Microsoft corrige deux jours zéro avec la version Patch Tuesday

Microsoft a publié mardi 73 mises à jour dans sa version mensuelle du Patch Tuesday, résolvant des problèmes dans Microsoft Exchange Server et Adobe et deux failles zero-day activement exploitées dans Microsoft Outlook (CVE-2024-21410) et Microsoft Exchange (CVE-2024-21413).

Y compris les rapports récents selon lesquels la vulnérabilité Windows SmartScreen (CVE-2024-21351) est en cours d’exploitation active, nous avons ajouté des programmes « Patch Now » à Microsoft Office, Windows et Exchange Server. L’équipe à Préparation a fourni ceci infographie détaillée décrivant les risques associés à chacune des mises à jour de ce cycle.

Problèmes connus

Microsoft publie chaque mois une liste des problèmes connus liés au système d’exploitation et aux plates-formes incluses.

• Les appareils Windows utilisant plusieurs moniteurs peuvent (encore) rencontrer des problèmes avec les icônes du bureau se déplaçant de manière inattendue entre les moniteurs ou d’autres problèmes d’alignement des icônes lors de la tentative d’utilisation de Windows Copilot. Microsoft travaille toujours sur ce problème.
• Après avoir installé KB5034129, les navigateurs Internet basés sur Chrome tels que Microsoft Edge peuvent ne pas s’ouvrir correctement. Les navigateurs concernés peuvent afficher un écran blanc et ne plus répondre lorsqu’ils sont ouverts. (Il s’agit probablement d’un problème affectant principalement les développeurs utilisant plusieurs navigateurs sur le même système.) Microsoft travaille sur un correctif. Nous attendons une mise à jour dans la prochaine mise à jour Edge.

Il existe un problème important avec la version actuelle de Microsoft Exchange Server, qui est détaillé ci-dessous dans la section Exchange Server.

Révisions majeures

Nous avons vu trois vagues de révisions de vulnérabilités CVE de la part de Microsoft (jusqu’à présent) ce mois-ci – ce qui en soi est inhabituel – d’autant plus que le volume de mises à jour en si peu de temps. Cela dit, toutes les révisions étaient dues à des erreurs dans le processus de publication ; aucune action supplémentaire n’est requise dans les cas suivants :

• CVE-2021-43890: Vulnérabilité d’usurpation d’identité du programme d’installation de Windows AppX. Microsoft a mis à jour la FAQ et ajouté des informations clarifiantes à l’atténuation. Il s’agit d’un changement informatif uniquement.
• CVE-2023-36019: Vulnérabilité d’usurpation d’identité du connecteur Microsoft Power Platform. Mise à jour de l’atténuation pour informer les clients avec les Connecteurs OAuth 2.0 que les connecteurs doivent être mis à jour pour utiliser une URL de redirection par connecteur d’ici le 29 mars. Il s’agit d’un changement informatif uniquement.
• CVE-2024-0056, CVE-2024-0057, CVE-2024-0057, CVE-2024-20677 et CVE-2024-21312: Ceux-ci ont été mis à jour pour résoudre les problèmes de liens rompus. Aucune autre action requise.

Contrairement à la documentation actuelle de Microsoft, il existe deux révisions qui faire nécessitent une attention particulière : CVE-2024-21410 et CVE-2024-21413. Les deux vulnérabilités signalées sont des mises à jour critiques du « volet de prévisualisation » de Microsoft qui affectent Microsoft Outlook et Exchange Server. Bien que le Centre de réponse de sécurité Microsoft (MSRC) affirme que ces vulnérabilités ne sont pas exploitées activement, il existe plusieurs rapports publiés de exploitation active.

Remarque : il s’agit d’une combinaison sérieuse de problèmes de sécurité avec Microsoft Exchange et Outlook.

Atténuations et solutions de contournement

Microsoft a publié les atténuations suivantes liées aux vulnérabilités pour le cycle de publication de ce mois-ci :

Nous avons placé le paramètre GPO AllowAllTrustedAppToInstall entre guillemets, car nous ne pensons pas qu’il existe (ou que la documentation a été supprimée/supprimée). Cela peut être (un autre) problème de documentation.

Chaque mois, l’équipe de Préparation fournit des conseils de test détaillés et exploitables basés sur l’évaluation d’un large portefeuille d’applications et une analyse détaillée des correctifs Microsoft et de leur impact potentiel sur les plates-formes Windows et les installations d’applications. Pour cette version de février, nous avons regroupé les mises à jour critiques et les efforts de tests requis par domaines fonctionnels, notamment :

Sécurité

• AppLocker : testez les fonctionnalités de base d’AppLocker, y compris le déploiement de stratégies AppLocker.
• Le lancement sécurisé a été mis à jour. Les administrateurs peuvent s’assurer que Secure Launch fonctionne via l’utilitaire MicrosoftEXE.

La mise en réseau

• DNS a été mis à jour pour toutes les plates-formes Windows, y compris les modifications apportées à RRSIG et CLÉ DNS (utilisé pour décrypter/valider les enregistrements de hachage). Microsoft a proposé des conseils sur la sécurisation/validation des réponses DNS pour Windows Server ici et fourni une syntaxe et des exemples pour tester les résolutions de requêtes DNS.
• Les clients RPC pour les applications internes nécessiteront un cycle de test complet de bout en bout.
• Les raccourcis Internet ont été mis à jour et nécessiteront des tests sur des sources en ligne fiables et non fiables.
• Partage de connexion Internet (SCI) nécessitera également des tests exécutés sur les machines hôtes et clientes.

Développeurs et outils de développement

• Microsoft a mis à jour le composant principal Microsoft Message Queue (MSMQ) qui affectera les services Message Queue, son service de routage associé et le proxy DCOM. Les tests doivent inclure la navigation en ligne et le streaming vidéo/audio pour toute application concernée.
• SQL OLEDB a été mis à jour, obligeant les administrateurs de bases de données à vérifier leurs connexions à la base de données et leurs commandes SQL de base.

Microsoft Office

• En raison des modifications apportées à Adobe Reader et au format de fichier PDF ce mois-ci, les utilisateurs de Microsoft Word doivent inclure un test pour ouvrir, enregistrer et imprimer des fichiers PDF.
• Les utilisateurs d’Outlook doivent tester l’ouverture des éléments de courrier et de calendrier avec un test supplémentaire d’ouverture d’un fichier de données Outlook de sauvegarde.

De plus, ce mois-ci, Microsoft a ajouté une nouvelle fonctionnalité à l’offre Microsoft .NET CORE avec SignalR. Microsoft explique :

« ASP.NET SignalR est une bibliothèque destinée aux développeurs ASP.NET qui simplifie le processus d’ajout de fonctionnalités Web en temps réel aux applications. La fonctionnalité Web en temps réel est la possibilité de permettre au code du serveur de transmettre instantanément le contenu aux clients connectés dès qu’il devient disponible, plutôt que de laisser le serveur attendre qu’un client demande de nouvelles données.

Vous pouvez trouver de la documentation pour démarrer avec SignalR ici.

Les tests automatisés seront utiles dans ces scénarios (en particulier une plate-forme de test qui propose un « delta » ou une comparaison entre les versions). Cependant, pour les applications métiers, obtenir le propriétaire de l’application (en faisant UAT) pour tester et approuver les résultats reste indispensable.

Mise à jour du cycle de vie Windows

Cette section contient des modifications importantes concernant la maintenance (et la plupart des mises à jour de sécurité) sur les plates-formes de bureau et de serveur Windows.

Chaque mois, nous décomposons le cycle de mise à jour en familles de produits (tels que définis par Microsoft) avec les regroupements de base suivants :

• Navigateurs (Microsoft IE et Edge) ;
• Microsoft Windows (ordinateur de bureau et serveur) ;
• Microsoft Office;
• Serveur Microsoft Exchange ;
• Plateformes de développement Microsoft (NET Core, .NET Core et Chakra Core) ;
• Adobe (ou, si vous arrivez jusqu’ici).

Navigateurs

Microsoft a publié trois mises à jour mineures pour Edge basé sur Chromium (CVE-2024-1283, CVE-2024-1284et CVE-2024-1059) et mis à jour les vulnérabilités signalées suivantes :

• CVE-2024-1060: Chromium : CVE-2024-1060 Utilisation gratuite dans Canvas
• CVE-2024-1077: Chromium : CVE-2024-1077 Utilisation gratuite en réseau
• CVE-2024-21399: Vulnérabilité d’exécution de code à distance dans Microsoft Edge (basé sur Chromium)

Toutes ces mises à jour devraient avoir un impact mineur à négligeable sur les applications qui intègrent et fonctionnent sur Chromium. Ajoutez-les à votre calendrier de publication de correctifs standard.

les fenêtres

Microsoft a publié deux mises à jour critiques (CVE-2024-21357 et CVE-2024-20684) et 41 correctifs jugés importants pour Windows qui couvrent les composants suivants :

• Fournisseur Windows ActiveX et WDAC OLE DB ;
• Windows Defender;
• Partage de connexion Internet Windows ;
• Windows Hyper-V ;
• Noyau Windows.

Le vrai souci ce mois-ci, c’est le Windows SmartScreen (CVE-2024-21351), qui aurait été exploitée à l’état sauvage. En raison de l’émergence rapide de cette menace, ajoutez cette mise à jour à votre calendrier de publication de Windows « Patch Now ».

Microsoft Office

Microsoft a publié une seule mise à jour critique (CVE-2024-21413) et sept correctifs jugés importants pour la suite de productivité Microsoft Office. Le véritable souci concerne les anciennes versions de Microsoft Office (2016 notamment). Si vous exécutez ces anciennes versions, vous devrez ajouter ces mises à jour à votre planification Patch Now.

Toutes les versions modernes de Microsoft Office peuvent ajouter ces mises à jour de février à leur calendrier de publication standard.

Serveur Microsoft Exchange

Microsoft a publié une seule mise à jour pour le serveur Microsoft Exchange, avec CVE-2024-21410 jugé critique. Cette mise à jour nécessitera un redémarrage du ou des serveurs cibles. De plus, Microsoft a offert ce conseil lors de la mise à jour de vos serveurs :

« Lorsque Setup.exe est utilisé pour exécuter /PrepareAD, /PrepareSchema ou /PrepareDomain, le programme d’installation signale que la protection étendue a été configurée par le programme d’installation et affiche le message d’erreur suivant : « Le programme d’installation d’Exchange a activé la protection étendue sur tous les répertoires virtuels. sur cette machine.'”

Microsoft propose une « Protection étendue » sous la forme d’une série de documents et scripts pour vous aider à sécuriser votre serveur Exchange. De plus, Microsoft a publié Atténuation des attaques Pass the Hash (PtH) et autres vols d’informations d’identification, versions 1 et 2 pour aider à gérer le service d’attaque de cette grave vulnérabilité. Ajoutez-le à votre programme « Patch Now ».

Plateformes de développement Microsoft

Microsoft a publié trois mises à jour (CVE-2024-20667, CVE-2024-21386 et CVE-2024-21404) affectant la plateforme .NET ainsi que Visual Studio 2022. Ces mises à jour devraient avoir un impact minimal sur les déploiements d’applications. Ajoutez-les à votre calendrier de publication standard pour les développeurs.

Adobe Reader (si vous arrivez jusqu’ici)

Les mises à jour d’Adobe Reader sont de retour ce mois-ci (année) avec la sortie de APSB 24-07, une mise à jour de priorité trois pour Adobe Reader et Reader DC. Adobe note que cette vulnérabilité pourrait entraîner l’exécution de code à distance, un déni de service et des fuites de mémoire. Il y a aussi quelques problèmes de désinstallation documentés avec Adobe Reader, ce qui pourrait entraîner des problèmes de déploiement. Tout cela suffit pour ajouter cet Adobe à notre planning « Patch Now ».

Copyright © 2024 IDG Communications, Inc.

2024-02-16 23:55:00
1708307865


#Microsoft #corrige #deux #jours #zéro #avec #version #Patch #Tuesday