Patch Tuesday : Deux failles zero-day dans Windows attention immédiate zero days

Nouvelles mise à jour | Commentaires 0

La mise à jour Patch Tuesday de Microsoft de décembre propose 59 correctifs, dont deux correctifs zero-day (CVE-2022-44698 et CVE-2022-44710) qui nécessitent une attention immédiate sur la plate-forme Windows. Il s'agit d'une mise à niveau centrée sur le réseau (TCP/IP et RDP) qui nécessitera des tests importants axés sur les connexions ODBC, les systèmes Hyper-V, l'authentification Kerberos et l'impression (locale et distante).

Microsoft a également publié une mise à jour urgente hors bande (CVE-2022-37966) pour résoudre de graves problèmes d'authentification Kerberos. (L'équipe de préparation a fourni une infographie utile décrivant les risques associés à chacune de ces mises à jour.)

Et Windows Hot-Patching pour Azure Virtual Machines (VMs) est maintenant disponible.

Tabla de contenido

Problèmes connus

Chaque mois, Microsoft inclut une liste des problèmes connus liés au système d'exploitation et aux plates-formes incluses dans ce cycle de mise à jour.

  • ODBC : Après l'installation de la mise à jour de décembre, les applications qui utilisent des connexions ODBC via le pilote Microsoft ODBC SQL Server (sqlsrv32.dll) pour accéder aux bases de données peuvent ne pas être en mesure de se connecter. Vous pouvez recevoir les messages d'erreur suivants : "EMS a rencontré un problème. Message : [Microsoft] [Pilote ODBC SQL Server] Jeton inconnu reçu de SQL Server."
  • RDP et accès à distance : après avoir installé cette mise à jour ou des mises à jour ultérieures sur les systèmes de bureau Windows, vous ne pourrez peut-être pas vous reconnecter à (Microsoft) Direct Access après avoir temporairement perdu la connectivité réseau ou la transition entre les réseaux Wi-Fi. -Fi ou les points d'accès.
  • Hyper-V : après avoir installé cette mise à jour sur des hôtes Hyper-V gérés par System Center Virtual Machine Manager (VMM) configurés pour SDN, vous pouvez recevoir une erreur dans les workflows liés à la création d'un nouvel adaptateur (également appelé carte d'interface réseau ou carte réseau). ) connecté à un réseau de machines virtuelles ou à une nouvelle machine virtuelle (VM).
  • Active Directory – En raison d'exigences de sécurité supplémentaires pour résoudre les vulnérabilités de sécurité dans CVE-2022-38042, de nouveaux contrôles de sécurité sont mis en œuvre sur les demandes de jointure de domaine. Ces vérifications supplémentaires peuvent entraîner le message d'erreur suivant : "Erreur 0xaac (2732) : NERR_AccountReuseBlockedByPolicy : un compte portant le même nom existe dans Active Directory. La politique de sécurité a bloqué la réutilisation du compte."

En préparation de la mise à jour de ce mois-ci pour les systèmes Windows 10 et 11, nous vous recommandons d'exécuter une évaluation sur tous les packages d'application et de rechercher une dépendance sur le fichier système SQLSRV32.DLL. Si vous avez besoin d'inspecter un système spécifique, ouvrez une invite de commande et exécutez la commande "tasklist /m sqlsrv32.dll". Cela devrait lister tous les processus qui dépendent de ce fichier.

Révisions importantes

Microsoft n'a publié qu'un seul correctif ce mois-ci, sans autre correctif pour les correctifs ou mises à jour précédents.

  • CVE-2022-37966 Vulnérabilité d'élévation de privilèges Windows Kerberos RC4-HMAC – Pour résoudre un problème connu où l'authentification Kerberos peut échouer pour les comptes d'utilisateur, d'ordinateur, de service et GMSA lorsqu'ils sont gérés par des contrôleurs de domaine Windows. Cette révision de correctif a été publiée en tant que mise à jour hors bande rare et nécessitera une attention immédiate, si elle n'a pas déjà été traitée.

Atténuation et solutions de contournement

Bien que plusieurs mises à jour de documentation et FAQ aient été ajoutées à cette version, Microsoft n'a publié qu'une seule atténuation :

  • CVE-2022-37976 : Élévation de certificat Active Directory : Un système est vulnérable à cette vulnérabilité de sécurité uniquement si le rôle Services de certificats Active Directory et le rôle Services de domaine Active Directory sont installés sur le même serveur réseau. Microsoft a publié un ensemble de clés de registre (LegacyAuthenticationLevel) qui peuvent aider à réduire la surface de ce problème. Vous pouvez en savoir plus sur la façon de protéger vos systèmes ici.

guide d'examen

Chaque mois, l'équipe de préparation examine les dernières mises à jour et fournit des conseils de test. Ces conseils sont basés sur l'évaluation d'un large portefeuille d'applications et sur une analyse détaillée des correctifs Microsoft et de leur impact potentiel sur les plates-formes Windows et les installations d'applications.

Compte tenu du grand nombre de changements inclus dans ce cycle, j'ai divisé les cas de test en groupes à haut risque et à risque standard.

Risque élevé: Ce mois-ci, Microsoft n'a enregistré aucune modification de fonctionnalité à haut risque. Cela signifie que vous n'avez apporté aucune modification majeure aux API de base ou aux fonctionnalités de l'un des composants ou applications de base inclus dans les écosystèmes de postes de travail et de serveurs Windows.

Plus généralement, compte tenu de la nature étendue de cette mise à jour (Office et Windows), nous vous suggérons de tester les fonctionnalités et composants Windows suivants :

  • Bluetooth : Microsoft a mis à jour deux ensembles de fichiers API/en-tête clés pour les pilotes Bluetooth, notamment : IOCTL_BTH_SDP_REMOVE_RECORD IOCTL et la fonction DeviceIoControl. La tâche de test clé ici consiste à activer et désactiver Bluetooth, en veillant à ce que vos connexions de données continuent de fonctionner comme prévu.
  • Git - Le système de fichiers virtuel Git (VfSForGit) a été mis à jour avec des modifications apportées aux mappages de fichiers et de registre. Vous pouvez en savoir plus sur cet outil clé (interne) pour les développeurs Windows ici.

En plus de ces modifications et des exigences de test, j'ai inclus certains des scénarios de test les plus difficiles pour cette mise à jour :

  • Noyau Windows : il y a une mise à jour majeure du noyau Windows (Win32kfull.sys) ce mois-ci qui affectera l'expérience de l'interface utilisateur du bureau du concentrateur. Les principales fonctionnalités fixes incluent le menu Démarrer, l'applet Paramètres et l'explorateur de fichiers. Compte tenu de l'énorme empreinte de test de l'interface utilisateur, un pool de test plus important peut être nécessaire pour votre déploiement initial. Si vous voyez toujours votre bureau ou votre barre des tâches, considérez cela comme un signe positif.

Après la mise à jour de l'authentification Kerberos du mois dernier, plusieurs problèmes liés à l'authentification ont été signalés, en particulier avec les connexions de bureau à distance. Microsoft a détaillé les scénarios suivants et les problèmes connexes traités ce mois-ci :

  • La connexion de l'utilisateur au domaine peut échouer. Cela peut également affecter l'authentification des services de fédération Active Directory (AD FS).
  • Les comptes de service gérés de groupe (gMSA) utilisés pour des services tels que les services d'information Internet (serveur Web IIS) peuvent ne pas s'authentifier.
  • Les connexions de bureau à distance utilisant des utilisateurs de domaine peuvent échouer.
  • Vous ne pourrez peut-être pas accéder aux dossiers partagés sur les postes de travail et aux partages de fichiers sur les serveurs.
  • L'impression qui nécessite une authentification d'utilisateur de domaine peut échouer.

Tous ces scénarios nécessitent des tests importants avant une publication générale de la mise à jour de décembre.

Sauf indication contraire, nous devons maintenant supposer que chaque mise à jour du Patch Tuesday nécessitera de tester les fonctionnalités d'impression de base, notamment :

  • Impression à partir d'imprimantes directement connectées.
  • ajouter une imprimante, puis supprimer une imprimante (c'est une nouveauté de décembre).
  • travaux d'impression volumineux à partir de serveurs (surtout s'ils sont également des contrôleurs de domaine).
  • impression à distance (en utilisant RDP et VPN).
  • testez des scénarios physiques et virtuels avec des applications 32 bits sur des machines 64 bits.

Mise à jour du cycle de vie de Windows

Cette section inclut les modifications de maintenance importantes (et la plupart des mises à jour de sécurité) pour les plates-formes de bureau et de serveur Windows. Comme il s'agit d'une mise à jour de fin d'année, il y a pas mal de changements "End of Service", notamment :

  • Windows 10 (Entreprise, Famille, Pro) 21H2 – 12 décembre 2022.
  • Windows 8.1 – 10 janvier 2023.
  • Windows 7 SP1 (ESU) – 10 janvier 2023.
  • Windows Server 2008 SP2 (ESU) : 10 janvier 2023.

Chaque mois, nous décomposons le cycle de publication en familles de produits (telles que définies par Microsoft) avec les regroupements de base suivants :

  • Navigateurs (Microsoft IE et Edge);
  • Microsoft Windows (bureau et serveur);
  • Microsoft Office;
  • Microsoft Exchange Server ;
  • Plateformes de développement Microsoft (ASP.NET Core, .NET Core et Chakra Core)
  • Adobe (retraité ???, peut-être l'année prochaine),

navigateurs

Suite à une tendance bienvenue des mises à jour non critiques des navigateurs Microsoft, cette mise à jour n'en propose que trois (CVE-2022-44668, CVE-2022-44708 et CVE-2022-41115), qui sont toutes considérées comme importantes. Ces mises à jour affectent le navigateur Microsoft Chromium et devraient avoir un impact faible ou marginal sur vos applications. Ajoutez ces mises à jour à votre calendrier de publication de correctifs standard.

les fenêtres

Microsoft a publié ce mois-ci des correctifs pour l'écosystème Windows qui traitent de trois mises à jour critiques (CVE-2022-44676, CVE-2022-44670 et CVE-2022-41076), dont 24 sont jugées importantes et deux modérées. Malheureusement, ce mois-ci, nous avons ces deux jours zéro affectant Windows avec des rapports d'exploitation de CVE-2022-44698 dans la nature et de fuite publique de CVE-2022-44710. Nous avons développé des recommandations de test spécifiques, notant que des problèmes ont été signalés avec les connexions Kerberos, Hyper-V et ODBC.

Ajoutez cette mise à jour à votre calendrier de publication "Patch Now".

Microsoft Office

Microsoft a corrigé deux vulnérabilités critiques dans SharePoint Server (CVE-202244693 et ​​CVE-2022-44690) qui sont relativement faciles à exploiter et ne nécessitent aucune interaction de l'utilisateur. Les deux vulnérabilités restantes affectent Microsoft Visio (CVE-2022-44696 et CVE-2022-44695) et sont des modifications discrètes à faible impact. À moins que vous n'hébergiez vos propres serveurs SharePoint (pourquoi ?), ajoutez ces mises à jour de Microsoft à votre calendrier de publication standard.

Serveur Microsoft Exchange

Microsoft n'a publié aucune mise à jour, correctif ou atténuation de sécurité pour Microsoft Exchange Server. Phew!

Plateformes de développement Microsoft

Microsoft a corrigé deux vulnérabilités critiques dans Microsoft .NET (CVE-2022-41089) et PowerShell (CVE-2022-41076) ce mois-ci. Bien que les deux problèmes de sécurité soient classés comme critiques, ils nécessitent un accès administrateur local et sont considérés comme difficiles et complexes à exploiter. Sysmon de Mark Russinovich a également besoin d'une mise à jour avec la vulnérabilité d'élévation de privilèges CVE-2022-44704 et toutes les versions prises en charge de Visual Studio seront corrigées. Ajoutez ces mises à jour à votre calendrier de publication standard pour les développeurs.

Adobe Reader (toujours disponible, mais pas ce mois-ci)

Adobe a publié trois mises à jour de catégorie 3 (équivalentes à Microsoft Important Notice) pour Illustrator, Experience Manager et Campaign (Classic). Il n'y a pas de mises à jour d'Adobe Reader ce mois-ci.

Copyright © 2022 IDG Communications, Inc.

Laisser un commentaire

Share