour Windows à votre calendrier de publication « Patch Now ».
Microsoft Office
Bien que Microsoft ait publié cinq mises à jour pour la plate-forme Office (toutes jugées importantes), il s’agit en réalité d’une « mise à jour de la version d’Excel » avec CVE-2022-24473 et CVE-2022-26901 traiter l’exécution potentielle de code arbitraire (AS) questions. Il s’agit de deux problèmes de sécurité graves qui, lorsqu’ils sont associés à une vulnérabilité d’élévation de privilèges, conduisent à un scénario de « cliquer pour posséder ». Nous nous attendons à ce que cette vulnérabilité soit signalée comme exploitée à l’état sauvage dans les prochains jours. Ajoutez ces mises à jour Microsoft Office à votre calendrier de publication de correctifs standard.
Serveur Microsoft Exchange
Heureusement pour nous, Microsoft n’a publié aucune mise à jour pour Exchange Server ce mois-ci. Cela dit, le retour des problèmes d’Adobe PDF devrait nous occuper.
Plateformes de développement Microsoft
Pour ce cycle, Microsoft a publié six mises à jour (toutes jugées importantes) de sa plate-forme de développement affectant Visual Studio, GitHub et .NET Framework. Visual Studio (CVE-2022-24513 et CVE-2022-26921) et le GitHub (CVE-2022-24765, CVE-2022-24767) sont spécifiques à l’application et doivent être déployées sous forme de mises à jour spécifiques à l’application. Cependant, le correctif .NET (CVE-2022-26832) affecte toutes les versions .NET actuellement prises en charge et sera probablement fourni avec les dernières mises à jour de qualité Microsoft .NET (lire en savoir plus sur ces mises à jour ici). Nous recommandons de déployer le Mises à jour de qualité .NET du 22 avril avec les correctifs de ce mois-ci pour réduire votre temps de test et vos efforts de déploiement.
Adobe (vraiment juste Reader)
Bon, bon, bon… qu’est-ce qu’on a ici ? Adobe Reader est de retour ce mois-ci avec l’impression PDF causant plus de maux de tête aux utilisateurs de Windows. Pour ce mois-ci, Adobe a publié APSB22-16, qui corrige plus de 62 vulnérabilités critiques dans la façon dont Adobe Reader et Acrobat gèrent les problèmes de mémoire (voir Utiliser après Gratuit) lors de la génération de fichiers PDF. Presque tous ces problèmes de sécurité signalés pourraient entraîner l’exécution de code à distance sur le système cible. De plus, ces problèmes liés au PDF sont liés à plusieurs problèmes d’impression Windows (de bureau et de serveur) résolus ce mois-ci par Microsoft.
Ajoutez cette mise à jour à votre calendrier de publication « Patch Now ».
Copyright © 2022 IDG Communications, Inc.