Voici le Patch Tuesday de juin expliqué par Todd Schell, Principal Product Manager chez Ivanti, pour les lecteurs de Solutions-Numériques. Ces six premiers mois ont connu des hauts et des bas, avec une forte évolution du nombre de vulnérabilités traitées par Microsoft chaque mois. On a commencé par 85 CVE traitées pour Windows 10 en janvier, chuté jusqu’à seulement 21 CVE en février et revenu à 97 CVE traitées en mai. Ce mois-ci, 33 vulnérabilités ont été corrigées dans Windows 10 et les serveurs associés.
Le sujet brûlant du dernier mois était CVE-2022-30190, également appelée vulnérabilité Follina, corrigée aujourd’hui avec des mises à jour pour Windows 7 jusqu’à Windows 11. La deuxième phase de mise à jour de sécurité du serveur DCOM a aussi été implémentée ce mois-ci. N’oubliez pas de mettre à niveau Windows 10 1909 et les autres OS arrivés en fin de vie le mois dernier, et à mettre un plan en place si vous avez toujours besoin d’Internet Explorer 11 pour certaines de vos applications. Malgré ce jeu de mises à jour standard de la part de Microsoft, il y a largement de quoi nous occuper ce mois-ci.
Mise à jour Microsoft Patch Tuesday
Microsoft publie des mises à jour pour résoudre 61 vulnérabilités uniques, dont 5 sont une répétition de vulnérabilités d’avril et de mai. Seules 3 des nouvelles CVE sont marquées « Critiques ». CVE-2022-30190, étonnamment marquée « Important », est la seule qui est connue pour avoir été exploitée et publiquement divulguée ce mois-ci. Les mises à jour du mois concernent le système d’exploitation Windows, les applications Office 365, Exchange Server, .Net, Visual Studio, RDP, Hyper-V, ainsi qu’une mise à jour de sécurité plus rare, pour SQL Server.
La plus importante de 3 nouvelles mises à jour de type Critique concerne CVE-2022-30136, une vulnérabilité d’exécution de code à distance dans le système de fichiers réseau, qui impacte Windows Server 2012, Server 2016 et Server 2019. Elle porte un score CVSS de 9,8 en raison de son vecteur d’attaque réseau et de simplicité d’exploitation. Outre les mises à jour publiées, Microsoft fournit des options de remédiation détaillées dans l’article de base de connaissances concernant cette CVE. Les deux autres CVE critiques (CVE-2022-30139 et CVE-30163) sont aussi des vulnérabilités d’exécution de code à distance, qui affectent respectivement Lightweight Directory Access Protocol (LDAP) et Hyper-V ; elles sont plus difficiles à exploiter et portent des scores CVSS plus faibles. Toutes trois doivent être prioritaires, en fonction du niveau de risque qu’elles représentent pour vos systèmes.
Microsoft republie également une mise à jour de juin 2021 pour CVE-2021-26414 (contournement de la fonction de sécurité du serveur DCOM). Il s’agit de la phase 2 sur 3 du processus de renforcement de la sécurité globale du serveur. Avec la mise à jour du mois, la clé de registre RPC_C_AUTHN_LEVEL_PKT_INTEGRITY des serveurs DCOM est désormais activée par défaut. Les administrateurs peuvent toujours la désactiver manuellement si leur environnement le requiert. La phase finale est prévue pour le Patch Tuesday de mars 2023. L’activation deviendra alors définitive. Vous trouverez tous les détails concernant DCOM dans l’article KB 5004442, « Manage changes for Windows DCOM Server Security Feature Bypass (CVE-2021-26414) ».
Notez également que Microsoft publie aussi le document Advisory 220002, qui contient des conseils concernant les vulnérabilités de données « Stale Data » des processeurs Intel. Il décrit plusieurs CVE traitées ce mois-ci dans les mises à jour Intel.
Vulnérabilité Follina
Le sujet brûlant du mois, c’est CVE-2022-30190, également appelée vulnérabilité Follina. Cette vulnérabilité de MSDT (Microsoft Windows Support Diagnostic Tool – Outil de diagnostic du Support Microsoft) permet d’exécution de code à distance. Cet outil de diagnostic renvoie des informations de dépannage à Microsoft en cas de problème sur votre machine locale. La vulnérabilité est exploitée par le biais d’un code malveillant inclus dans un document Word. Ce qui la rend particulièrement sournoise, c’est que l’utilisateur n’a même pas besoin d’ouvrir directement le document. Tous les programmes Office dotés d’un mode Aperçu peuvent déclencher l’exploitation. Cette vulnérabilité subit des attaques depuis plusieurs mois. Ce correctif de vulnérabilité doit avoir été ajouté au dernier moment ce mois-ci. En effet, même s’il figure dans la liste des vulnérabilités du Guide de sécurité, il n’apparaît pas dans le détail des CVE pour chaque correctif.
Fin de vie et de service (EOL/EOS)
Internet Explorer arrive officiellement (presque) en fin de vie. Internet Explorer 11 (IE 11) vit ses dernières heures et ne sera plus pris en charge dans Teams, Office 365 et la plupart des versions du système d’exploitation Windows. Si vous avez encore besoin d’IE 11 pour des applications métier critiques, Microsoft vous recommande d’utiliser le mode IE du navigateur Edge. Cette fonction devrait être prise en charge dans Edge jusqu’en 2029. L’application de bureau IE 11 va continuer à recevoir des mises à jour de sécurité sous Windows 8.1, Windows 7 (ESU) et Windows Server LTSC jusqu’à ce qu’ils atteignent leurs dates de fin de vie respectives.
N’oubliez pas, vous ne verrez ce mois-ci aucune mise à jour pour Windows 10 1909 Entreprise et Éducation, 20H2 Professionnel ou Windows Server 20H2. Les mises à jour de mai constituaient le dernier Patch Tuesday pour ces systèmes d’exploitation. Vous devez donc passer à une version mise à jour et prise en charge dès que possible, pour éviter toute exposition. Dans le modèle Microsoft en SaaS, la prochaine date de fin de vie pour Windows 10 est en décembre. Vous avez donc un peu de temps pour respirer avant le prochain round.
