Patch Tuesday : Qu'est-ce que c'est et comment cela fonctionne ?
Le Patch Tuesday, qui coïncide généralement avec le deuxième mardi de chaque mois, est le jour où Microsoft publie les correctifs et les mises à jour de sécurité pour ses systèmes d'exploitation et ses applications. Afin de gagner du temps et de rendre le processus de mise à jour simple et prévisible pour les administrateurs, Microsoft regroupe les petits correctifs dans une mise à jour plus importante et la diffuse lors du Patch Tuesday. Ainsi, les professionnels de l'informatique peuvent prévoir de tester et de rationaliser le déploiement de leurs correctifs.
Composition du Patch Tuesday de mars
La publication du Patch Tuesday de mars 2020 se compose de mises à jour de sécurité pour :
-
Microsoft Windows
-
Microsoft Edge (basé sur HTML et Chromium)
-
ChakraCore
-
Internet Explorer
-
Microsoft Exchange Server
-
Microsoft Office, Microsoft Office Services et Web Apps
-
Azure DevOps
-
Windows Defender
-
Visual Studio
-
Open Source Software
-
Azure
-
Microsoft Dynamics
Mises à jour importantes :
Sur les 26 vulnérabilités critiques corrigées dans le Patch Tuesday de mars, 17 concernent les moteurs de navigation et de script, quatre pour Media Foundation, deux pour GDI+, et les trois autres pour l'extension de fichier LNK (affectant tous les fichiers LNK), Microsoft Word et Dynamics Business. Microsoft a également publié des correctifs pour les vulnérabilités de Remote Code Execution (RCE) dans Microsoft Word CVE-2020-0852, Application Inspector CVE-2020-0872, et Dynamics 365 Business Central CVE-2020-0905.
Zero-day et divulgations publiques :
Heureusement, il n'y a aucune trace de bugs connus du public ou activement exploités ce mois-ci. Ouf, quel soulagement ! On dirait que le Patch Tuesday de mars a été un énorme moment de répit après la folie du Patch Tuesday de février 2020 qui avait provoqué des mises à jour bâclées et des correctifs pour Internet Explorer (IE).
Mises à jour tierces :
Le communiqué de ce mois-ci comprend deux avertissements pour Mozilla, un pour Firefox 74 et un pour Firefox ESR 68.6, avec six CVE classés comme élevés. Voici une liste détaillée de tous les CVE affectant Mozilla Firefox. Bizarrement, le géant de la technologie Adobe n'a pas encore publié de correctif pour le mois de mars. Il est fort probable que les correctifs d'Adobe seront publiés à la mi-mars.
Servicing Stack Updates :
Une fois de plus, Microsoft a poussé Servicing Stack Updates (SSU) pour toutes les versions de Windows prises en charge. Qu'est-ce que les SSU ? Ce sont des mises à jour du composant de mise à jour de Windows, et vous en avez besoin pour diffuser les dernières mises à jour de sécurité. Microsoft considère que les SSU sont critiques, mais ils ne corrigent pas les vulnérabilités.
En général, Microsoft publie les SSU quelques mois avant de commencer à publier les mises à jour de sécurité qui nécessitent le dernier SSU, mais il est préférable de tester et de pousser les SSU sur vos systèmes dès que possible pour éviter les problèmes avec les futurs Patch Tuesdays. Pour une liste complète des derniers SSU pour chaque système d'exploitation, reportez-vous à ADV990001.
Bonnes pratiques pour utiliser au mieux le Patch Tuesday de Microsoft
À chaque Patch Tuesday, Microsoft annonce les correctifs pour les vulnérabilités, et les clients ne sont pas les seuls à écouter ces annonces - les pirates aussi. Le fait de savoir quelles vulnérabilités existent accélère le processus de développement d'un exploit, ce qui rend le moment suivant la publication de Patch Tuesday vulnérable pour les entreprises comme pour les utilisateurs finaux.
C'est pourquoi il est essentiel de corriger les défauts le plus rapidement possible. Voici quelques bonnes pratiques que vous pouvez suivre pour gérer habilement les mises à jour du Patch Tuesday de mars.
-
Abonnez-vous au PitStop de ManageEngine pour obtenir des détails complets sur tous les CVE corrigés régulièrement par Microsoft et les fournisseurs tiers.
-
Assurez-vous que les vulnérabilités exploitées activement et divulguées publiquement sont corrigées en premier lieu.
-
Ensuite, corrigez les vulnérabilités critiques, puis les vulnérabilités importantes, et enfin les vulnérabilités modérées.
-
Programmez les mises à jour pour qu'elles soient effectuées en dehors des heures de travail afin d'éviter de perturber la productivité des utilisateurs.
-
Soyez attentif aux mises à jour de sécurité publiées en dehors du Patch Tuesday, car il s'agit souvent de correctifs pour des vulnérabilités critiques.
-
Testez ! Testez ! Testez ! Les correctifs non testés peuvent échouer ou entraîner des problèmes sans précédent lorsqu'ils sont déployés. Nous recommandons vivement de tester tous les correctifs pour vérifier la stabilité des mises à jour du Patch Tuesday avant de les déployer sur les machines de production.
-
Déclinez les correctifs moins critiques et traitez-les après que les problèmes importants aient été résolus.
-
Reportez ou programmez les redémarrages des machines et serveurs critiques pendant les week-ends pour éviter les temps d'arrêt.
-
Exécutez des rapports sur les correctifs pour s'assurer que les terminaux du réseau sont à jour avec les derniers correctifs.
Et si je vous disais qu'il y a un moyen d'automatiser tout ce processus ? ManageEngine propose deux solutions qui réalisent exactement ce processus à partir d'une console centrale : Desktop Central et Patch Manager Plus. Vous pouvez démarrer un essai gratuit de 30 jours pour maintenir à jour plus de 750 applications (et plus de 300 applications tierces).
Vous voulez en savoir plus ? Regardez notre webinar (en anglais) sur le Patch Tuesday de mars, où nos experts discutent des vulnérabilités sur lesquelles il faut se concentrer en premier, des stratégies pour des tests sûrs et d'autres mesures de sécurité si les choses tournent mal. Vous aurez même la possibilité de poser à nos experts vos propres questions sur la gestion des correctifs. Inscrivez-vous dès maintenant !