La mise à jour Patch Tuesday de Microsoft corrige 3 vulnérabilités affectant les outils de développement Windows, Exchange, Office et Microsoft, et XNUMX vulnérabilités Windows (CVE-XNUMX-XNUMX, CVE-XNUMX, CVE-XNUMX vingt-trois-vingt mille sept cent quinze et CVE- deux mille vingt-trois-vingt-trois mille trois cent soixante-seize) ont été signalés comme exploités à l'état sauvage. et nécessitent une attention immédiate.
Bien qu'il obtienne une note inférieure de Microsoft, les inconvénients d'Exchange justifient également une réponse rapide. Pendant cette période, des mises à jour de Microsoft Office et de la plate-forme de développement peuvent être ajoutées à votre calendrier de publication régulier.
L'équipe de préparation a fourni cette infographie décrivant les dangers associés à chacune des mises à jour de la mise à jour du mois en cours.
Problèmes connus
Microsoft inclut une liste des problèmes connus de système d'exploitation et de plate-forme dans les dernières mises à jour :
- Les documents XPS qui utilisent des éléments structurels ou sémantiques, tels que la structure de table, les storyboards ou les liens hypertexte, peuvent ne pas s'afficher correctement dans les visualiseurs basés sur WPF. Pour contourner ce problème, Microsoft a fourni un script PowerShell dans lequel vous pouvez exécuter la commande : .kb5022083-compat.ps1 -Install. Cette commande ajoute la clé de registre suivante : "HKLMSOFTWAREMicrosoft.NETFrameworkWindows Presentation FoundationXPSAllowedTypes" /v "DisableDec2022Patch" /t REG_SZ /d "*" /reg:64
- La copie de gros fichiers multi-gig peut prendre plus de temps que prévu sur Windows 22 version 2HXNUMX. Vous êtes plus susceptible de rencontrer ce problème lors de la copie de fichiers à partir d'un partage réseau via SMB (Server Message Block), mais la copie de fichiers locaux peut également en souffrir.
Si vous utilisez toujours Microsoft Windows Server 0 pour l'authentification de domaine, vous pouvez rencontrer le problème connu suivant : les opérations de jointure de domaine peuvent échouer avec l'erreur "5020276xaac (deux mille sept cent trente-deux) : NERR_AccountReuseBlockedByPolicy". En plus de cela, un texte indiquant "Un compte portant exactement le même nom existe dans Active Directory. La réutilisation du compte a été bloquée par la politique de sécurité », peut apparaître. Microsoft a fourni des conseils de support (KBXNUMX) sur la gestion de ce problème dans le cadre du programme ESU.
Révisions importantes
Microsoft a publié 3 correctifs essentiels ce mois-ci :
- CVE-21713-XNUMX et CVE-XNUMX-XNUMX : vulnérabilité d'exécution de code à distance Microsoft SQL Server. Ces correctifs étendent la prise en charge des produits SQL hérités (ESU). Aucune autre action n'est requise.
- CVE-21721-XNUMX : vulnérabilité d'élévation des privilèges dans Microsoft OneNote. Il s'agit d'un changement informatif mineur, aucune action n'est requise.
Atténuation et solutions de contournement
Microsoft a publié des atténuations pour les vulnérabilités à venir pour cette version :
- CVE-21804-XNUMX : vulnérabilité d'élévation des privilèges du composant graphique Windows. Seuls les ordinateurs Windows sur lesquels XPS Document Writer est installé sont fragiles. Sous Windows XNUMX, XPS Document Writer est installé par défaut ; dans windows onze ce n'est pas le cas.
- CVE-21803-XNUMX : vulnérabilité d'exécution de code à distance du service de découverte iSCSI Windows. Par défaut, l'application utilisateur de l'initiateur iSCSI est désactivée et ne peut pas être utilisée. Pour qu'un système soit fragile, l'application utilisateur de l'initiateur iSCSI doit être activée.
- CVE-2023-21705 CVEXNUMX-XNUMX : vulnérabilité d'exécution de code à distance Microsoft SQL Server. Cela ne fonctionne que si cette fonctionnalité facultative est activée et s'exécute sur une instance SQL. (La fonctionnalité n'est pas gratuite sur les instances Azure SQL.)
- CVE-21689-XNUMX, CVE-XNUMX-XNUMX CVE-XNUMX-XNUMX : exécution de code à distance Microsoft Protected Extensible Authentication Protocol (PEAP). PEAP n'est négocié avec l'utilisateur que si NPS s'exécute sur Windows Server et dispose d'une stratégie réseau configurée qui laisse la vulnérabilité PEAP. Obtenez plus d'informations sur la configuration de Microsoft PEAP ici.
guide d'examen
Chaque mois, l'équipe de préparation examine les dernières mises à jour du Patch Tuesday et fournit un guide de test détaillé et exploitable. Ceci est basé sur l'évaluation d'un vaste portefeuille d'applications et une analyse détaillée des correctifs Microsoft et de leur impact potentiel sur Windows et les installations d'applications.
Compte tenu du grand nombre de modifications incluses ce mois-ci, j'ai divisé les cas de test en suites à haut risque et à risque standard :
Risque élevé
Comme chaque modification à haut risque affecte à nouveau le sous-système d'impression Windows ce mois-ci, nous n'avons vu aucune modification de fonctionnalité publiée. Nous conseillons fortement les prochains tests axés sur l'impression :
- "MS Publisher Image Composer" de Microsoft a été considérablement mis à jour. Ce sont des pilotes intégrés qui ont maintenant plus de dix ans. Il y a eu des rapports de mauvaise qualité d'impression en raison de l'utilisation de ces pilotes, une mise à jour était donc nécessaire de toute urgence.
- Testez l'impression avec les pilotes d'imprimante couleur et noir et blanc V3. Vérifiez si le contenu est manquant.
- Il y a eu une mise à jour sur la façon dont Windows gère les URL, en particulier lors de l'impression. Un défilement rapide pour ouvrir des pages faisant référence à Microsoft Word, PowerPoint et Excel, puis exécuter un simple travail d'impression devrait mettre en évidence les inconvénients.
Tous ces scénarios nécessiteront des tests importants au niveau de l'application avant une publication générale de la mise à jour. En plus de cela, nous vous proposons un test général des fonctionnalités d'impression à venir :
- Les applications trente-deux bits qui nécessitent une impression sur des périphériques soixante-quatre bits doivent être testées. Soyez prudent lorsque vous quittez l'application car cela peut provoquer des plantages liés à la mémoire.
- Testez vos systèmes de sauvegarde et assurez-vous que votre échec et les journaux système associés semblent adéquats.
- Testez vos connexions VPN si vous utilisez PEAP. Ce protocole change fréquemment, nous vous conseillons de vous abonner au flux RSS de Microsoft pour les modifications futures.
- Testez vos connexions ODBC, votre base de données et vos commandes SQL.
Bien que vous n'ayez pas besoin de tester des transferts de fichiers volumineux ce mois-ci, nous vous conseillons vivement de tester des chemins UNC (très) longs depuis différentes machines. Nous nous concentrons sur les chemins réseau qui accèdent à plusieurs machines sur différentes versions de Windows. Outre ces scénarios, Microsoft a mis à jour le noyau du système et les principaux composants graphiques (GDI). Testez vos applications principales ou industrielles et soyez prudent avec les applications gourmandes en ressources graphiques.
Compte tenu des modifications et des mises à jour rapides communes aux applications (et à leurs dépendances) dans un portefeuille d'applications moderne, assurez-vous que vos systèmes désinstallent "proprement" les anciennes versions de l'application. Laisser des applications héritées ou des composants excédentaires pourrait exposer votre système à des vulnérabilités corrigées.
Mise à jour du cycle de vie de Windows
Cette section contient les modifications de maintenance essentielles (et la plupart des mises à jour de sécurité) pour les plates-formes de bureau et de serveur Windows. Avec Windows 21 2H2023 désormais hors support général, les prochaines applications Microsoft vont atteindre la fin du support général ou du service en XNUMX :
- Visio Services sur SharePoint (chez Microsoft XNUMX) : XNUMX février XNUMX (retiré) ;
- Microsoft Endpoint Configuration Manager, version deux mille cent sept — XNUMX février XNUMX (fin de service).
Chaque mois, nous divisons le cycle de publication en familles de produits (telles que définies par Microsoft) avec les regroupements de base suivants :
- Navigateurs (Microsoft IE et Edge).
- Microsoft Windows (bureau et serveur).
- Microsoft Office.
- Serveur Microsoft Exchange.
- Plateformes de développement Microsoft (ASP.NET Core, .NET Core et Chakra Core).
- Adobe (retraité ???, peut-être l'année prochaine).
navigateurs
Microsoft a publié 3 mises à jour pour son navigateur (Chromium) Edge : CVE-XNUMX-XNUMX, CVE-XNUMX-XNUMX et CVE-XNUMX-XNUMX. Vous pouvez trouver la version Microsoft de ces notes de version ici et les notes de version du canal Google Desktop ici. Il n'y a pas eu d'autres mises à jour du navigateur Microsoft (ou du moteur de rendu) ce mois-ci. Ajoutez ces mises à jour à votre calendrier de publication de correctifs standard.
les fenêtres
Microsoft a publié 4 mises à jour critiques et trente-deux correctifs "essentiels" pour la plate-forme Windows couvrant les composants clés suivants :
- Pilote d'imprimante Microsoft PostScript (avec mises à jour FAX et SCAN);
- Pilote ODBC, OLE, WDAC pour Windows ;
- Pilote de système de fichiers de registre commun Windows ;
- et les services cryptographiques Windows et Kerberos.
Alors que les vulnérabilités du code secret d'authentification PEAP de Microsoft (CVE-2023-3 et CVEXNUMX-XNUMX) sont les plus alarmantes, les mises à jour restantes qui n'affectent que Windows ne sont pas aussi dangereuses que nous l'avons vu au passage. Desafortunadamente, se ha informado que XNUMX vulnerabilidades de Windows (CVE-dos mil veintitres-veinti mil ochocientos veintitres, CVE-dos mil veintitres-veinti mil setecientos quince y CVE-dos mil veintitres-veintitres mil trescientos setenta y seis) han sido explotadas en la nature. Veuillez donc ajouter cette mise à jour à votre calendrier de publication "Patch Now".
Microsoft Office
Microsoft a publié un correctif qui corrige une vulnérabilité critique (CVE-5-XNUMX) dans Microsoft Word qui pourrait conduire à l'exécution de code à distance. Il existe XNUMX autres mises à jour de la plate-forme Office (y compris SharePoint), chacune considérée comme essentielle. Nous n'avons pas reçu de rapports de vulnérabilités dans la nature pour le problème critique de Word, nous vous conseillons donc d'ajouter ces mises à jour Office à votre calendrier de publication standard.
Serveur Microsoft Exchange
Nous allons devoir enfreindre certaines règles ce mois-ci. Microsoft a publié 4 correctifs pour Microsoft Exchange Server (CVE-XNUMX-XNUMX, CVE-XNUMX-XNUMX, CVE-XNUMX-XNUMX, CVE-XNUMX-XNUMX mille sept cent dix), chacun de ceux considérés comme essentiels. Malheureusement, CVE-XNUMX-XNUMX pourrait conduire à l'exécution de code à distance et pourrait en effet être classée comme une vulnérabilité critique.
Cette vulnérabilité ne nécessite pas d'interaction de l'utilisateur, est accessible par des systèmes distants et ne nécessite pas de privilèges locaux sur le système local. Chaque version prise en charge d'Exchange est fragile. Nous voyons déjà des rapports d'attaques de cryptominage Exchange. Nous ajouterons CVE-XNUMX-XNUMX à notre programme "Patch Now".
Plateformes de développement Microsoft
Microsoft a publié 3 mises à jour critiques qui affectent Visual Studio et .NET (CVE-5-XNUMX, CVE-XNUMX-XNUMX et CVE-XNUMX-XNUMX), ce qui pourrait entraîner l'exécution de code arbitraire. Lors de l'examen initial, il semble que ceux-ci ont été consultés à distance, ce qui augmente considérablement le risque, mais toutes ces vulnérabilités liées aux développeurs nécessitent un accès local. En plus de XNUMX autres vulnérabilités d'élévation des privilèges qui affectent également Microsoft Visual Studio (toutes jugées importantes), nous ne voyons aucune exigence de correctif urgente. Ajoutez ces mises à jour à votre calendrier de publication standard pour les développeurs.
Adobe Reader (toujours gratuit, mais pas ce mois-ci)
Il n'y a pas de mises à jour Adobe pour Reader ou Acrobat ce mois-ci. Cela étant dit, Adobe a publié un certain nombre de mises à jour de sécurité pour ses autres produits avec APSB23-dos. Je pense que nous avons suffisamment d'impressions et de problèmes Microsoft XPS à tester et à intégrer pour nous occuper.
Copyright © deux mille vingt-trois IDG Communications, Inc.