L’objectif du Patch Tuesday pour avril : Windows et Exchange (encore)

L’objectif du Patch Tuesday pour avril : Windows et Exchange (encore)

Mardi, MIcrosoft a déployé une autre vaste série de mises à jour dans ses écosystèmes Windows, dont quatre vulnérabilités affectant Windows qui ont été publiquement divulguées et une faille de sécurité – qui aurait déjà été exploitée – qui affecte le noyau Windows. Cela signifie que les mises à jour Windows obtiennent notre plus haute note « Patch Now », et si vous devez gérer des serveurs Exchange, sachez que la mise à jour nécessite des privilèges supplémentaires et des étapes supplémentaires pour être effectuée.

Il semble également que Microsoft ait annoncé une nouvelle façon de déployer les mises à jour sur n’importe quel appareil, où qu’il se trouve, avec le service Windows Update for Business. Pour plus d’informations sur ce service de gestion basé sur le cloud, vous pouvez consulter cette vidéo de Microsoft ou cette FAQ de Computerworld. J’ai inclus une infographie utile qui, ce mois-ci, semble un peu déséquilibrée (encore une fois) car toute l’attention devrait être portée sur les composants Windows et Exchange.

Principaux scénarios d’essai

En raison de la mise à jour majeure de l’utilitaire Disk Management ce mois-ci (que nous considérons comme à haut risque), nous recommandons de tester le formatage et l’extension des partitions. La mise à jour de ce mois-ci comprend également des modifications apportées aux composants Windows à moindre risque suivants :

  • Vérifiez que les fichiers TIFF, RAW et EMF ont un rendu correct en raison de modifications apportées aux codecs Windows.
  • Testez vos connexions VPN.
  • Testez la création de machines virtuelles (VM) et l’application d’instantanés.
  • Testez la création et l’utilisation de fichiers VHD.
  • Assurez-vous que toutes les applications qui dépendent de l’API Microsoft Speech fonctionnent comme prévu.

La pile de service Windows (y compris Windows Update et MSI Installer) a été mise à jour ce mois-ci avec CVE-2021-28437, de sorte que les déploiements plus importants peuvent vouloir inclure un test des fonctionnalités d’installation, de mise à jour, d’auto-réparation et de réparation dans leur portefeuille d’applications.

Problèmes connus

Chaque mois, Microsoft inclut une liste de problèmes connus liés au système d’exploitation et aux plateformes inclus dans ce cycle de mise à jour. J’ai référencé quelques problèmes clés liés aux dernières versions de Microsoft, notamment :

  • Lorsque vous utilisez l’Input Method Editor (IME) de Microsoft Japanese pour saisir des caractères Kanji dans une application qui autorise automatiquement la saisie de caractères Furigana, il se peut que vous n’obteniez pas les bons caractères Furigana. Vous devrez peut-être saisir les caractères Furigana manuellement. En outre, après l’installation de KB4493509, les appareils sur lesquels sont installés certains packs linguistiques asiatiques peuvent recevoir l’erreur « 0x800f0982 – PSFX_E_MATCHING_COMPONENT_NOT_FOUND ». Microsoft travaille à une résolution et fournira une mise à jour dans une prochaine version.
  • Les appareils dotés d’installations Windows créées à partir de supports hors ligne personnalisés ou d’images ISO personnalisées peuvent voir l’héritage de Microsoft Edge supprimé par cette mise à jour, mais pas automatiquement remplacé par le nouveau Microsoft Edge.
  • Après l’installation de KB4467684, le service de cluster peut échouer à démarrer avec l’erreur « 2245 (NERR_PasswordTooShort) » si la stratégie de groupe « Minimum Password Length » est configurée avec plus de 14 caractères.

Révisions majeures

Pour ce cycle de mise à jour d’avril, Microsoft a publié une seule révision majeure :

  • CVE-2020-17049 – Vulnérabilité de contournement de la fonctionnalité de sécurité de Kerberos KDC : Microsoft publie des mises à jour de sécurité pour la deuxième phase de déploiement de cette vulnérabilité. Microsoft a publié un article (KB4598347) sur la manière de gérer ces changements supplémentaires sur vos contrôleurs de domaine.

Atténuations et solutions de contournement

Pour l’instant, il ne semble pas que Microsoft ait publié de solutions d’atténuation ou de contournement pour cette version d’avril.

Chaque mois, nous décomposons le cycle de mise à jour en familles de produits (telles que définies par Microsoft) avec les groupements de base suivants :

  • Navigateurs (Microsoft IE et Edge) ;
  • Microsoft Windows (à la fois ordinateur de bureau et serveur) ;
  • Microsoft Office (y compris Web Apps et Exchange) ;
  • les plateformes de développement Microsoft (ASP.NET Core, .NET Core et Chakra Core) ;
  • et Adobe Flash Player (qui prend sa retraite),

Navigateurs

Au cours des dix dernières années, nous avons examiné les impacts potentiels des changements apportés aux navigateurs Microsoft (Internet Explorer et Edge) en raison de la nature des bibliothèques interdépendantes sur les systèmes Windows (ordinateurs de bureau et serveurs). Internet Explorer (IE) avait l’habitude d’avoir une intégration directe (certains diraient trop directe) avec le système d’exploitation, ce qui impliquait de gérer toute modification du système d’exploitation (ce qui était le plus problématique pour les serveurs). Depuis ce mois-ci, ce n’est plus le cas ; les mises à jour de Chromium constituent désormais une entité distincte en termes de code et d’application et Microsoft Edge (Legacy) sera désormais automatiquement supprimé et remplacé par le code de Chromium.

Je pense que c’est une bonne nouvelle, car les recompilations constantes d’IE et le profil de test qui s’ensuivait représentaient une lourde charge pour la plupart des administrateurs informatiques. Il est également agréable de constater que le cycle de mise à jour de Chromium passe d’un cycle de six semaines à un cycle de quatre semaines, en accord avec la cadence de mise à jour de Microsoft. Compte tenu de la nature de ces modifications apportées au navigateur Chromium, ajoutez cette mise à jour à votre calendrier standard de diffusion des correctifs.

Microsoft Windows

Ce mois-ci, Microsoft a travaillé à la résolution de 14 vulnérabilités critiques dans Windows et de 68 autres problèmes de sécurité jugés importants. Deux des problèmes critiques concernent Media Player ; les 12 autres concernent des problèmes dans la fonction RPC (Remote Procedure Call) de Windows. Nous avons réparti les mises à jour restantes (y compris les évaluations importantes et modérées) dans les domaines fonctionnels suivants :

  • Mode noyau sécurisé de Windows (Win32K) ;
  • Suivi des événements de Windows ;
  • Installateur Windows ;
  • Composant graphique Microsoft ;
  • Windows TCP/IP, DNS, SMB Server.

Pour tester ces groupes fonctionnels, reportez-vous aux recommandations détaillées ci-dessus. Pour les correctifs critiques : tester Windows Media Player est facile, alors que tester les appels RPC à la fois dans et entre les applications est une autre affaire. Pour aggraver les choses, ces problèmes RPC, bien qu’ils ne puissent pas être vérolés, sont graves individuellement et dangereux en tant que groupe. En raison de ces préoccupations, nous recommandons un calendrier de diffusion « Patch Now » pour les mises à jour de ce mois-ci.

Microsoft Office (et Exchange, bien sûr)

Comme nous évaluons les mises à jour Office pour chaque publication mensuelle de sécurité, les premières questions que je pose habituellement sur les mises à jour Office de Microsoft sont les suivantes :

  • Les vulnérabilités sont-elles de faible complexité, des problèmes d’accès à distance ?
  • La vulnérabilité conduit-elle à un scénario d’exécution de code à distance ?
  • Le volet de prévisualisation est-il un vecteur cette fois-ci ?

Heureusement, ce mois-ci, les quatre problèmes abordés par Microsoft sont considérés comme importants et n’ont pas atterri dans l’une des trois « poubelles d’inquiétude » ci-dessus. En plus de ces bases de sécurité, j’ai les questions suivantes pour cette mise à jour d’avril d’Office :

  • Utilisez-vous des contrôles ActiveX ?
  • Utilisez-vous Office 2007 ?
  • Rencontrez-vous des effets secondaires liés à la langue après la mise à jour de ce mois-ci ?

Si vous utilisez des contrôles ActiveX, n’en utilisez pas. Si vous utilisez Office 2007, c’est le moment idéal pour passer à une version prise en charge (comme Office 365). Et si vous rencontrez des problèmes de langue, veuillez consulter cette note d’assistance (KB5003251) de Microsoft sur la façon de réinitialiser vos paramètres de langue après la mise à jour. Les mises à jour d’Office, de Word et d’Excel sont des mises à jour majeures et nécessiteront un cycle de test/de publication standard. Compte tenu de la faible urgence de ces vulnérabilités, nous vous suggérons d’ajouter ces mises à jour Office à votre calendrier de publication standard.

Malheureusement, Microsoft Exchange a quatre mises à jour critiques qui nécessitent une attention particulière. Ce n’est pas super urgent comme le mois dernier, mais nous leur avons attribué la note « Patch Now ». Une certaine attention sera requise lors de la mise à jour de vos serveurs cette fois-ci. Un certain nombre de problèmes ont été signalés avec ces mises à jour lorsqu’elles sont appliquées à des serveurs avec des contrôles UAC en place.

Lorsque vous essayez d’installer manuellement cette mise à jour de sécurité en double-cliquant sur le fichier de mise à jour (.MSP) pour l’exécuter en mode normal (c’est-à-dire sans être administrateur), certains fichiers ne sont pas correctement mis à jour. Assurez-vous d’exécuter cette mise à jour en tant qu’administrateur ou votre serveur peut rester dans un état entre deux mises à jour, ou pire dans un état désactivé. Lorsque ce problème se produit, vous ne recevez pas de message d’erreur ou d’indication que la mise à jour de sécurité n’a pas été correctement installée. Cependant, Outlook sur le web (OWA) et le panneau de configuration d’Exchange (ECP) peuvent cesser de fonctionner.

Ce mois-ci, un redémarrage sera certainement nécessaire pour vos serveurs Exchange.

informatique-attitude

Related Posts

Les avantages du recours à des chefs de projet freelances

Les avantages du recours à des chefs de projet freelances

Pourquoi vous devez protéger votre adresse e-mail

Pourquoi vous devez protéger votre adresse e-mail

Méfiez-vous des ombres créées par le cloud

Méfiez-vous des ombres créées par le cloud

L’absence de femmes dans le domaine de la cybersécurité expose le monde en ligne à des risques accrus

L’absence de femmes dans le domaine de la cybersécurité expose le monde en ligne à des risques accrus

No Comment

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *