Comme chaque mois, Chris Goettl, Director Product Management Security chez Ivanti, analyse pour les lecteurs de Solutions Numériques le Patch tuesday de Microsoft.
Nous y voilà. Encore un Patch Tuesday, le premier de 2021. Il semble que l’on commence l’année avec un nombre de vulnérabilités légèrement plus faible chez Microsoft, mais certaines des publications sont plus intéressantes, parce qu’elles résolvent une vulnérabilité activement exploitée (CVE-2021-1647) et une vulnérabilité divulguée publiquement (CVE-2021-1648). Microsoft résout ce mois-ci un total de 83 CVE, avec des mises à jour pour l’OS Windows, Edge (sur HTML), Office, Visual Studio, .Net Core, .Net Repository, ASP .Net, Azure, Malware Protection Engine et SQL Server.
La CVE de Microsoft Defender : s’assurer d’utiliser Microsoft Malware Protection Engine en version 1.1.17700.4
Microsoft Defender bénéficie d’une mise à jour pour résoudre une vulnérabilité d’exécution de code à distance qui a été activement exploitée (CVE-2021-1647). Microsoft met fréquemment à jour les définitions de malware et son moteur de protection (Malware Protection Engine), et a déjà publié une mise à jour pour résoudre cette vulnérabilité.
Pour les entreprises qui ont configuré la mise à jour automatique, rien à faire. Mais l’une des premières actions d’un pirate ou d’un malware consiste à tenter de perturber la protection du système contre les menaces, afin de bloquer la mise à jour des définitions et du moteur. C’est pourquoi il est recommandé de vous assurer que vous utilisez Microsoft Malware Protection Engine en version 1.1.17700.4 ou supérieure.
Une vulnérabilité importante : élevation de privilèges et fuite d’informations
Microsoft résout une vulnérabilité importante (splwow64), qui peut permettre à un pirate d’élever son niveau de privilèges. Cette vulnérabilité (CVE-2021-1648) affecte Windows 8.1, Windows 10 et les versions serveur associées. Cette vulnérabilité peut également permettre la divulgation d’informations. La divulgation publique signifie qu’un volume suffisant d’informations, ou un code de validation de principe (POC), a été communiqué au public, donnant ainsi le temps aux pirates de développer une exploitation. Dans le cas présent, les premiers détails sur cette CVE ont été publiés le 15 décembre par Zero Day Initiative.
Un correctif pour Secure Boot
Microsoft publie de nouveau un correctif pour Secure Boot, initialement publié en février 2020. CVE-2020-0689 est une vulnérabilité de contournement des fonctions de sécurité, qui impacte le système d’exploitation Windows et peut permettre le contournement de l’amorçage sécurisé (Secure Boot) pour installer un logiciel non autorisé. Cette nouvelle publication permet de résoudre plus complètement la vulnérabilité, mais il existe certains problèmes connus. On a constaté des conflits avec certains firmware OEM et avec des paramètres BitLocker qui peuvent créer des problèmes. Pour en savoir plus, consultez les détails dans la page de la mise à jour.
Ce mois-ci, toutes les vulnérabilités critiques semblent concerner l’OS, le navigateur et le moteur de protection (Malware Protection Engine), mais cela ne doit surtout pas vous faire oublier les autres mises à jour. Même si les mises à jour pour SQL, .Net Core, ASP .Net et autres outils de développement ce mois-ci résolvent seulement des vulnérabilités de niveau Important, la chaîne d’outils de développement doit faire partie de vos préoccupations. Vos équipes de développement doivent être conscientes des outils qu’elles utilisent et des vulnérabilités qui les affectent.
Mises à jour Adobe et Mozilla Thunderbird
Outre Microsoft, on compte ce mois-ci plusieurs mises à jour Adobe et une mise à jour de sécurité de niveau Critique pour Mozilla Thunderbird.
Adobe publie des mises à jour pour Adobe Bridge, Captivate, InCopy, Campaign Classic, Animate, Illustrator et Photoshop. La mise à jour Adobe Bridge résout deux vulnérabilités Critique, tandis que les autres mises à jour concernent chacune une seule vulnérabilité de niveau Critique ou Important. Adobe définit la publication Adobe Campaign Classic comme étant de priorité 2. Les autres sont de priorité 3. Pour rappel, la classification Adobe compte trois niveaux de priorité. Au niveau Priorité 2, les risques sont élevés et Adobe conseille de résoudre la vulnérabilité sous 30 jours. Le niveau Priorité 3 indique que le produit ou le type de vulnérabilité concerné n’a jamais été ciblé jusqu’à présent, et que vous pouvez appliquer la mise à jour quand vous le souhaitez. Suivant ces conseils, les administrateurs doivent penser à inclure la mise à jour Adobe Campaign Classic dans leur maintenance du mois. Les autres mises à jour doivent être évaluées et vous devez effectuer les mises à jour raisonnables, car il n’est jamais sain de laisser stagner un logiciel.
Adobe Flash Player est arrivé en fin de vie le 31 décembre 2020. À ce stade, les entreprises devraient supprimer cette application (historiquement très souvent ciblée) de leur environnement. Si vous ne l’avez pas fait, pensez-y. Si vous avez besoin de continuer à exécuter Flash pour une raison précise, ce doit être lors d’exceptions spécifiques, dans des circonstances bien contrôlées. De plus, Adobe a collaboré avec Harman pour assurer la transition du support étendu pour les clients d’entreprise. Vous devez contacter Harman si vous avez besoin de services supplémentaires ou d’une couverture au-delà de la date de fin de vie. Pour en savoir plus, consultez la page traitant de la fin de vie de Flash Player Enterprise : https://www.adobe.com/products/flashplayer/enterprise-end-of-life.html
