Bienvenue au Patch Tuesday de juillet 2023, qui répertorie des correctifs pour 132 vulnérabilités, dont cinq zero day. Toutes ces vulnérabilités étant activement exploitées, les administrateurs doivent appliquer les correctifs dès que possible.
Après une première discussion sur les mises à jour de ce mois, nous vous donnerons nos conseils pour élaborer un plan de gestion des correctifs dans un environnement de travail hybride. Vous pouvez également vous inscrire à notre webinaire Patch Tuesday (en anglais) gratuit et écouter nos experts analyser en détail les mises à jour du Patch Tuesday.
Qu'est-ce que le Patch Tuesday ?
Le Patch Tuesday a lieu le deuxième mardi de chaque mois. Ce jour-là, Microsoft publie des mises à jour de sécurité et non sécuritaires pour son système d'exploitation et d'autres applications connexes. Étant donné que Microsoft a maintenu ce processus de publication périodique des mises à jour, les administrateurs informatiques s'attendent à ces mises à jour et ont le temps de s'y préparer.
Pourquoi le Patch Tuesday est-il important ?
Les mises à jour de sécurité importantes et les correctifs destinés à corriger des bugs ou des vulnérabilités critiques sont publiés à l'occasion du Patch Tuesday. En général, les vulnérabilités zero day sont également corrigées lors du Patch Tuesday, à moins qu'il ne s'agisse d'une vulnérabilité critique et très exploitée, auquel cas une mise à jour de sécurité hors bande est publiée pour remédier à cette vulnérabilité particulière.
Patch Tuesday de juillet 2023 : Mise à jour de sécurité
Des mises à jour de sécurité ont été publiées pour les produits, fonctionnalités et rôles suivants :
-
Windows Certificates
-
Windows EFI Partition
-
Windows Netlogon
-
Microsoft Graphics Component
-
Windows Admin Center
-
Windows Cluster Server
-
Windows Remote Procedure Call
-
Windows Layer 2 Tunneling Protocol
-
Windows ODBC Driver
-
Microsoft Printer Drivers
-
Windows Update Orchestrator Service
-
Windows OLE
-
Windows Remote Desktop
-
Windows Message Queuing
-
Windows MSHTML Platform
-
Paint 3D
-
Windows SmartScreen
-
Windows Installer
-
Microsoft Windows Codecs Library
-
Microsoft Power Apps
-
Windows Volume Shadow Copy
-
Windows Active Template Library
-
Windows Server Update Service
-
Windows Failover Cluster
-
Windows HTTP.sys
-
.NET and Visual Studio
-
Microsoft Office SharePoint
-
Microsoft Office
-
Microsoft Office Outlook
-
Microsoft Office Access
-
Windows Partition Management Driver
-
Windows Cloud Files Mini Filter Driver
-
Windows Defender
-
Microsoft Office Excel
-
Windows Network Load Balancing
-
ASP.NET and .NET
-
Microsoft Dynamics
-
Windows Cryptographic Services
-
Windows PGM
-
Windows Common Log File System Driver
-
Windows Kernel
-
Role: DNS Server
-
Windows VOLSNAP.SYS
-
Windows Online Certificate Status Protocol (OCSP) SnapIn
-
Windows Layer-2 Bridge Network Driver
-
Windows Connected User Experiences and Telemetry
-
Windows Deployment Services
-
Windows Print Spooler Components
-
Windows CDP User Components
-
Windows Transaction Manager
-
Windows Authentication Methods
-
Windows SPNEGO Extended Negotiation
-
Windows Local Security Authority (LSA)
-
Microsoft Media-Wiki Extensions
-
Windows Win32K
-
Windows Peer Name Resolution Protocol
-
Windows CryptoAPI
-
Windows CNG Key Isolation Service
-
Windows Media
-
Windows Image Acquisition
-
Windows Geolocation Service
-
Windows App Store
-
Azure Active Directory
-
Windows Active Directory Certificate Services
-
Windows NT OS Kernel
-
Windows Clip Service
-
Windows Routing and Remote Access Service (RRAS)
-
Mono Authenticode
-
Visual Studio Code
-
Service Fabric
-
Windows Error Reporting
Pour en savoir plus, consultez les Release Notes du MSRC.
Six zero days corrigés, toutes activement exploitées
Le Patch Tuesday de juillet 2023 a vu six vulnérabilités zero day, et malheureusement toutes sont activement exploitées. Examinons ces vulnérabilités en détail :
- CVE-2023-32049 (CVSS 3.1 : 8.8) : Vulnérabilité de contournement de la fonctionnalité de sécurité de Windows SmartScreen.
Microsoft indique que pour exploiter cette vulnérabilité, l'utilisateur doit cliquer sur une URL spécialement conçue par l'attaquant. Cela permettrait à l'attaquant de contourner l'invite "Ouvrir un fichier - Avertissement de sécurité". Bien que cette vulnérabilité soit activement exploitée, le POC pour cette vulnérabilité n'a pas encore été divulgué.
- CVE-2023-32046 (CVSS 3.1:7.8) : Vulnérabilité d'élévation de privilèges de la plate-forme MSHTML de Windows
Cette vulnérabilité activement exploitée dans MSHTML permettrait à l'attaquant "d'obtenir les droits de l'utilisateur qui exécute l'application affectée", déclare Microsoft. La vulnérabilité ne peut être exploitée que par le biais de fichiers spécialement conçus qui sont distribués sous forme de mails et de messages instantanés ou par le biais d'autres techniques d'hameçonnage.
- CVE-2023-35311 (CVSS 3.1 : 8.8) : Vulnérabilité de contournement de la fonctionnalité de sécurité de Microsoft Outlook.
Cette vulnérabilité zero day dans Outlook peut provoquer un contournement de la fonctionnalité de sécurité dans les systèmes exploités, leur permettant de contourner l'invite de l'avis de sécurité de Microsoft Outlook.
Microsoft a déclaré que cette vulnérabilité ne peut être exploitée que lorsque l'utilisateur clique sur une URL spécialement conçue.
- CVE-2023-36874 (CVSS 3.1 : 7.8) Faille d'élévation de privilèges du service de signalement d'erreurs de Windows.
Détectée par le groupe d'analyse des menaces de Google, cette vulnérabilité zero day activement exploitée permet aux attaquants d'obtenir des privilèges administratifs en cas d'exploitation réussie. Pour l'instant, la preuve de concept (POC) de cette vulnérabilité n'a pas encore été divulguée publiquement.
- CVE-2023-36884 (CVSS 3.1 : 8.3) Vulnérabilité d'exécution de code à distance dans Office et Windows HTML
L'avis de Microsoft indique que cette vulnérabilité zero day provoque des attaques ciblées dans les produits Windows et Office via des documents Microsoft Office spécialement conçus. Cette vulnérabilité ne peut être exploitée que lorsque l'utilisateur ouvre les documents spécialement conçus.
Alors que Microsoft enquête sur les attaques d'exécution de code à distance liées à cette vulnérabilité, elle a publié les mesures à prendre pour protéger les systèmes contre cette vulnérabilité.
- ADV230001 : Conseils sur l'utilisation malveillante de pilotes signés par Microsoft
En plus des vulnérabilités zero day activement exploitées mentionnées ci-dessus, Microsoft a également publié un avis. Cet avis s'inscrit dans le cadre de la stratégie Defense in Depth, axée sur la prévention de l'exploitation ou du vol de données.
Au début de l'année 2023, Microsoft a été informé de l'existence de certains pilotes certifiés par le Windows Hardware Developer Program de Microsoft, qui étaient utilisés à des fins malveillantes dans le cadre d'activités de post-exploitation. En exploitant ces pilotes, les attaquants avaient obtenu des privilèges administratifs sur les systèmes compromis. L'enquête a révélé que plusieurs comptes de développeurs du Microsoft Partner Center (MPC) avaient soumis des pilotes malveillants afin d'obtenir une signature Microsoft. Tous les comptes de développeurs impliqués dans cet incident ont été immédiatement suspendus".
Pour en savoir plus, consultez l'avis officiel de Microsoft.
Mises à jour tierces publiées après le Patch Tuesday du mois dernier
Des éditeurs tiers tels qu'Adobe, AMD, Google, Microsoft, Cisco, VMware, MOVEit et SAP ont également publié des mises à jour en juillet.
Les bonnes pratiques pour gérer les correctifs dans un environnement de travail hybride
La plupart des entreprises ont choisi d'adopter le travail à distance même après avoir été autorisées à retourner au bureau. Cette décision pose divers problèmes aux administrateurs informatiques, notamment en termes de gestion et de sécurisation des terminaux distribués. Voici quelques conseils pour faciliter le processus de déploiement de correctifs à distance.
Voici quelques conseils pour simplifier le processus de mise en production de vos terminaux :
- Désactivez les mises à jour automatiques car un seul correctif défectueux pourrait faire tomber tout le système. Les administrateurs informatiques peuvent apprendre aux utilisateurs finaux à désactiver les mises à jour automatiques sur leurs machines. Patch Manager Plus et Desktop Central disposent également d'un correctif dédié, 105427, qui peut être déployé sur les terminaux pour s'assurer que les mises à jour automatiques sont désactivées.
- Créez un point de restauration - une sauvegarde ou une image qui capture l'état des machines - avant de déployer des mises à jour importantes comme celles du Patch Tuesday.
- Établissez un calendrier de déploiement des correctifs et tenez-en informés les utilisateurs finaux. Il est recommandé de fixer une heure pour le déploiement des correctifs et le redémarrage des systèmes. Informez les utilisateurs finaux de ce qui doit être fait de leur côté pour que les correctifs soient appliqués sans problème.
- Testez les correctifs sur un groupe pilote de systèmes avant de les déployer dans l'environnement de production. Ceci permettra de s'assurer que les correctifs n'interfèrent pas avec le fonctionnement d'autres applications.
- Étant donné que de nombreux utilisateurs travaillent à domicile, ils peuvent tous avoir des horaires différents ; dans ce cas, vous pouvez permettre aux utilisateurs finaux de reporter le déploiement et les redémarrages programmés. Ainsi, ils auront la liberté d'installer les mises à jour à leur convenance et de ne pas perturber leur travail. Nos produits de gestion des correctifs sont dotés d'options de déploiement et de redémarrage définies par l'utilisateur.
- La plupart des entreprises appliquent des correctifs en utilisant un VPN. Pour éviter que les tâches de déploiement des correctifs ne consomment la bande passante de votre VPN, installez d'abord les correctifs critiques et les mises à jour de sécurité. Il est préférable d'attendre avant de déployer les packs de fonctionnalités et les mises à jour cumulatives, car il s'agit de mises à jour volumineuses qui consomment trop de bande passante.
- Planifiez le déploiement des mises à jour de sécurité et des mises à jour non critiques après le Patch Tuesday, par exemple au cours de la troisième ou quatrième semaine du mois. Vous pouvez également choisir de refuser certaines mises à jour si vous estimez qu'elles ne sont pas nécessaires dans votre environnement.
- Exécutez des rapports de correctifs pour obtenir une vue détaillée de l'état de santé de vos terminaux.
- Pour les machines appartenant à des utilisateurs qui reviennent au bureau après avoir travaillé à distance, vérifiez si elles sont conformes à vos stratégies de sécurité. Si ce n'est pas le cas, mettez-les en quarantaine.
- Installez les dernières mises à jour et les derniers packs de fonctionnalités avant de considérer que vos machines de retour au bureau sont aptes à la production.
- Faites l'inventaire et supprimez les applications qui sont désormais obsolètes pour vos machines de retour au bureau, comme les logiciels de collaboration à distance.
Avec Endpoint Central ou Patch Manager Plus, vous pouvez automatiser entièrement le processus de gestion des correctifs, du test des correctifs à leur déploiement. Vous pouvez également adapter les tâches de déploiement de correctifs en fonction de votre situation actuelle. Pour une expérience pratique de l'un ou l'autre de ces produits, démarrez un essai gratuit de 30 jours et gardez des milliers d'applications corrigées et sécurisées.
Vous souhaitez en savoir plus sur les mises à jour du Patch Tuesday ? Rejoignez nos experts qui analysent en profondeur les mises à jour Patch Tuesday de ce mois-ci. Vous pouvez également poser des questions à nos experts et obtenir des réponses immédiates. Inscrivez-vous (en anglais) à notre webinaire gratuit Patch Tuesday.
A vos marques, prêts, patchez !