La mise à jour Microsoft Patch Tuesday de ce mois corrige 84 failles et un jour zéro affectant Microsoft Exchange qui, pour le moment, restent non résolus. Les mises à jour Windows se concentrent sur les composants de sécurité et de réseau de Microsoft avec une mise à jour difficile à tester pour COM et OLE db. Et les navigateurs de Microsoft reçoivent 18 mises à jour, rien de critique ou d'urgent.
Cela laisse l'accent ce mois-ci sur Microsoft Exchange et la mise en œuvre d'efforts d'atténuation, plutôt que sur les mises à jour du serveur, pour la semaine prochaine. Vous pouvez trouver plus d’informations sur les risques liés à la mise en œuvre de ces mises à jour du Patch Tuesday dans cette infographie.
Microsoft continue d'améliorer ses rapports de vulnérabilité et ses notifications avec un nouveau flux RSS, et Adobe a emboîté le pas en améliorant les rapports et la documentation des versions. Pour rappel, le support de Windows 10 21H1 prend fin en décembre.
Principaux scénarios de test
Compte tenu du grand nombre de changements inclus ce mois-ci, j'ai divisé les cas de test en groupes à risque élevé et à risque standard :
Risque élevé: Pour le mois d'octobre, Microsoft n'a enregistré aucune modification de fonctionnalité à haut risque. Cela signifie que vous n’avez apporté aucune modification majeure aux API principales ou aux fonctionnalités des composants ou applications principaux inclus dans les écosystèmes de postes de travail et de serveurs Windows.
Plus généralement, compte tenu de la nature étendue de cette mise à jour (Office et Windows), nous vous suggérons de tester les fonctionnalités et composants Windows suivants :
- Une mise à jour GDI (GDIPLUS.DLL) nécessite des tests EMF, des fichiers palette 16 bits et 32 bits (ouverture, impression et création).
- Microsoft Desktop Application Manager a été mis à jour et nécessitera à la fois le provisionnement et le déprovisionnement des applications (installation d'essai et désinstallation requises).
- Le système Windows CLFS a été mis à jour pour nécessiter un court test de création, de lecture, de mise à jour et de suppression de fichiers journaux.
En plus de ces changements et exigences de test, j'ai inclus certains des scénarios de test les plus difficiles :
- OLE DB : le vénérable Microsoft OLE DB a été mis à jour et nécessite que toutes les applications qui dépendent de SQL Server 2012 ou ADO.NET soient entièrement testées avant leur déploiement. Ce composant Microsoft COM (OLE DB) sépare les données de la logique de l'application via un ensemble de connexions qui accèdent à la source de données, aux sessions, aux commandes SQL et aux données d'ensemble de lignes.
- Informations d'identification itinérantes, clés de chiffrement et certificats : pour plus d'informations sur l'itinérance des informations d'identification, consultez l'article de Jim Tierney de Microsoft et cette excellente introduction à l'itinérance des informations d'identification.
- Connexions VPN cryptées : Microsoft a mis à jour les composants IKEv2 et L2TP/IPsec ce mois-ci. Les tests avec connexions à distance devraient prendre plus de huit heures. Si vous rencontrez des problèmes avec cette mise à jour, Microsoft a publié un guide de dépannage VPN L2TP/IPSec.
Sauf indication contraire, nous devons désormais supposer que chaque mise à jour du Patch Tuesday nécessitera de tester les fonctions d'impression de base, notamment :
- impression à partir d'imprimantes directement connectées ;
- travaux d'impression volumineux provenant de serveurs (surtout s'ils sont également des contrôleurs de domaine) ;
- impression à distance (en utilisant RDP et VPN).
Problèmes connus
Chaque mois, Microsoft inclut une liste des problèmes connus liés au système d'exploitation et aux plates-formes incluses dans ce cycle de mise à jour.
- Les appareils avec des installations Windows créées à partir d'un support hors ligne personnalisé ou d'une image ISO personnalisée peuvent voir Microsoft Edge Legacy supprimé par cette mise à jour, mais pas automatiquement remplacé par le nouveau Microsoft Edge. La résolution de ce problème nécessitera une installation complète/nouvelle de Microsoft Edge.
- Microsoft SharePoint : cette mise à jour peut affecter certains scénarios de flux de travail SharePoint 2010. Elle génère également des balises d'événement « 6ksbk » dans les journaux SharePoint Unified Logging System (ULS).
Un problème signalé avec la dernière mise à jour Microsoft Servicing Stack (SSU) KB5018410 est que les préférences de stratégie de groupe peuvent échouer. Microsoft travaille sur une solution ; Entre-temps, l’entreprise a publié les mesures d’atténuation suivantes :
S'il s'agit d'un caractère générique
est utilisé à l'emplacement ou à la destination, la suppression du "" final (barre oblique inverse, sans guillemets) de la destination peut permettre à la copie de réussir. Révisions importantes
Jusqu'à présent, Microsoft n'a publié aucune révision majeure de ses avis de sécurité.
- Atténuation et solutions de contournement
- Il existe deux atténuations et quatre solutions de contournement pour ce Patch Tuesday d'octobre, notamment :
CVE-2022-41803 : élévation du code Visual Studio. Microsoft a publié un correctif rapide pour cette vulnérabilité de sécurité qui dit : « Créez un dossier C:ProgramDatajupyterkernels et configurez-le pour qu'il soit accessible en écriture uniquement par l'utilisateur actuel. »
CVE-2022-22041 : élévation du spouleur d'impression Windows. La solution de contournement publiée par Microsoft pour gérer cette vulnérabilité consiste à arrêter le service de spouleur d'impression sur la machine cible à l'aide des commandes PowerShell suivantes : "Stop-Service -Name Spooler -Force et Set-Service -Name Spooler -StartupType Disabled". Cela arrêtera la file d'attente d'impression locale sur la machine et tous les services d'impression utilisés par ce système.
- Microsoft a également noté que pour les vulnérabilités réseau signalées suivantes, ces systèmes ne sont pas affectés si IPv6 est désactivé et peuvent être atténués avec la commande PowerShell suivante : « Get-Service Ikeext : »
- Chaque mois, nous décomposons le cycle de publication en familles de produits (telles que définies par Microsoft) avec les regroupements de base suivants :
- Navigateurs (Microsoft IE et Edge);
- Microsoft Windows (bureau et serveur);
- Microsoft Office;
- Microsoft Exchange;
Plateformes de développement Microsoft (ASP.NET Core, .NET Core et Chakra Core);
Adobe (retraité ???, peut-être l'année prochaine).
navigateurs
Microsoft a publié 18 mises à jour pour Edge (Chromium). Seul CVE-2022-41035 s'applique spécifiquement au navigateur, tandis que les autres concernent Chromium. Vous pouvez trouver la note de version de ce mois-ci ici. Il s'agit de correctifs silencieux et non critiques pour le dernier navigateur de Microsoft ; Ils peuvent être ajoutés à votre calendrier de publication standard.
- les fenêtres
- Microsoft fournit des correctifs pour 10 vulnérabilités critiques et 57 vulnérabilités importantes couvrant les groupes de fonctionnalités de la plate-forme Windows suivants :
- Réseautage Windows (DNS, TLS, accès à distance et pile TCP/IP) ;
- Cryptographie (extensions IKE et Kerberos) ;
- Impression (à nouveau);
Microsoft COM et OLE DB ;
Bureau à distance (Connection Manager et API).
Une vulnérabilité d’objet COM+ (CVE-2022-41033) a été signalée comme étant exploitée à l’état sauvage. Cela complique la tâche des équipes de déploiement de correctifs et de mises à jour. Tester les objets COM est souvent difficile en raison de la logique métier requise et contenue dans l'application. De plus, il n’est pas facile de déterminer quelles applications dépendent de cette fonctionnalité. C’est notamment le cas des applications développées en interne ou pour le secteur d’activité en raison de la criticité du métier. Nous vous recommandons d'évaluer, d'isoler et de tester les applications métier clés qui ont des dépendances COM et OLE dB avant le déploiement général de la mise à jour d'octobre. Ajoutez cette mise à jour Windows à votre programme « Patch Now ».
Du côté le plus léger des choses, Microsoft a publié une autre vidéo de mise à jour de Windows 11.
"DisableSupportDiagnostics"=dword:00000001;
Redémarrez votre système.
Compte tenu de ces modifications et mises à jour silencieuses, nous vous suggérons d’ajouter ces correctifs Office à votre calendrier de publication standard.
Serveur Microsoft Exchange
Nous aurions dû commencer les mises à jour de Microsoft Exchange ce mois-ci. Des vulnérabilités critiques d'exécution de pcode à distance (CVE-2022-41082 et CVE-2022-41040) dans Exchange ont été signalées comme exploitées dans la nature et n'ont pas été corrigées avec cette mise à jour de sécurité. Des correctifs sont disponibles et sont officiels auprès de Microsoft. Cependant, ces deux mises à jour de Microsoft Exchange Server ne corrigent pas complètement les vulnérabilités.
Le blog de l'équipe Microsoft Exchange explique explicitement ce point au milieu d'une note de version :
« Les SU d'octobre 2022 ne contiennent pas de correctifs pour les vulnérabilités zero-day signalées publiquement le 29 septembre 2022 (CVE-2022-41040 et CVE-2022-41082). Veuillez consulter cet article de blog pour appliquer des atténuations à ces vulnérabilités. publier les mises à jour pour CVE-2022-41040 et CVE-2022-41082 lorsqu'elles seront prêtes.
Microsoft a publié un guide d'atténuation pour ces graves problèmes de sécurité Exchange, qui couvre :
Nous vous recommandons de mettre en œuvre des atténuations d'URL et PowerShell pour tous vos serveurs Exchange. Surveillez cet espace car nous verrons une mise à jour de Microsoft la semaine prochaine.
Plateformes de développement Microsoft
Microsoft a publié quatre mises à jour (toutes considérées comme majeures) pour Visual Studio et .NET. Bien que les quatre vulnérabilités (CVE-2022-41032, CVE-2022-41032, CVE-2022-41034 et CVE-2022-41083) comportent des entrées standard dans le Guide de mise à jour de sécurité Microsoft (MSUG), l'équipe Visual Studio a également publié ces Notes de mise à jour 17.3. (Et, comme Windows 11, nous avons même une vidéo.) Ces quatre mises à jour sont des mises à jour discrètes et à faible risque de la plateforme de développement. Ajoutez-les à votre calendrier de publication standard pour les développeurs.
Adobe (vraiment seulement Reader)
Adobe Reader a été mis à jour (APSB22-46) pour corriger six vulnérabilités liées à la mémoire. Avec cette version, Adobe a également mis à jour la documentation de la version pour inclure les problèmes connus et les notes de version planifiées. Ces notes couvrent à la fois Windows et MacOS ainsi que les deux versions de Reader (DC et Continu). Les six vulnérabilités signalées ont la note la plus basse d'Adobe, soit 3, pour laquelle Adobe propose les conseils de correctifs suivants : "Adobe recommande aux administrateurs d'installer la mise à jour à leur discrétion."
Nous sommes d’accord : ajoutez ces mises à jour d’Adobe Reader à votre calendrier de mise à jour standard. Copyright © 2022 IDG Communications, Inc.