Les failles zero-day signifient qu’il est temps de corriger Exchange et Windows

La mise à jour Patch Tuesday de Microsoft de ce mois-ci traite de 84 failles et d’un zero-day affectant Microsoft Exchange qui, pour le moment, reste non résolu. Les mises à jour Windows se concentrent sur les composants de sécurité et de mise en réseau de Microsoft avec une mise à jour difficile à tester pour COM et base de données OLE. Et les navigateurs Microsoft reçoivent 18 mises à jour, rien de critique ou d’urgent.

Cela laisse l’accent ce mois-ci sur Microsoft Exchange et le déploiement d’efforts d’atténuation, plutôt que sur des mises à jour de serveur, pour la semaine prochaine. Plus d’informations sur les risques de déploiement de ces mises à jour Patch Tuesday sont disponible dans cette infographie.

Microsoft continue d’améliorer à la fois ses rapports de vulnérabilité et ses notifications avec un nouveau flux RSS, et Adobe a emboîté le pas en améliorant la création de rapports et la documentation des versions. En guise de doux rappel, prise en charge de Windows 10 21H1 se termine en décembre.

Principaux scénarios de test

Compte tenu du grand nombre de changements inclus ce mois-ci, j’ai décomposé les scénarios de test en groupes à haut risque et à risque standard :

Risque élevé: Pour octobre, Microsoft n’a enregistré aucune modification de fonctionnalité à haut risque. Cela signifie qu’il n’a pas apporté de modifications majeures aux API de base ou à la fonctionnalité de l’un des composants ou applications de base inclus dans les écosystèmes de postes de travail et de serveurs Windows.

Plus généralement, compte tenu de la nature étendue de cette mise à jour (Office et Windows), nous vous suggérons de tester les fonctionnalités et composants Windows suivants :

• Une mise à jour GDI (GDIPLUS.DLL) nécessite le test de CEMfichiers de palette 16 et 32 ​​bits (ouverture, impression et création).
• Microsoft Gestionnaire d’applications de bureau a été mis à jour et nécessitera à la fois des applications d’approvisionnement et d’annulation d’approvisionnement (des tests d’installation et de désinstallation sont requis).
• Les fenêtres Système CLFS a été mis à jour pour exiger un court test de création, de lecture, de mise à jour et de suppression des fichiers journaux.

En plus de ces modifications et des exigences de test, j’ai inclus certains des scénarios de test les plus difficiles :

• OLE DB : le vénérable Microsoft OLEDB a été mis à jour et nécessite toutes les applications dépendant de SQL Server 2012 ou ADO.NET doivent être entièrement testés avant le déploiement. Ce composant Microsoft COM (OLE DB) sépare les données de la logique d’application via un ensemble de connexions qui accèdent à la source de données, aux sessions, aux commandes SQL et aux données d’ensemble de lignes.
• Informations d’identification itinérantes, clés de chiffrement et certificats : pour en savoir plus sur l’itinérance des informations d’identification, consultez les de Jim Tierney affectation et cette excellente introduction à Itinérance des identifiants.
• Connexions VPN chiffrées : Microsoft a mis à jour le IKEv2 et L2TP/IPsec composants ce mois-ci. Les tests avec des connexions à distance doivent durer plus de huit heures. Si vous rencontrez des problèmes avec cette mise à jour, Microsoft a publié un Guide de dépannage VPN L2TP/IPSec.

Sauf indication contraire, nous devrions maintenant supposer que chaque mise à jour du Patch Tuesday nécessitera de tester les fonctions d’impression de base, notamment :

• impression à partir d’imprimantes directement connectées ;
• travaux d’impression volumineux à partir de serveurs (surtout s’ils sont également des contrôleurs de domaine) ;
• impression à distance (en utilisant RDP et VPN).

Problèmes connus

Chaque mois, Microsoft inclut une liste des problèmes connus liés au système d’exploitation et aux plateformes inclus dans ce cycle de mise à jour.

• Les appareils avec des installations Windows créées à partir d’un support hors ligne personnalisé ou d’une image ISO personnalisée peuvent avoir Microsoft Edge Legacy supprimé par cette mise à jour, mais pas automatiquement remplacé par le nouveau Microsoft Edge. La résolution de ce problème nécessitera une installation complète/nouvelle de Bord Microsoft.
• Microsoft SharePoint : Cette mise à jour pourrait affecter certains scénarios de flux de travail SharePoint 2010. Il génère également des balises d’événement « 6ksbk » dans les journaux ULS (Unified Logging System) SharePoint.

Un problème signalé avec la dernière mise à jour Microsoft Servicing Stack (SSU) KB5018410 est-ce Préférences de stratégie de groupe peut échouer. Microsoft travaille sur une solution ; dans l’intervalle, la société a publié les mesures d’atténuation suivantes :

1. Décochez la case “Exécuter dans le contexte de sécurité de l’utilisateur connecté (option de stratégie utilisateur)”. Remarque : cela peut ne pas atténuer le problème des éléments utilisant un caractère générique
2. .
3. Dans la stratégie de groupe concernée, remplacez “Action” par “Remplacer” par “Mettre à jour”.

Si un caractère générique

est utilisé dans l’emplacement ou la destination, la suppression du “” final (barre oblique inverse, sans guillemets) de la destination peut permettre à la copie de réussir. Révisions majeures

Jusqu’à présent, Microsoft n’a publié aucune révision majeure de ses avis de sécurité.

• Atténuations et solutions de contournementIl existe deux mesures d’atténuation et quatre solutions de contournement pour ce mardi du patch d’octobre, notamment :CVE-2022-41803
• : Élévation du code Visual Studio. Microsoft a publié une solution de contournement rapide pour cette vulnérabilité de sécurité qui dit : “Ccréez un dossier C:ProgramDatajupyterkernels et configurez-le pour qu’il ne soit accessible en écriture que par l’utilisateur actuel.”

CVE-2022-22041

: Élévation du spouleur d’impression Windows. Le conseil de contournement publié par Microsoft pour gérer cette vulnérabilité consiste à arrêter le service de spouleur d’imprimante sur la machine cible à l’aide des commandes PowerShell suivantes, “Stop-Service -Name Spooler -Force, and Set-Service -Name Spooler -StartupType Disabled”. Cela arrêtera le spouleur d’impression local sur la machine et tous les services d’impression utilisés par ce système.

• Microsoft a également noté que pour les vulnérabilités réseau signalées suivantes, ces systèmes ne sont pas affectés si IPv6 est désactivé et peuvent être atténués avec la commande PowerShell suivante : “Get-Service Ikeext :”
• Chaque mois, nous décomposons le cycle de mise à jour en familles de produits (telles que définies par Microsoft) avec les regroupements de base suivants :
• Navigateurs (Microsoft IE et Edge) ;
• Microsoft Windows (bureau et serveur) ;
• Microsoft Office; Microsoft Exchange; Plateformes de développement Microsoft (
• ASP.NET

Core, .NET Core et Chakra Core);

Adobe (retraité ???, peut-être l’année prochaine). NavigateursMicrosoft a publié 18 mises à jour pour Edge (Chromium). Seulement CVE-2022-41035 s’applique spécifiquement au navigateur, tandis que les autres sont liés à Chromium. Tu peux trouverla note de version de ce mois-ci

ici

. Il s’agit de correctifs discrets et non critiques pour le dernier navigateur de Microsoft ; ils peuvent être ajoutés à votre calendrier de publication standard.

• les fenêtres
• Microsoft fournit des correctifs pour 10 vulnérabilités critiques et 57 vulnérabilités importantes qui couvrent les groupes de fonctionnalités suivants de la plate-forme Windows :
• Windows Networking (DNS, TLS, accès à distance et la pile TCP/IP) ;
• Cryptographie (extensions IKE et Kerberos);
• Impression (encore);

Microsoft COM et OLE DB ;Bureau à distance (Gestionnaire de connexion et API).Une vulnérabilité liée à l’objet COM+ (

CVE-2022-41033 ) a été signalé comme exploité à l’état sauvage. Cela rend les choses difficiles pour les équipes de déploiement de correctifs et de mises à jour. Le test des objets COM est généralement difficile en raison de la logique métier requise et contenue dans l’application. De plus, déterminer quelles applications dépendent de cette fonctionnalité n’est pas simple. C’est particulièrement le cas pour les applications développées en interne ou pour le secteur d’activité en raison de la criticité de l’entreprise. Nous vous recommandons d’évaluer, d’isoler et de tester les principales applications métier qui ont des dépendances COM et OLE dB avant un déploiement général de la mise à jour d’octobre. Ajoutez cette mise à jour Windows à votre programme “Patch Now”. Du côté plus léger des choses, Microsoft a publié un autreMise à jour Windows 11

vidéo

.Microsoft Office Ce mois-ci, nous recevons deux mises à jour critiques ( CVE-2022-41038et CVE-2022-38048 ) et quatre mises à jour jugées importantes pour la plate-forme Microsoft Office. À moins que vous ne gériez plusieurs serveurs SharePoint, il s’agit d’une mise à jour relativement discrète, sans vecteurs d’attaque basés sur le volet de prévisualisation et sans rapports d’exploits dans la nature. Si vous ou votre équipe avez rencontré des problèmes avec Microsoft Outlook

1. s’écraser
2. (désolé, “fermeture”) le mois dernier, Microsoft a proposé les conseils suivants :
3. Déconnectez-vous du bureau ; [HKEY_CURRENT_USERSoftwareMicrosoftOffice16.0OutlookOptionsGeneral] Désactivez les diagnostics d’assistance ;
4. Définissez la clé de registre suivante :

“DisableSupportDiagnostics”=dword:00000001;

Redémarrez votre système.

Compte tenu de ces modifications et des mises à jour discrètes, nous vous suggérons d’ajouter ces correctifs Office à votre calendrier de publication standard.Serveur Microsoft Exchange Nous aurions dû commencer par les mises à jour de Microsoft Exchange ce mois-ci. Les vulnérabilités critiques d’exécution de pcode à distance ( CVE-2022-41082et CVE-2022-41040 ) en échange ont été signalés comme exploités à l’état sauvage et ont

ne pas été résolu avec cette mise à jour de sécurité. Des correctifs sont disponibles et ils sont officiels de Microsoft. Cependant, ces deux mises à jour de Microsoft Exchange Server ne corrigent pas complètement les vulnérabilités. La

Blog de l’équipe Microsoft Exchange

fait explicitement ce point au milieu d’une note de version: “Les SU d’octobre 2022 ne contiennent pas de correctifs pour les vulnérabilités zero-day signalées publiquement le 29 septembre 2022 (CVE-2022-41040 et CVE-2022-41082). Veuillez consulter cet article de blog pour appliquer des atténuations à ces vulnérabilités. Nous allons publier les mises à jour pour CVE-2022-41040 et CVE-2022-41082 lorsqu’elles seront prêtes.” Microsoft a publié

conseils d’atténuation pour ces graves problèmes de sécurité Exchange, couvrant :

Nous vous recommandons d’implémenter les atténuations d’URL et de PowerShell pour tous vos serveurs Exchange. Surveillez cet espace, car nous verrons une mise à jour de Microsoft dans la semaine à venir.

Plateformes de développement MicrosoftMicrosoft a publié quatre mises à jour (toutes jugées importantes) pour Visual Studio et .NET. Bien que les quatre vulnérabilités ( CVE-2022-41032, CVE-2022-41032 , CVE-2022-41034etCVE-2022-41083) ont des entrées standard dans le Guide des mises à jour de sécurité Microsoft ( MSUG), l’équipe de Visual Studio a également publié ces 17.3 Notes de mise à jour. (Et, tout comme Windows 11, nous obtenons même un

vidéo

.) Ces quatre mises à jour sont des mises à jour à faible risque et discrètes de la plate-forme de développement. Ajoutez-les à votre calendrier de publication standard pour les développeurs.Adobe (vraiment juste Reader)Adobe Reader a été mis à jour ( APSB22-46) pour résoudre six vulnérabilités liées à la mémoire . Avec cette version, Adobe a également mis à jour la documentation de la version pour inclure Problèmes connuset prévuNotes de version

. Ces notes couvrent à la fois Windows et MacOS et les deux versions de Reader (DC et Continuous). Les six vulnérabilités signalées ont la note Adobe la plus basse, 3, pour laquelle Adobe propose utilement les conseils de correctif suivants : “