Quatre jours zéro font du Patch Tuesday de juillet une mise à jour “correctif immédiat”

Avec la mise à jour Patch Tuesday de ce mois-ci, Microsoft a corrigé 130 vulnérabilités de sécurité, publié deux avis et inclus quatre révisions CVE majeures. Nous avons également quatre jours zéro à gérer pour Windows (CVE-2023-32046, CVE-2023-32049, CVE-2023-36874 et CVE-2023-36884), amenant la plate-forme Windows dans un calendrier “correctif immédiat”.

Il devrait être plus facile de se concentrer sur les tests Microsoft Office et Windows ce mois-ci, car nous n’avons pas de mises à jour Adobe, Exchange ou de navigateur. Assurez-vous d’examiner attentivement les Tempête 0978 car il fournit des conseils spécifiques et exploitables sur la gestion de la grave vulnérabilité HTML dans Microsoft Office (CVE-2022-38023).

Le Préparation l’équipe a conçu cette infographie utile pour décrire les risques associés à chacune des mises à jour.

Problèmes connus

Chaque mois, Microsoft répertorie les problèmes connus liés au système d’exploitation et aux plates-formes inclus dans le dernier cycle de mise à jour.

• Après avoir installé cette mise à jour sur des machines virtuelles invitées (VM) exécutant Windows Server 2022 sur certaines versions de VMware ESXi, Windows Server 2022 peut ne pas démarrer. Seules les machines virtuelles Windows Server 2022 avec Secure Boot activé sont affectées. Microsoft et VMware étudient le problème et offriront plus d’informations lorsqu’elles seront disponibles.

• En utilisant des packages d’approvisionnement sur Windows 11, la version 22H2 peut ne pas fonctionner comme prévu. Windows peut n’être que partiellement configuré et l’expérience prête à l’emploi peut ne pas se terminer ou redémarrer de manière inattendue.

Révisions majeures

Microsoft a publié deux révisions majeures :

• CVE-2022-37967: Vulnérabilité d’élévation de privilèges dans Windows Kerberos (4e mise à jour). Cette mise à jour supprime la possibilité de définir la valeur 1 pour le KrbtgtFullPacSignature sous-clé et activez le mode d’application (par défaut) (KrbtgtFullPacSignature = 3) qui peut être remplacé par un administrateur avec un paramètre d’audit explicite. Aucune action supplémentaire n’est requise si vous appliquez la mise à jour de ce mois-ci.
• CVE-2022-38023: Netlogon RPC Elevation of Privilege Vulnerability. Les mises à jour (précédentes) d’avril 2023 suppriment la possibilité de désactiver le scellement RPC en définir la valeur 0 sur la sous-clé de registre RequireSeal.

Atténuations et solutions de contournement

Microsoft a publié les atténuations suivantes liées aux vulnérabilités pour cette version :

• CVE-2023-32038: Vulnérabilité d’exécution de code à distance du pilote Microsoft ODBC. Microsoft recommande que si vous vous connectez uniquement à des serveurs connus et approuvés – et s’il n’est pas possible de reconfigurer les connexions existantes pour pointer vers un autre emplacement – cette vulnérabilité ne peut pas être exploitée.
• CVE-2023-36884: Vulnérabilité d’exécution de code à distance Office et Windows HTML (l’un des exploits zero-day de ce cycle). Microsoft note que si vous utilisez Microsoft Defender vous êtes protégé. Pour les professionnels plus cyniques/blasés/expérimentés, nous vous recommandons de lire (attentivement) le post Threat Intelligence (Tempête-0978).
• CVE-2023-35367, CVE-2023-35366 et CVE-2023-35365: Service de routage et d’accès à distance Windows (RRAS) Vulnérabilité d’exécution de code à distance. Si vous n’utilisez pas (et n’avez pas installé) les services de routage et d’accès à distance (RRAS) de Microsoft, vous n’êtes pas vulnérable à cet exploit.

Guide de test

Chaque mois, l’équipe de préparation fournit des conseils de test détaillés et exploitables pour les dernières mises à jour. Ces conseils sont basés sur l’évaluation d’un vaste portefeuille d’applications et sur une analyse détaillée des correctifs Microsoft et de leur impact potentiel sur les plates-formes Windows et les installations d’applications.

Si vous avez utilisé des serveurs Web ou d’applications internes, il vaut la peine de tester le Protocole HTTP3 – en particulier en utilisant Microsoft Edge. Outre cette mise à jour de la gestion des protocoles, Microsoft a apporté un nombre important de modifications et de mises à jour à la pile réseau nécessitant les tests suivants :

• Testez votre RRAS routeur avec UDPpingback et traceroute lors de l’ajout et de la suppression d’entrées de table de routage.
• Assurez-vous que vos serveurs de domaine se comportent comme prévu avec mode d’application complet activé.

Compte tenu du grand nombre de changements au niveau du système ce mois-ci, j’ai divisé les scénarios de test en profils standard et à haut risque.

Risque élevé

Étant donné que cette mise à jour comprend des correctifs pour quatre (certains disent cinq) failles zero-day, nous avons deux principaux moteurs de changement ce mois-ci : des changements de fonctionnalités clés dans les systèmes de base et un besoin urgent de fournir des mises à jour. Microsoft a documenté que deux domaines principaux ont été mis à jour avec des modifications de fonctionnalités importantes, notamment l’impression et la pile de réseau local (avec un accent sur le routage). Par conséquent, les tests suivants doivent être inclus avant le déploiement général :

• Impression : vérifiez vos imprimantes locales, car la gestion des pilotes clés a été mise à jour.
• Assurez-vous que votre Zones de serveur DNS fonctionnent toujours comme prévu après cette mise à jour

Risque standard

Les modifications suivantes ont été incluses ce mois-ci et n’ont pas été signalées comme présentant un risque élevé (avec des résultats inattendus) et n’incluent pas les modifications fonctionnelles.

• Windows Hello devra être testé pour inclure l’authentification unique (SSO) Active Directory (ainsi qu’Azure AD).
• Testez vos connexions de bureau à distance (RDP) avec et sans la passerelle RD de Microsoft et assurez-vous de voir le niveau correct d’avertissements de certificat (ou non, s’il a déjà été ignoré).
• (Pour les administrateurs informatiques) Testez vos journaux d’erreurs Windows (en vous concentrant sur les blocages de service) avec un test de création/lecture/mise à jour/suppression/extension (CRUDE).
• Testez votre cryptage et configuration cryptographique scénarios. Surtout Kerberos sur vos contrôleurs de domaine et l’isolation des clés.
• Testez vos sauvegardes. Vous n’avez pas à vous soucier de votre support de récupération cette fois.

Tous ces scénarios de test nécessiteront d’importants tests au niveau de l’application avant un déploiement général. Compte tenu des modifications incluses dans les correctifs de ce mois-ci, l’équipe de préparation recommande que les tests suivants soient effectués avant le déploiement général :

• Installez, mettez à jour et désinstallez votre gamme principale d’applications professionnelles.
• Vérifiez vos pilotes d’imprimante (locaux).
• Validez vos VBScripts et vos outils d’automatisation de l’interface utilisateur (car OLE a été mis à jour ce mois-ci, voir CComClassFactorySingleton).
• Testez le streaming audio/vidéo, puis Microsoft Teams (en raison de ses exigences de chargement/téléchargement et de mise en file d’attente des messages).

Ce mois-ci peut être un peu difficile pour tester votre automatisation/scripts Microsoft Office et l’intégration avec des applications tierces en raison du changement d’OLE et de la façon dont Microsoft a abordé CVE-2023-36884. Nous recommandons un test complet des macros Excel (si elles utilisent OLE/COM/DCOM) et de tous les scripts VBS qui incluent Word.

Mise à jour du cycle de vie de Windows

Voici les modifications importantes apportées à la maintenance (et à la plupart des mises à jour de sécurité) des plates-formes de bureau et de serveur Windows.

• Windows 11, version 21H2, arrivera en fin de service le 10 octobre 2023. Cela s’applique aux éditions suivantes publiées en octobre 2021 : Windows 11 Famille, Pro, Éducation, Pro pour stations de travail.

Chaque mois, nous décomposons le cycle de mise à jour en familles de produits (telles que définies par Microsoft) avec les regroupements de base suivants :

• Navigateurs (Microsoft IE et Edge) ;
• Microsoft Windows (bureau et serveur) ;
• Microsoft Office;
• Microsoft Exchange Server ;
• Plateformes de développement Microsoft (ASP.NET Core, .NET Core et Chakra Core) ;
• Et Adobe (retraité ???, peut-être l’année prochaine).

Navigateurs

Difficile à croire, mais il n’y a pas de mises à jour du navigateur dans ce cycle de mise à jour. Et nous ne voyons rien non plus dans le pipeline pour une version de milieu de cycle. Il s’agit d’un grand changement et d’une énorme amélioration par rapport à l’époque des mises à jour de navigateur importantes, complexes et urgentes. Allez Microsoft !

les fenêtres

Microsoft a publié huit mises à jour critiques et 95 correctifs jugés importants pour la plate-forme Windows, couvrant ces composants clés :

Comme mentionné dans la section Microsoft Office ci-dessus, nous pensons que ce mois-ci, l’accent devrait être mis sur la résolution immédiate de CVE-2023-36884. Bien que considéré comme important par Microsoft (désolé d’être à contre-courant), nous estimons que, puisqu’il a été à la fois divulgué publiquement et exploité, il doit être traité comme urgent. Couplé avec les autres zero-day de Windows (CVE-2023-32046) cela amène l’ensemble du groupe de mise à jour Windows dans le calendrier “Patch Now” pour nos clients. Une fois que les cris s’arrêtent, vous pouvez prendre le temps de vérifier le Version Windows 11 vidéo; nous trouvons cela apaisant.

Microsoft Office

Nous devons parler de Microsoft Office. Bien qu’il existe deux mises à jour critiques pour SharePoint (CVE-2023-33157 et CVE-2023-33160) et 14 mises à jour jugées importantes par Microsoft, l’éléphant dans la pièce est CVE-2023-36884 (Vulnérabilité Office et HTML RCE). Cette vulnérabilité a été à la fois divulguée publiquement et documentée comme étant exploitée. Officiellement, cette mise à jour appartient au groupe Windows, mais nous pensons que le véritable impact réside dans la manière dont Microsoft Office traite les données HTML (transmission/stockage/calcul). CVE-2023-36884 affecte directement Office et votre régime de test doit en tenir compte.

Ajoutez ces mises à jour Office à votre calendrier de publication standard, en notant que votre régime de test de correctifs Office devra être associé à votre calendrier de publication de mises à jour Windows.

Serveur Microsoft Exchange

À notre grande chance, il n’y a pas de mises à jour pour Microsoft Exchange Server ce mois-ci.

Plateformes de développement Microsoft

Par rapport aux exploits très sérieux (et nombreux) dans Office et Windows ce mois-ci, il n’y a que cinq mises à jour affectant Visual Studio, ASP.NET et un composant mineur de Mono (l’implémentation C# multiplateforme). Tous ces correctifs sont jugés importants par Microsoft et doivent être ajoutés à votre calendrier de publication standard pour les développeurs.

Adobe Reader (toujours là, mais pas ce mois-ci)

Autre bonne nouvelle : cette mise à jour ne contient aucune mise à jour d’Adobe ou d’autres fournisseurs tiers.