La mise à jour du Patch Tuesday de ce mois-ci est importante pour plusieurs raisons. Avec 67 vulnérabilités uniques résolues, six problèmes signalés publiquement et un déjà exploité, les mises à jour de ce mois-ci restent pâles par rapport à traiter le problème de Log4j. (Heureusement, il n’y a pas de mises à jour du navigateur ou de Microsoft Exchange et des modifications minimes à Microsoft Office.)
Nous avons ajouté les mises à jour Windows et les mises à jour Visual Studio à nos recommandations de cycle de publication « Patch Now », tandis que les mises à jour Office sont reléguées à une cadence de publication normale. Vous pouvez trouver plus d’informations sur le risque de déploiement de ces mises à jour Patch Tuesday dans cette infographie.
Scénarios de test clés
Aucun changement à haut risque n’a été signalé sur la plate-forme Windows ce mois-ci. Cependant, il y a un changement fonctionnel signalé et une fonctionnalité supplémentaire. Voici nos recommandations de test de haut niveau :
- Testez l’impression locale. Testez l’impression à distance et testez l’impression via RDP.
- Testez la lecture ou le traitement des fichiers ETL et des fichiers WMF volumineux.
- Testez les connexions VPN nouvelles et existantes. Incluez un test de VPN de site à site.
- Testez les scénarios de noms courts NTFS et les transferts de fichiers volumineux.
Problèmes connus
Chaque mois, Microsoft inclut une liste de problèmes connus liés au système d’exploitation et aux plates-formes incluses dans ce cycle de mise à jour. J’ai référencé quelques problèmes clés liés aux dernières versions, notamment :
- Après l’installation des mises à jour publiées le 22 avril 2021 ou une version ultérieure, un problème se produit et affecte les versions de Windows Server utilisées comme hôte des services de gestion de clés (KMS). Les appareils clients exécutant Windows 10 Entreprise LTSC 2019 et Windows 10 Entreprise LTSC 2016 peuvent ne pas s’activer. Ces problèmes n’affecteront pas l’activation de Windows. Microsoft étudie actuellement le problème.
- Après l’installation de cette mise à jour, lors de la connexion à des appareils dans un domaine non approuvé à l’aide du Bureau à distance, les connexions peuvent ne pas s’authentifier lors de l’utilisation de l’authentification par carte à puce. Ce problème est résolu à l’aide de la restauration des problèmes connus (KIR), qui peut être implémentée avec les fichiers d’installation de stratégie de groupe suivants :
L’un des meilleurs moyens de voir s’il existe des problèmes connus qui pourraient affecter votre plate-forme cible est de vérifier les nombreuses options de configuration pour télécharger les données de correctif sur le Guide de mise à jour de sécurité Microsoft ou la page de résumé de la mise à jour de sécurité de ce mois-ci.
Révisions majeures
Microsoft a publié quatre mises à jour à titre informatif (mises à jour de la documentation et de la FAQ), notamment : CVE-2021-43236, CVE-2021-43883, CVE-2021-43893, CVE-2021-43905. En outre, Microsoft a publié plusieurs mises à jour majeures des correctifs précédents, notamment :
- CVE-2019-0887, CVE-2020-0655 et CVE-2021-1669: Ces mises à jour RCE du service de bureau à distance ont reçu un avis de révision majeure en raison d’une mise à jour de la table système affectée. Windows 11 est affecté par ces problèmes de sécurité et ce correctif s’applique en conséquence.
- CVE-2021-24084: l’étendue des systèmes concernés a été mise à jour pour tous les systèmes Windows pris en charge.
En raison de la portée plus large de ces correctifs, vous ne les avez peut-être pas téléchargés et appliqués en novembre. Ce mois-ci, les quatre mises à jour seront incluses dans le cycle de correctifs (bien que leurs dates puissent refléter une date de sortie en novembre).
Atténuations et solutions de contournement
Ce mois-ci, une seule vulnérabilité signalée comprend à la fois des solutions d’atténuation et des solutions de contournement documentées :
- CVE-2021-43890: Microsoft a publié un ensemble complet de solutions de contournement pour cette vulnérabilité d’usurpation d’identité AppX. À l’aide des stratégies GPO BlockNonAdminUserInstall et AllowAllTrustedAppToInstall, il est possible de réduire la surface des attaques de chargement latéral sur le programme d’installation AppX. Microsoft a publié un document d’instructions détaillé sur la définition des stratégies GPO pour AppX (et maintenant MSIX).
Chaque mois, nous décomposons le cycle de mise à jour en familles de produits (telles que définies par Microsoft) avec les regroupements de base suivants :
- Navigateurs (Microsoft IE et Edge) ;
- Microsoft Windows (à la fois bureau et serveur) ;
- Microsoft Office;
- Microsoft Exchange;
- Plateformes de développement Microsoft ( ASP.NET Core, .NET Core et Chakra Core);
- Et Adobe. (Retraité ? Peut-être l’année prochaine.)
Ce mois-ci, le Projet Chrome a publié 16 mises à jour pour le navigateur Microsoft Edge. Nous voyons vraiment une tendance ici, sans mise à jour des navigateurs hérités de Microsoft. Ces mises à jour font très probablement partie d’un processus de mise à jour automatique pour votre environnement de bureau, car ces mises à jour ne seront pas déployées via Microsoft Update.
Vous pouvez en savoir plus dans le Blog sur la version Chrome et les détails de sécurité sur le Page de sécurité de Chrome. Compte tenu de la nature d’Edge (pas complètement intégré au système d’exploitation), il y a très peu d’erreurs de compatibilité ou d’intégration attendues avec cette version. Ajoutez ces mises à jour Chrome à votre calendrier de publication des mises à jour régulières.
les fenêtres
Décembre apporte une mise à jour modérée à Windows avec 36 mises à jour ; trois sont considérés comme critiques par Microsoft et les 33 autres comme importants. Normalement, nous nous concentrerions sur les correctifs critiques. Mais ce mois-ci, il est plus approprié de se concentrer sur les vulnérabilités divulguées et exploitées publiquement, notamment :
Ce mois-ci, nous avons « seulement » une vulnérabilité signalée comme exploitée à l’état sauvage, avec une attaque d’usurpation de chargement latéral sur le composant d’installation de Microsoft AppX (CVE-2021-43890). Heureusement, il s’agit d’une attaque complexe qui nécessite l’intervention de l’utilisateur et Microsoft a confirmé un correctif officiel pour ce problème. Compte tenu de l’accent mis sur les mises à jour des composants principaux du système (NTFS, programme d’installation et impression), nous avons inclus quelques recommandations de test :
- Effectuez des tests sur le serveur et le bureau pour envoyer/recevoir un trafic important. Concentrez-vous sur des fichiers singuliers et très volumineux.
- Testez vos fichiers .WMF (en raison de la mise à jour du codec) et toutes les applications D3D graphiquement intensives.
- Testez diverses conditions de trafic réseau, en particulier avec les transferts de données volumineux, en particulier SMB, les systèmes de fichiers cryptés et les partages distants.
- Installez, mettez à jour et désinstallez vos applications principales dans un environnement de test. Assurez-vous que toutes les désinstallations sont propres.
- Testez votre impression, en particulier l’impression à distance et l’impression via RDP.
- Toutes les applications qui utilisent TLS/SSL doivent subir un « test de fumée » de base.
Et à propos de ce problème Log4j ? Patcher le système d’exploitation n’est pas suffisant pour protéger votre environnement. Nous recommandons fortement une analyse immédiate de votre portefeuille d’applications pour les dépendances JAVA et les références aux composants Log4j. L’actualité de cette semaine sur les problèmes de Log4j n’est qu’un début. Attendez-vous à des attaques industrialisées à grande échelle au cours de la période de Noël et de la nouvelle année. Ça va être mauvais. Ça va être salissant.
Ajoutez ces mises à jour Windows à votre calendrier « Patch Now » et mettez-vous au travail pour réduire la surface d’attaque de votre application.
Microsoft Office
Microsoft a publié neuf correctifs pour Office, tous jugés importants. Toutes les versions de SharePoint et Access sont concernées, tout comme les versions 2016 et 2019 de Word. Il n’y a pas de vecteurs d’attaque du volet de prévisualisation ce mois-ci, et toutes les vulnérabilités signalées nécessitent une interaction de l’utilisateur. Ajoutez ces mises à jour Microsoft Office à votre calendrier de publication de correctifs habituel.
Serveur Microsoft Exchange
Le problème Log4j est peut-être le charbon dans votre stock, mais Microsoft nous a offert un sursis de toutes les mises à jour de Microsoft Exchange ce mois-ci. Ainsi, vous pouvez accorder plus d’attention à d’autres choses, comme Noël. Ou Log4j. Tu choisis.
Plateformes de développement Microsoft
Microsoft a publié ce mois-ci sept mises à jour de ses plates-formes de développement (une critique et les autres considérées comme importantes) qui affectent Visual Studio, PowerShell et le ASP.NET/.NET cadre. Le patch unique classé critique (CVE-2021-43907) se rapporte à l’extension WSL populaire ; s’il n’est pas corrigé, cela pourrait conduire à un scénario d’exécution de code à distance. C’est un problème assez grave qui affectera tous les utilisateurs de WSL. Malheureusement, le profil de test sera assez volumineux avec des exigences de test pour le serveur COM .NET et les expressions REGEX.
Nous vous suggérons d’ajouter cette mise à jour de Visual Studio à votre calendrier « Patch Now » et de référencer également les mises à jour supplémentaires (et distinctes) liées à .NET publié sur le blog Microsoft Dev.
Adobe (vraiment juste Reader)
Ce mois-ci, Microsoft n’a publié aucune mise à jour d’Adobe Reader. Je continue de penser que je peux retirer cette section, mais nous continuons à recevoir des mises à jour périodiques d’Adobe ou des mises à jour d’impression critiques pour les fichiers PDF. Voyons ce qui se passe en 2022.
Et si vous êtes arrivé jusqu’ici…
En raison des opérations minimales pendant les vacances et les prochaines vacances du nouvel an, Microsoft ne publiera pas de version préliminaire (connue sous le nom de version « C ») pour décembre. La maintenance mensuelle normale pour les versions Microsoft B et C reprendra en janvier. Windows 10, version 2004 a atteint la fin de la maintenance à partir de cette version. Le mois prochain, nous verrons probablement une mise à jour du protocole TLS pour Windows Server 2008 avec prise en charge de TLS 1.2.
Copyright © 2021 IDG Communications, Inc.