Le Patch Tuesday de mai est arrivé et il y a bien plus à gérer que les mises à jour mensuelles. Windows 10 et Server connaissent ce mois-ci trois événements EOL (fin de vie) : Internet Explorer 11 n’a plus qu’un mois d’existence, Exchange Server 2019 passe à deux mises à jour cumulatives par an et le nombre des CVE figurant dans le catalogue CISA des vulnérabilités dont l’exploitation est connue (Known Exploited Vulnerabilities Catalog) est passé à 659 CVE exploitées. Par conséquent, même si la série de mises à jour du Patch Tuesday du mois est relativement standard, avec une seule exploitation connue et quelques vulnérabilités à divulgation publique, d’autres opérations vont vous occuper. Voici l’analyse de Chris Goettl, directeur senior Gestion produits et sécurité chez Ivanti.
Mises à jour Microsoft Patch Tuesday
Pour ce Patch Tuesday de mai, Microsoft publie 18 mises à jour qui résolvent 73 nouvelles vulnérabilités uniques et 3 vulnérabilités déjà publiées. Seules 6 de ces CVE sont marquées Critique. Il y a une seule CVE connue pour avoir été exploitée et divulguée publiquement, et une autre divulgation publique ce mois-ci. Les mises à jour du mois concernent le système d’exploitation Windows, les applications Office 365, Exchange Server, .Net, Visual Studio, RDP, Hyper-V, entre autres.
Microsoft résout une vulnérabilité d’usurpation d’identité de Windows LSA (CVE-2022-26925), détectée dans des exploitations sur le terrain et divulguée publiquement. La vulnérabilité proprement dite est seulement classée Important par Microsoft, avec un score CVSS v3.1 de 8,1. La maturité du code d’exploitation est marquée Non prouvé, mais si l’on y regarde de plus près, cette vulnérabilité est bien plus menaçante. Elle a été détectée dans des attaques. Ce qui signifie que, même si les échantillons de code devenus publics sont marqués Non prouvé, des exploitations fonctionnelles existent. Vous verrez notamment que, en cas de combinaison avec des attaques par relais NTLM sur les services de certificat Active Directory (voir ADV21003 et KB5005413 pour en savoir plus), le score CVSS combiné passe à 9,8. Microsoft presse ses clients d’appliquer les correctifs à leurs contrôleurs de domaine dès que possible pour limiter les risques de cette chaîne de vulnérabilités. Cette vulnérabilité concerne toutes les versions de l’OS Windows.
Microsoft résout une vulnérabilité de déni de service dans Hyper-V (CVE-2022-22713), qui a été divulguée publiquement. Cette vulnérabilité est classée Important et son score CVSS v3.1 est de 5,6. Cette CVE a été divulguée publiquement, ce qui signifie que des informations ont été rendues publiques, permettant aux pirates d’avoir le temps et les données nécessaires pour tirer parti de cette vulnérabilité. La maturité du code d’exploitation est classée POC (Proof of Concept – Validation de principe), ce qui signifie que des échantillons de code fonctionnels sont disponibles et susceptibles de fournir aux pirates tout ce dont ils ont besoin pour tenter de créer une arme pour exploiter cette vulnérabilité sur le terrain.
Points importants ce mois-ci
Il existe souvent des « zones sensibles » récurrentes qui nécessitent un peu plus d’attention pendant vos cycles de tests. Ce mois-ci, les correctifs résolvent une nouvelle série de vulnérabilités du spouleur d’impression. La mise à jour PrintNightmare d’origine a changé la façon dont les interactions avec l’imprimante se déroulent sur les systèmes Windows. Depuis cette mise à jour, on a constaté une augmentation de l’impact opérationnel sur les fonctions liées à l’imprimante, ce qui a gêné de nombreuses entreprises.
Le Patch Tuesday de février résolvait 5 CVE liées au spouleur d’impression et il a provoqué la réapparition des problèmes d’imprimante. Ce mois-ci, 4 nouvelles vulnérabilités du spouleur d’impression sont résolues. Nous vous recommandons de prendre un peu plus de temps pour tester les fonctions d’imprimante dans vos groupes pilotes ce mois-ci. Si vous avez constaté récemment que des applications spécifiques étaient impactées par les changements apportés au spouleur d’impression, vous devez vous assurer qu’elles figurent bien dans vos groupes pilotes, pour éviter des pannes plus importantes de vos applications critiques.
Actualités liées à l’EoL, l’EoS, et autres mises à jour et vulnérabilités
Le passage au modèle de mise à jour cumulative Windows 10 est devenu courant, mais il est facile de se laisser distraire et de perdre le fil des versions qui arrive à leur date de fin de prise en charge. Ce mois-ci, trois branches reçoivent leur dernière mise à jour de sécurité. Vérifiez que vous avez bien mis à niveau tous les systèmes qui utilisaient encore ces versions vers une verions prise en charge, avant le Patch Tuesday de juin. Pour en savoir plus, consultez la page sur le cycle de vie – Windows :
Windows 10 Entreprise et Éducation version 1909
Windows 10 Famille et Professionnel version 20H2
Windows Datacenter Server et Standard version 20H2
Microsoft a rendu l’application de bureau Internet Explorer 11 obsolète en mai 2021. Pour en savoir plus, visitez la page FAQ sur le déclassement de l’application Internet Explorer 11. La date de fin de support est le 15 juin 2022, juste après le Patch Tuesday de juin. Les FAQ répondent à de nombreuses interrogations sur ce à quoi il faut s’attendre quand l’application IE11 sera désactivée, sur l’impact pour les différentes versions de Windows (y compris LTSC), sur la façon de configurer le mode IE dans le navigateur Microsoft Edge pour prendre en charge les applications traditionnelles nécessitant IE11, etc.
Les entreprises exécutant Exchange Server doivent prêter attention à certains changements. Le 20 avril 2022, Microsoft a publié la mise à jour cumulative 2022 H1 pour Exchange Server. Lors de cette publication, l’entreprise a également annoncé que le modèle de maintenance allait changer. Microsoft va modifier la cadence de publication des mises à jour CU d’Exchange Server pour passer à deux CU par an. Elle annonce également que la prochaine mise à jour CU publiée (H2 2022) concernera uniquement Exchange Server 2019. La prise en charge standard d’Exchange Server 2013 et 2016 a pris fin, et ces versions passent désormais par le support étendu. Pour en savoir plus, consultez la publication concernant la mise à jour CU 2022 H1 pour Exchange Server.
Le catalogue CISA des vulnérabilités dont l’exploitation est connue (Known Exploited Vulnerabilities Catalog) suit désormais 659 CVE. La plupart de ces CVE datent de plus d’un an. En novembre 2021, la Cybersecurity & Infrastructure Security Agency (CISA) a lancé un projet nommé Known Exploited Vulnerabilities Catalog (Catalogue des vulnérabilités dont l’exploitation est connue). Ce projet vise à guider les instances américaines pour mieux prioriser l’élimination des vulnérabilités et limiter leur exposition aux exploitations connues des vulnérabilités de leur environnement. Cela fait déjà un moment que l’espace de gestion des vulnérabilités, au sens large, avait besoin de changements. La plupart des entreprises basent encore leur priorisation sur les scores de gravité fournisseur et CVSS, mais les critères appliqués pour déterminer ces scores sont souvent trompeurs et les entreprises ne priorisent pas correctement leur réponse. La plupart des entreprises ont un besoin urgent de passer à la gestion des vulnérabilités sur la base des risques (RBVM). Si ce sujet ne vous est pas familier, voici un lien qui vous amènera à l’enregistrement d’une conférence que j’ai présentée en janvier 2022, où je parle du passage à une stratégie d’élimination des vulnérabilités sur la base des risques.
