La mise à jour Patch Tuesday de Microsoft traite de 76 vulnérabilités qui affectent les outils de développement Windows, Exchange, Office et Microsoft — et trois vulnérabilités Windows (CVE-2023-21823, CVE-2023-21715 et CVE-2023-23376) ont été signalés comme étant exploités à l’état sauvage et nécessitent une attention immédiate.

Bien qu’il obtienne une note inférieure de Microsoft, les problèmes liés à Exchange justifient également une réponse rapide. Pendant ce temps, les mises à jour de Microsoft Office et de la plate-forme de développement peuvent être ajoutées à votre calendrier de publication régulier.

L’équipe à Préparation a fourni cette infographie qui décrit les risques associés à chacune des mises à jour dans la mise à jour de ce mois-ci.

Problèmes connus

Microsoft inclut une liste des problèmes connus liés au système d’exploitation et aux plates-formes dans les dernières mises à jour :

  • Les documents XPS qui utilisent des éléments structurels ou sémantiques tels que la structure des tableaux, les storyboards ou les hyperliens peuvent ne pas s’afficher correctement dans les lecteurs basés sur WPF. Pour résoudre ce problème, Microsoft a fourni un Script PowerShell où vous pouvez exécuter la commande : .\kb5022083-compat.ps1 -Install. Cette commande ajoute la clé de registre suivante : « HKLM\SOFTWARE\Microsoft\.NETFramework\Windows Presentation Foundation\XPSAllowedTypes » /v « DisableDec2022Patch » /t REG_SZ /d « * » /reg:64
  • La copie de fichiers volumineux de plusieurs gigaoctets peut prendre plus de temps que prévu pour se terminer dans Windows 11 version 22H2. Vous êtes plus susceptible de rencontrer ce problème en copiant des fichiers à partir d’un partage réseau via SMB (Server Message Block), mais la copie de fichiers locaux peut également être affectée.

Si vous utilisez toujours Windows Server 2012 de Microsoft pour l’authentification de domaine, vous pouvez rencontrer le problème connu suivant : les opérations de jointure de domaine peuvent échouer et l’erreur « 0xaac (2732) : NERR_AccountReuseBlockedByPolicy » se produit. De plus, un texte indiquant « Un compte portant le même nom existe dans Active Directory. La réutilisation du compte a été bloquée par la politique de sécurité » peut s’afficher. Microsoft a fourni des conseils supplémentaires (KB5020276) sur la gestion de cette question dans le cadre du UDE programme.

Publicité

Révisions majeures

Microsoft a publié trois révisions majeures ce mois-ci :

  • CVE-2023-21705 et CVE-2023-21713: Vulnérabilité d’exécution de code à distance dans Microsoft SQL Server. Ces révisions étendent la prise en charge des produits SQL hérités (ESU). Aucune autre action requise.
  • CVE-2023-21721: Vulnérabilité d’élévation des privilèges dans Microsoft OneNote. Il s’agit d’un changement d’information mineur — aucune action n’est nécessaire.

Atténuations et solutions de contournement

Microsoft a publié les atténuations liées aux vulnérabilités suivantes pour cette version :

  • CVE-2023-21804: Vulnérabilité d’élévation des privilèges du composant graphique Windows. Seuls les ordinateurs Windows sur lesquels la fonction d’écriture de documents XPS est installée sont vulnérables. Dans Windows 10, XPS Document Writer est installé par défaut ; dans Windows 11, ce n’est pas le cas.
  • CVE-2023-21803: Vulnérabilité d’exécution de code à distance du service de découverte Windows iSCSI. Par défaut, l’application client iSCSI Initiator est désactivée et ne peut pas être exploitée. Pour qu’un système soit vulnérable, l’application client iSCSI Initiator doit être activée.
  • CVE-2023-21713, CVE2023-21705: Vulnérabilité d’exécution de code à distance dans Microsoft SQL Server. Ceci n’est exploitable que si cette fonctionnalité facultative est activée et exécutée sur une instance SQL. (La fonctionnalité n’est pas disponible dans les instances Azure SQL.)
  • CVE-2023-21692, CVE-2023-21690 et CVE-2023-21689: Exécution de code à distance du protocole PEAP (Protected Extensible Authentication Protocol) de Microsoft. PEAP est uniquement négocié avec le client si NPS s’exécute sur le serveur Windows et dispose d’une stratégie réseau configurée qui autorise la vulnérabilité PEAP. En savoir plus sur la configuration de Microsoft PEAP ici.

Guide de test

Chaque mois, l’équipe de Readiness analyse les dernières mises à jour du Patch Tuesday et fournit des conseils de test détaillés et exploitables. Ceci est basé sur l’évaluation d’un large portefeuille d’applications et une analyse détaillée des correctifs Microsoft et de leur impact potentiel sur Windows et les installations d’applications.

Compte tenu du grand nombre de changements inclus ce mois-ci, j’ai décomposé les scénarios de test en groupes à haut risque et à risque standard :

Risque élevé

Comme tous les changements à haut risque affectent à nouveau le sous-système d’impression Windows ce mois-ci, nous n’avons vu aucun changement de fonctionnalité publié. Nous recommandons fortement les tests ci-dessous axés sur l’impression :

  • Le « MS Publisher Imagesetter » de Microsoft a été mis à jour de manière significative. Ce sont des pilotes intégrés qui ont maintenant plus de dix ans. Il y a eu des rapports de mauvaise qualité d’impression suite à l’utilisation de ces pilotes, une mise à jour était donc absolument nécessaire.
  • Testez l’impression avec Pilotes d’imprimante V3 en couleur et en noir/blanc. Vérifiez le contenu manquant.
  • Il y a eu une mise à jour sur la façon dont Windows gère les URL, en particulier lors de l’impression. Un rapide passage en revue de l’ouverture de pages Web faisant référence à Microsoft Word, PowerPoint et Excel, puis l’exécution d’un travail d’impression simple devrait mettre en évidence tous les problèmes.

Tous ces scénarios nécessiteront des tests importants au niveau de l’application avant un déploiement général de la mise à jour. De plus, nous suggérons un test général des fonctionnalités d’impression suivantes :

  • Les applications 32 bits nécessitant une impression sur des périphériques 64 bits doivent être testées. Faites attention à la sortie de l’application car cela peut générer des erreurs liées à la mémoire.
  • Testez vos systèmes de sauvegarde et assurez-vous que votre erreur et les journaux système associés apparaissent corrects.
  • Testez vos connexions VPN si vous utilisez le PEAP protocole. Ce protocole change fréquemment, nous vous recommandons de vous abonner au Microsoft RSS nourrir pour les changements futurs.
  • Testez vos connexions ODBC, votre base de données et vos commandes SQL.

Bien que vous n’ayez pas à effectuer de tests de transfert de fichiers volumineux ce mois-ci, nous vous recommandons vivement de tester des chemins UNC (très) longs à partir de différentes machines. Nous nous sommes concentrés sur les chemins réseau accédant à plusieurs machines sur différentes versions de Windows. En plus de ces scénarios, Microsoft a mis à jour le noyau du système et les composants graphiques de base (IDG). Certainement « test de fumée » vos applications principales ou sectorielles et faites attention aux applications gourmandes en ressources graphiques.

Compte tenu des changements rapides et des mises à jour fréquentes des applications (et de leurs dépendances) dans un portefeuille d’applications moderne, assurez-vous que vos systèmes désinstallent « proprement » les versions d’application précédentes. Laisser des applications héritées ou des composants restants pourrait exposer votre système à des vulnérabilités corrigées.

Mise à jour du cycle de vie de Windows

Cette section contient des modifications importantes concernant la maintenance (et la plupart des mises à jour de sécurité) des plates-formes de bureau et de serveur Windows. Avec Windows 10 21H2 désormais hors support standard, les applications Microsoft suivantes atteindront la fin du support ou de la maintenance standard en 2023 :

  • Visio Services dans SharePoint (dans Microsoft 365) — 10 février 2023 (retiré) ;
  • Microsoft Endpoint Configuration Manager, version 2107 — 2 février 2023 (fin de service).

Chaque mois, nous décomposons le cycle de mise à jour en familles de produits (telles que définies par Microsoft) avec les regroupements de base suivants :

  • Navigateurs (Microsoft IE et Edge).
  • Microsoft Windows (bureau et serveur).
  • Microsoft Office.
  • Serveur Microsoft Exchange.
  • Plateformes de développement Microsoft ( ASP.NET Core, .NET Core et Chakra Core).
  • Adobe (retraité ???, peut-être l’année prochaine).

Navigateurs

Microsoft a publié trois mises à jour de son navigateur (Chromium) Edge : CVE-2023-21794, CVE-2023-23374 et CVE-2023-21720 . Vous pouvez trouver la version de Microsoft de ces notes de version ici et le Notes de version de la chaîne Google Desktop ici. Il n’y a pas eu d’autres mises à jour du navigateur Microsoft (ou des moteurs de rendu) ce mois-ci. Ajoutez ces mises à jour à votre calendrier de publication de correctifs standard.

les fenêtres

Microsoft a publié quatre mises à jour critiques et 32 ​​correctifs « importants » pour la plate-forme Windows qui couvrent les composants clés suivants :

  • Pilote d’imprimante Microsoft PostScript (avec mises à jour de FAX et SCAN);
  • Pilote Windows ODBC, OLE, WDAC ;
  • Pilote du système de fichiers journaux commun Windows ;
  • et Services de chiffrement Windows et Kerberos.

Alors que Microsoft PEAP vulnérabilités du code distant d’authentification (CVE-2023-21689 et CVE2023-21690) sont les plus inquiétantes, les mises à jour restantes qui affectent uniquement Windows ne sont pas aussi dangereuses que nous l’avons vu dans le passé. Malheureusement, trois vulnérabilités Windows (CVE-2023-21823, CVE-2023-21715 et CVE-2023-23376) ont été signalés comme exploités à l’état sauvage. Par conséquent, ajoutez cette mise à jour à votre calendrier de publication « Patch Now ».

Microsoft Office

Microsoft a publié un correctif corrigeant une vulnérabilité critique (CVE-2023-21706) dans Microsoft Word pouvant entraîner l’exécution de code à distance. Il existe cinq autres mises à jour pour la plate-forme Office (y compris SharePoint), toutes jugées importantes. Nous n’avons eu aucun rapport d’exploits dans la nature pour le problème critique de Word, nous vous recommandons donc d’ajouter ces mises à jour Office à votre calendrier de publication standard.

Serveur Microsoft Exchange

Nous allons devoir enfreindre certaines règles ce mois-ci. Microsoft a publié quatre correctifs pour Microsoft Exchange Server (CVE-2023-21706, CVE-2023-21707, CVE-2023-21529, CVE-2023-21710) qui sont tous jugés importants. Malheureusement, CVE-2023-21529 pourrait conduire à l’exécution de code à distance et pourrait vraiment être classé comme une vulnérabilité critique.

Cette vulnérabilité ne nécessite aucune interaction de l’utilisateur, est accessible via des systèmes distants et ne nécessite pas de privilèges locaux sur le système local. Toutes les versions prises en charge d’Exchange sont vulnérables. Nous voyons des rapports d’échange attaques de crypto-minage déjà. Nous allons ajouter CVE-2023-21529 à notre calendrier « Patch Now ».

Plateformes de développement Microsoft

Microsoft a publié trois mises à jour critiques affectant Visual Studio et .NET (CVE-2023-21808, CVE-2023-21815 et CVE-2023-23381) qui pourrait conduire à l’exécution de code arbitraire. Lors de l’examen initial, il semble que ceux-ci étaient accessibles à distance, ce qui augmente considérablement les risques, mais ces vulnérabilités liées aux développeurs nécessitent toutes un accès local. Couplé à cinq autres vulnérabilités d’élévation des privilèges affectant également Microsoft Visual Studio (toutes jugées importantes), nous ne voyons pas d’exigence de correctif urgente. Ajoutez ces mises à jour à votre calendrier de publication standard pour les développeurs.

Adobe Reader (toujours là, mais pas ce mois-ci)

Aucune mise à jour d’Adobe pour Reader ou Acrobat ce mois-ci. Cela dit, Adobe a publié un certain nombre de mises à jour de sécurité pour ses autres produits avec APSB23-02. Je pense que nous avons assez d’impression et quelques Microsoft Problèmes XPS à tester et à déployer pour nous occuper.

Copyright © 2023 IDG Communications, Inc.

Rate this post
Publicité
Article précédentFly Geyser, la merveille arc-en-ciel du désert du Nevada
Article suivantLes classiques de l’anime comme Sailor Moon et Naruto sont désormais gratuits sur YouTube
Berthe Lefurgey
Berthe Lefurgey est une journaliste chevronnée, passionnée par la technologie et l'innovation, qui fait actuellement ses armes en tant que rédactrice de premier plan pour TechTribune France. Avec une carrière de plus de dix ans dans le monde du journalisme technologique, Berthe s'est imposée comme une voix de confiance dans l'industrie. Pour en savoir plus sur elle, cliquez ici. Pour la contacter cliquez ici

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici