Les mises à jour du Patch Tuesday de mai rendent les correctifs urgents indispensables

Le Patch Tuesday de la semaine dernière a commencé avec 73 mises à jour, mais s'est terminé (jusqu'à présent) avec trois révisions et un ajout tardif (CVE-2022-30138) pour un total de 77 vulnérabilités corrigées ce mois-ci. Par rapport au large éventail de mises à jour publiées en avril, nous constatons une plus grande urgence dans la mise à jour de Windows, en particulier avec trois jours zéro et plusieurs failles très graves dans les domaines clés des serveurs et de l'authentification. L'échange nécessitera également de l'attention en raison de nouvelle technologie de mise à jour du serveur.

Il n'y a eu aucune mise à jour ce mois-ci pour les navigateurs Microsoft et Adobe Reader. Et Windows 10 20H2 (nous vous connaissions à peine) n’est désormais plus pris en charge.

Vous pouvez trouver plus d'informations sur les risques liés au déploiement de ces mises à jour du Patch Tuesday dans cette infographie utile, et le MSRC Center a publié un bon aperçu de la façon dont il gère les mises à jour de sécurité ici.

Principaux scénarios de test

Compte tenu du grand nombre de modifications incluses dans ce cycle de correctifs de mai, j'ai divisé les scénarios de test en groupes à haut risque et à risque standard :

Risque élevé: Ces changements incluront probablement des modifications de fonctionnalités, pourront rendre obsolètes les fonctions existantes et nécessiteront probablement la création de nouveaux plans de test :

• Testez les certificats CA de votre entreprise (nouveaux et renouvelés). Votre serveur de domaine KDC validera automatiquement les nouvelles extensions incluses dans cette mise à jour. Recherchez les validations échouées !
• Cette mise à jour inclut une modification des signatures des pilotes qui incluent désormais la vérification de l'horodatage ainsi que signatures d'authentification. Les pilotes signés devraient se charger. Les pilotes non signés ne devraient pas le faire. Vérifiez les tests de votre application pour détecter les échecs de chargement des pilotes. Incluez également des vérifications pour les EXE et DLL signés.

Les changements suivants ne sont pas documentés comme incluant des changements fonctionnels, mais nécessiteront toujours au moins "test de fumée» avant le déploiement général des correctifs de mai :

• Testez vos clients VPN lors de leur utilisation RRAS serveurs : incluent la connexion, la déconnexion (en utilisant tous les protocoles : PPP/PPTP/SSTP/IKEv2).
• Vérifiez que vos fichiers EMF s'ouvrent comme prévu.
• Testez votre carnet d'adresses Windows (WAB) dépendances de l'application.
• Testez BitLocker : démarrez/arrêtez vos machines avec BitLocker activé puis désactivé.
• Vérifiez que vos identifiants sont accessibles via VPN (voir Gestionnaire d'informations d'identification Microsoft).
• Testez votre Pilotes d'imprimante V4 (surtout avec l'arrivée tardive de CVE-2022-30138). 

Les tests de ce mois nécessiteront plusieurs redémarrages de vos ressources de test et devraient inclure à la fois des machines virtuelles et physiques (BIOS/UEFI).

Problèmes connus

Microsoft inclut une liste de problèmes connus qui affectent le système d'exploitation et les plates-formes incluses dans ce cycle de mise à jour :

• Après l'installation de la mise à jour de ce mois-ci, les appareils Windows qui utilisent certains GPU peuvent provoquer apps pour fermer de manière inattendue, ou générer un code d'exception (0xc0000094 dans le module d3d9on12.dll) dans apps utilisant Direct3D version 9. Microsoft a publié un KIR mise à jour de la stratégie de groupe pour résoudre ce problème avec les paramètres GPO suivants : Télécharger pour Windows 10, version 2004, Windows 10, version 20H2, Windows 10, version 21H1 et Windows 10, version 21H2.
• Après avoir installé les mises à jour publiées le 11 janvier 2022 ou une version ultérieure, apps qui utilisent Microsoft .NET Framework pour acquérir ou définir les informations de confiance de forêt Active Directory peuvent échouer ou générer une erreur de violation d'accès (0xc0000005). Il semble que les applications qui dépendent du API System.DirectoryServices sont affectés.

Microsoft a vraiment amélioré son jeu en discutant des correctifs et mises à jour récents pour cette version avec un mettre à jour les faits saillants Vidéo.

Révisions majeures

Bien qu'il y ait une liste de correctifs considérablement réduite ce mois-ci par rapport à avril, Microsoft a publié trois révisions, notamment :

• CVE-2022-1096: Chrome : CVE-2022-1096 Confusion de type dans la V8. Ce correctif de mars a été mis à jour pour inclure la prise en charge de la dernière version de Visual Studio (2022) afin de permettre le rendu mis à jour du contenu webview2. Aucune autre action est nécessaire.
• CVE-2022-24513: Vulnérabilité d’élévation de privilèges de Visual Studio. Ce correctif d'avril a été mis à jour pour inclure TOUTES les versions prises en charge de Visual Studio (15.9 à 17.1). Malheureusement, cette mise à jour peut nécessiter des tests d'application pour votre équipe de développement, car elle affecte la façon dont le contenu webview2 est rendu.
• CVE-2022-30138: Vulnérabilité d'élévation de privilèges du spouleur d'impression Windows. Il s’agit d’un changement uniquement informatif. Aucune autre action est nécessaire.

Atténuations et solutions de contournement

Pour le mois de mai, Microsoft a publié une atténuation clé pour une vulnérabilité grave du système de fichiers réseau Windows :

• CVE-2022-26937: Vulnérabilité d'exécution de code à distance du système de fichiers réseau Windows. Vous pouvez atténuer une attaque en désactivant NFSV2 ainsi que les NFSV3. La commande PowerShell suivante désactivera ces versions : « PS C:Set-NfsServerConfiguration -EnableNFSV2 $false -EnableNFSV3 $false ». Une fois fait. vous devrez redémarrer votre serveur NFS (ou de préférence redémarrer la machine). Et pour confirmer que le serveur NFS a été correctement mis à jour, utilisez la commande PowerShell « PS C:Get-NfsServerConfiguration ».

Chaque mois, nous décomposons le cycle de mise à jour en familles de produits (telles que définies par Microsoft) avec les regroupements de base suivants : 

• Navigateurs (Microsoft IE et Edge) ;
• Microsoft Windows (bureau et serveur) ;
• Microsoft Office
• Microsoft Exchange;
• Plateformes de développement Microsoft ( ASP.NET Core, .NET Core et Chakra Core);
• Adobe (retraité ???, peut-être l'année prochaine).

Navigateurs

Microsoft n'a publié aucune mise à jour de ses navigateurs hérités (IE) ou Chromium (Edge) ce mois-ci. Nous constatons une tendance à la baisse du nombre de problèmes critiques qui ont frappé Microsoft au cours de la dernière décennie. Mon sentiment est que le passage au projet Chromium a été un véritable « super plus-plus gagnant-gagnant » à la fois pour l’équipe de développement et les utilisateurs.

En parlant d'anciens navigateurs, nous devons nous préparer au retraite d'IE à venir mi-juin. Par « préparer », j’entends célébrer – après, bien sûr, que nous ayons assuré cet héritage. apps n'ont pas de dépendances explicites sur l'ancien moteur de rendu IE. Veuillez ajouter « Célébrez le retrait d'IE » au calendrier de déploiement de votre navigateur. Vos utilisateurs comprendront.

Windows

La plate-forme Windows reçoit ce mois-ci six mises à jour critiques et 56 correctifs jugés importants. Malheureusement, nous avons également trois exploits zero-day :

• CVE-2022-22713: Cette vulnérabilité révélée publiquement dans la plate-forme de virtualisation Hyper-V de Microsoft nécessitera qu'un attaquant réussisse à exploiter une condition de concurrence interne pour conduire à un scénario potentiel de déni de service. Il s'agit d'une vulnérabilité sérieuse, mais qui nécessite d'enchaîner plusieurs vulnérabilités pour réussir.
• CVE-2022-26925: À la fois divulgué publiquement et signalé comme exploité dans la nature, ce Problème d'authentification LSA est une réelle préoccupation. Il sera facile à mettre à jour, mais le profil de test est vaste, ce qui le rend difficile à déployer rapidement. En plus de tester l'authentification de votre domaine, assurez-vous que les fonctions de sauvegarde (et de restauration) fonctionnent comme prévu. Nous vous recommandons fortement de vérifier la dernière version Notes d'assistance Microsoft sur cette problème en cours.
• CVE-2022-29972: Cette vulnérabilité divulguée publiquement dans le Redshift ODBC Le pilote est assez spécifique aux applications Synapse. Mais si vous êtes exposé à l'un des Azure Synapse RBAC rôles, le déploiement de cette mise à jour est une priorité absolue.

En plus de ces problèmes Zero Day, trois autres problèmes requièrent votre attention :

• CVE-2022-26923: cette vulnérabilité dans l’authentification Active Directory n’est pas tout à fait »vermifuge" mais il est si facile à exploiter, je ne serais pas surpris de le voir activement attaqué soon. Une fois compromise, cette vulnérabilité donnera accès à l’intégralité de votre domaine. Les enjeux sont élevés avec celui-ci.
• CVE-2022-26937: Ce bug du système de fichiers réseau a une note de 9.8 – l'une des plus élevées signalées cette année. NFS n'est pas activé par défaut, mais si vous avez Linux ou Unix sur votre réseau, vous l'utilisez probablement. Corrigez ce problème, mais nous vous recommandons également de passer à NFSv4.1 as soon que possible.
• CVE-2022-30138: Ce patch a été publié après le Patch Tuesday. Ce problème de spouleur d'impression n'affecte que les anciens systèmes (Windows 8 et Server 2012) mais nécessitera des tests importants avant le déploiement. Il ne s'agit pas d'un problème de sécurité extrêmement critique, mais le risque de problèmes liés aux imprimantes est important. Prenez votre temps avant de déployer celui-ci.

Compte tenu du nombre d'exploits sérieux et des trois jours zéro en mai, ajoutez la mise à jour Windows de ce mois-ci à votre programme « Patch Now ».

Microsoft Office

Microsoft n'a publié que quatre mises à jour pour la plate-forme Microsoft Office (Excel, SharePoint), toutes jugées importantes. Toutes ces mises à jour sont difficiles à exploiter (nécessitant à la fois une interaction de l'utilisateur et un accès local au système cible) et n'affectent que les plateformes 32 bits. Ajoutez ces mises à jour Office discrètes et à faible risque à votre calendrier de publication standard.

Microsoft Exchange Server

Microsoft a publié une seule mise à jour pour Exchange Server (CVE-2022-21978) qui est jugé important et semble assez difficile à exploiter. Cette vulnérabilité d’élévation de privilèges nécessite un accès entièrement authentifié au serveur, et jusqu’à présent, aucun rapport de divulgation publique ou d’exploitation dans la nature n’a été signalé.

Plus important encore ce mois-ci, Microsoft a présenté un nouveau méthode pour mettre à jour les serveurs Microsoft Exchange qui comprend désormais :

• Fichier de correctif Windows Installer (.MSP), qui fonctionne mieux pour les installations automatisées.
• Programme d'installation auto-extractible et à élévation automatique (.exe), qui fonctionne mieux pour les installations manuelles.

Il s'agit d'une tentative de résoudre le problème des administrateurs Exchange mettant à jour leurs systèmes de serveur dans un contexte non-administrateur, ce qui entraîne un mauvais état du serveur. Le nouveau format EXE permet des installations en ligne de commande et une meilleure journalisation de l'installation. Microsoft a utilement publié l'exemple de ligne de commande EXE suivant :

« Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains »

Notez que Microsoft vous recommande de disposer de la variable d'environnement %Temp% avant d'utiliser le nouveau format d'installation EXE. Si vous suivez la nouvelle méthode d'utilisation du fichier EXE pour mettre à jour Exchange, n'oubliez pas que vous devrez toujours déployer (séparément) le fichier mensuel. SSU mise à jour pour garantir que vos serveurs sont à jour. Ajoutez cette mise à jour (ou EXE) à votre calendrier de publication standard, en vous assurant qu'un redémarrage complet est effectué lorsque toutes les mises à jour sont terminées.

Plateformes de développement Microsoft

Microsoft a publié cinq mises à jour jugées importantes et un seul correctif avec une note faible. Tous ces correctifs affectent Visual Studio et le framework .NET. Comme vous mettrez à jour vos instances Visual Studio pour corriger ces vulnérabilités signalées, nous vous recommandons de lire le Guide de mise à jour de Visual Studio avril.

Pour en savoir plus sur les problématiques spécifiques abordées du point de vue de la sécurité, le Publication de blog sur la mise à jour .NET de mai 2022 Sera utile. En notant que .NET 5.0 a maintenant atteint la fin du support et avant de passer à .NET 7, cela vaut peut-être la peine de vérifier une partie de la compatibilité ou "briser les changements» qui doivent être abordés. Ajoutez ces mises à jour à risque moyen à votre calendrier de mise à jour standard.

Adobe (vraiment juste Reader)

Je pensais que nous pourrions observer une tendance. Aucune mise à jour d'Adobe Reader pour ce mois-ci. Cela dit, Adobe a publié un certain nombre de mises à jour pour d'autres produits disponibles ici : APSB22-21. Voyons ce qui se passera en juin – peut-être pourrons-nous prendre notre retraite tous les deux Adobe Reader et IE.