Les jours zéro critiques font du Patch Tuesday de septembre une version “Patch Now”

Avec 63 mises à jour affectant Windows, Microsoft Office et les plates-formes Visual Studio et .NET — et des rapports sur trois vulnérabilités exploitées publiquement (CVE-2022-37969, CVE-2022-34713, CVE-2021-40444) — la version Patch Tuesday de ce mois-ci obtient une priorité “Patch Now”. Les principaux domaines de test incluent l’impression, Microsoft Word et, en général, les désinstallations d’applications. (Les mises à jour de Microsoft Office, .NET et du navigateur peuvent être ajoutées à vos calendriers de publication standard.)

Vous pouvez trouver plus d’informations sur le risque de déploiement de ces mises à jour Patch Tuesday avec cette infographie utile.

Principaux scénarios de test

Compte tenu du grand nombre de modifications incluses dans le cycle de correctifs de septembre, j’ai divisé les scénarios de test en groupes à haut risque et à risque standard :

Risque élevé: Ces changements sont susceptibles d’inclure des changements de fonctionnalités, peuvent rendre obsolètes les fonctionnalités existantes et nécessiteront probablement la création de nouveaux plans de test :

• Testez ces mises à jour de fonctionnalités récemment publiées. Veuillez connecter un appareil photo ou un téléphone à votre PC et utiliser la fonction d’importation de photos pour importer des images et des vidéos.
• Des tests d’impression de base sont requis ce mois-ci en raison de changements de fonctionnalité dans le contrôleur de spouleur Windows.

Les mises à jour suivantes ne sont pas documentées en tant que modifications fonctionnelles, mais nécessitent tout de même un cycle de test complet :

• Microsoft Office : Effectuez des tests de base sur Word, PowerPoint et Excel en mettant l’accent sur SmartArt, les diagrammes et les fichiers hérités.
• Testez vos journaux d’erreurs Windows, car le Fichier journal commun Windows système a été mis à jour.
• Valider l’authentification du contrôleur de domaine et les services liés au domaine tels que Service géré par le groupe comptes. Incluez également les tests sur site et hors site.
• Des tests VPN de longue durée sont nécessaires, avec des cycles de test VPN qui doivent dépasser huit heures sur les serveurs et les ordinateurs de bureau. Remarque : vous devrez vous assurer que la fragmentation PKE est activée. Nous suggérons la commande PowerShell suivante : “HKLM:SYSTEMCurrentControlSetServicesRemoteAccessParametersIkev2” -Name EnableServerFragmentation -PropertyType DWORD -Value 1 -Force Restart-Service remoteaccess

En plus de ces modifications et des exigences de test, j’ai inclus certains des scénarios de test les plus difficiles pour cette mise à jour :

• Testez n’importe quelle application utilisant l’interface OLE DB et sqloledb.dll pour établir des connexions à la base de données. Ce processus nécessitera une évaluation de votre portefeuille d’applications, la recherche de dépendances sur les bibliothèques et composants SQL OLE et des tests ciblés sur les fonctionnalités de l’application qui utilisent ces fonctionnalités mises à jour.
• Les désinstallations d’applications nécessiteront des tests en raison des modifications apportées au Gestion des applications d’entreprise composant windows. Le grand défi ici est de tester qu’un package d’application a été entièrement désinstallé d’une machine, ce qui signifie que tous les fichiers, le registre, les services et les raccourcis ont été supprimés. Cela inclut tous les paramètres de première exécution et les données de configuration liées à l’application. Il s’agit d’une tâche difficile et chronophage qui nécessitera une certaine automatisation pour garantir des résultats cohérents.

Le test de ces fonctionnalités importantes et souvent mises à jour est désormais une réalité pour la plupart des services informatiques, nécessitant du temps dédié, des processus personnels et spécialisés pour garantir des résultats cohérents et reproductibles.

Problèmes connus

Chaque mois, Microsoft inclut une liste des problèmes connus liés au système d’exploitation et aux plateformes inclus dans ce cycle de mise à jour.

• Serveur Microsoft SharePoint : Flux de travail Nintex les clients doivent prendre des mesures supplémentaires après l’installation de cette mise à jour de sécurité pour s’assurer que les workflows peuvent être publiés et exécutés. Pour plus d’informations, veuillez consulter ce Document d’assistance Microsoft.
• Après l’installation KB5001342 ou version ultérieure, le service de cluster peut ne pas démarrer car un pilote de réseau de cluster est introuvable. Pour plus d’informations sur les erreurs spécifiques, la cause et la solution de contournement, consultez KB5003571.
• Certains utilisateurs d’entreprise peuvent encore rencontrer des problèmes avec les visionneuses XPS. UN réinstallation manuelle résoudra probablement le problème.

À partir de 12 h le samedi 10 septembre, le heure officielle au Chili avancé de 60 minutes conformément à l’annonce du 9 août par le gouvernement chilien d’un changement de fuseau horaire à l’heure d’été (DST). Cela a déplacé le changement d’heure d’été du 4 septembre au 10 septembre; la changement d’heure affectera les applications Windows, les horodatages, l’automatisation, les flux de travail et les tâches planifiées. (Les processus d’authentification qui reposent sur KerberosName peuvent également être affectés.)

Révisions majeures

Au 16 septembre, Microsoft n’avait publié aucune révision majeure de ses avis de sécurité.

Atténuations et solutions de contournement

Il existe quatre atténuations et solutions de contournement incluses dans cette version de Patch Tuesday, notamment :

Chaque mois, nous décomposons le cycle de mise à jour en familles de produits (telles que définies par Microsoft) avec les regroupements de base suivants :

• Navigateurs (Microsoft IE et Edge) ;
• Microsoft Windows (bureau et serveur) ;
• Microsoft Office;
• Microsoft Exchange;
• Plateformes de développement Microsoft ( ASP.NET Core, .NET Core et Chakra Core);
• Adobe (retraité ???, peut-être l’année prochaine).

Navigateurs

Microsoft a publié une seule mise à jour du navigateur Edge (CVE-2022-38012) qui a été évalué comme faible, même s’il pourrait conduire à un scénario d’exécution de code à distance en raison de sa chaîne d’exploitation difficile. De plus, il y a 15 mises à jour du projet Chromium. Légèrement désynchronisé avec Patch Tuesday, Microsoft a publié le 15 septembre la dernière version du canal Edge Stable qui contient un correctif pour CVE-2022-3075. Tu peux en savoir plus sur les notes de publication de cette mise à jour et peut en savoir plus sur les mises à jour de Chromium. Ajoutez ces mises à jour de navigateur discrètes à votre calendrier de publication standard.

Remarque : vous devrez déployer une mise à jour d’application distincte sur Edge — cela peut nécessiter un empaquetage, des tests et un déploiement d’application supplémentaires.

les fenêtres

Microsoft a résolu trois problèmes critiques (CVE-2022-34718, CVE-2022-34721 et CVE-2022-34722) et 50 problèmes jugés importants ce mois-ci. Il s’agit d’une autre mise à jour étendue qui couvre les principales fonctionnalités Windows suivantes :

• Mise en réseau Windows (DNS, TLS et la pile TCP/IP) ;
• Cryptographie (extensions IKE et Kerberos);
• Impression (encore);
• Microsoft OLE ;
• Bureau à distance (Gestionnaire de connexion et API).

Pour les utilisateurs de Windows 11, voici la mise à jour vidéo Windows 11 de ce mois-ci. Les trois mises à jour critiques ont toutes NIST notes de 9,8 (sur 10). Couplé aux trois vulnérabilités exploitées (CVE-2022-37969, CVE-2022-34713, CVE-2021-40444) ceux-ci font de la mise à jour Windows de ce mois-ci une version “Patch Now”.

Microsoft Office

Microsoft a publié sept correctifs de sécurité pour la plate-forme Office affectant Visio, PowerPoint, SharePoint et SharePoint Server. Les mises à jour Microsoft Visio et PowerPoint sont des déploiements discrets qui doivent être ajoutés à vos calendriers de mise à jour Office standard. Les mises à jour de SharePoint Server (CVE-2022-38008 et CVE-2022-37961) ne sont pas jugés critiques, mais ils pourraient conduire à un scénario d’exécution de code à distance (bien que difficile à exploiter). Nous vous recommandons d’ajouter ces deux mises à jour au calendrier de mise à jour de votre serveur, en notant que tous les serveurs SharePoint corrigés nécessiteront un redémarrage.

Serveur Microsoft Exchange

Heureusement pour nous (et tous les administrateurs informatiques), Microsoft n’a publié aucun avis de sécurité pour les produits Microsoft Exchange ce mois-ci.

Plateformes de développement Microsoft

Microsoft a publié trois mises à jour jugées importantes pour sa plate-forme d’outils de développement (CVE-2022-26929, CVE-2022-38013 et CVE-2022-38020) affectant Microsoft .NET et la plate-forme Visual Studio. Ces trois mises à jour présentent un risque de déploiement relativement faible et doivent être ajoutées à votre calendrier de publication standard pour les développeurs.

Adobe (vraiment juste Reader)

Adobe a publié six bulletins de sécurité affectant : Animate, Bridge, Illustrator, InCopy, InDesign et RoboHelp. Cependant, il n’y a eu aucune mise à jour d’Adobe Reader ou d’autres produits PDF connexes. Cela peut être dû au fait qu’Adobe s’est autrement engagé dans l’achat de Figma pour 20 milliards de dollars.