Pourquoi être navrés quand on peut être en sécurité ? Bienvenue au 10e Patch Tuesday de l'année 2023. Alors que le mois de la sensibilisation à la cybersécurité fait la promotion des moyens de se protéger, voyons ce que nos amis de Microsoft ont en réserve pour nous.
En commençant par les mises à jour du Patch Tuesday d'octobre 2023, Microsoft a publié des correctifs pour 103 vulnérabilités, y compris trois vulnérabilités zero day.
Après avoir abordé les mises à jour de ce mois-ci, nous vous donnerons des conseils pour élaborer un plan de gestion des correctifs dans un environnement de travail hybride. Vous pouvez également vous inscrire à notre webinaire gratuit Patch Tuesday et écouter nos experts analyser en détail ces mises à jour Patch Tuesday.
Qu'est-ce que le Patch Tuesday ?
Le Patch Tuesday a lieu le deuxième mardi de chaque mois. Ce jour-là, Microsoft publie des mises à jour de sécurité et non-sécuritaire pour son système d'exploitation et d'autres applications connexes. Microsoft ayant maintenu ce processus de publication de mises à jour mensuelles depuis 2003, les administrateurs informatiques s'attendent à ces mises à jour et ont le temps de s'y préparer.
Pourquoi le Patch Tuesday est-il important ?
Les mises à jour de sécurité importantes et les correctifs destinés à corriger des bugs ou des vulnérabilités critiques sont publiés à l'occasion du Patch Tuesday. En général, les vulnérabilités zero day sont également corrigées lors du Patch Tuesday, à moins qu'il ne s'agisse d'une vulnérabilité critique et hautement exploitée, auquel cas une mise à jour de sécurité hors bande est publiée pour corriger cette vulnérabilité particulière.
Le Patch Tuesday d'octobre 2023 : Mise à jour de sécurité
Des mises à jour de sécurité ont été publiées pour les produits, fonctionnalités et rôles suivants :
- Windows RDP
- Windows Message Queuing
- Azure SDK
- Microsoft Dynamics
- SQL Server
- Azure Real Time Operating System
- Azure
- Windows IIS
- Microsoft QUIC
- Windows HTML Platform
- Windows TCP/IP
- Azure DevOps
- Microsoft WordPad
- Microsoft Windows Search Component
- Microsoft Office
- Microsoft Common Data Model SDK
- Windows Deployment Services
- Windows Kernel
- Microsoft WDAC OLE DB provider for SQL
- Windows Mark of the Web (MOTW)
- Windows Active Template Library
- Microsoft Graphics Component
- Windows Remote Procedure Call
- Windows Named Pipe File System
- Windows Resilient File System (ReFS)
- Windows Microsoft DirectMusic
- Windows DHCP Server
- Windows Setup Files Cleanup
- Windows AllJoyn API
- Microsoft Windows Media Foundation
- Windows Runtime C++ Template Library
- Windows Common Log File System Driver
- Windows TPM
- Windows Virtual Trusted Platform Module
- Windows Mixed Reality Developer Tools
- Windows Error Reporting
- Active Directory Domain Services
- Windows Container Manager Service
- Windows Power Management Service
- Windows NT OS Kernel
- Windows IKE Extension
- Windows Win32K
- Microsoft Exchange Server
- Skype for Business
- Windows Client/Server Runtime Subsystem
- Windows Layer 2 Tunneling Protocol
- Client Server Run-time Subsystem (CSRSS)
Par ailleurs, Microsoft a également republié six CVE non Microsoft, notamment dans Chrome, Autodesk et Electron. Pour en savoir plus, consultez le MSRC’s release notes.
Trois vulnérabilités zero day corrigées, toutes activement exploitées
Le Patch Tuesday d'octobre 2023 a vu trois vulnérabilités zero day, et malheureusement toutes sont activement exploitées. Examinons ces vulnérabilités en détail :
- CVE-2023-36563 - Vulnérabilité de divulgation d'informations de Microsoft WordPad
Classée comme importante avec un score CVSS 3.1 de 6.5, cette vulnérabilité zero day dans Microsoft WordPad est activement et publiquement exploitée.
Microsoft a révélé que cette vulnérabilité, une fois exploitée, peut divulguer les hachages NTLM. En outre, pour exploiter la vulnérabilité, l'attaquant doit d'abord se connecter au système cible, puis ouvrir une application malveillante spécialement conçue. D'autre part, cette vulnérabilité peut également être exploitée par le biais d'attaques de phishing en incitant l'attaquant à cliquer sur un lien spécialement conçu pour ouvrir l'application malveillante.
- CVE-2023-44487 - Attaque de réinitialisation rapide HTTP/2
Encore une autre zero day activement exploitée, cette vulnérabilité a été classée comme importante et peut provoquer un déni de service dans les systèmes. Bien que la preuve de concept de cette vulnérabilité n'ait pas encore été divulguée publiquement, Microsoft a vivement conseillé aux utilisateurs d'installer les mises à jour pour cette vulnérabilité dès que possible.
En outre, Microsoft a également mis en place des solutions de contournement pour cette vulnérabilité qui peuvent être trouvées sur le blog du MSRC.
- CVE-2023-41763 - Vulnérabilité d'élévation de privilèges dans Skype for Business
Dernier mais non le moindre dans cette liste de zero days, celle-ci, activement exploitée et publiquement exposée, a été classée comme importante avec un score CVSS 3.1 de 5.3.
Selon Microsoft, "Un attaquant pourrait effectuer un appel réseau spécialement conçu vers le serveur Skype for Business cible, ce qui pourrait entraîner l'analyse d'une requête http faite à une adresse arbitraire. Cela pourrait permettre à l'attaquant de divulguer des adresses IP ou des numéros de port, voire les deux."
Mises à jour de tiers publiées après le Patch Tuesday du mois dernier
Des éditeurs tiers tels qu'Apple, Arm, Google, Citrix, Exim, GNOME et SAP ont également publié des mises à jour en octobre.
Les bonnes pratiques pour gérer les correctifs dans un environnement de travail hybride
La plupart des entreprises ont choisi d'adopter le travail à distance même après avoir été autorisées à retourner au bureau. Cette décision pose divers problèmes aux administrateurs informatiques, notamment en termes de gestion et de sécurisation des terminaux distribués. Voici quelques conseils pour faciliter le processus de déploiement de correctifs à distance.
Voici quelques conseils pour simplifier le processus de mise en production de vos terminaux :
- Désactivez les mises à jour automatiques car un seul correctif défectueux pourrait faire tomber tout le système. Les administrateurs informatiques peuvent apprendre aux utilisateurs finaux à désactiver les mises à jour automatiques sur leurs machines. Patch Manager Plus et Desktop Central disposent également d'un correctif dédié, 105427, qui peut être déployé sur les terminaux pour s'assurer que les mises à jour automatiques sont désactivées.
- Créez un point de restauration - une sauvegarde ou une image qui capture l'état des machines - avant de déployer des mises à jour importantes comme celles du Patch Tuesday.
- Établissez un calendrier de déploiement des correctifs et tenez-en informés les utilisateurs finaux. Il est recommandé de fixer une heure pour le déploiement des correctifs et le redémarrage des systèmes. Informez les utilisateurs finaux de ce qui doit être fait de leur côté pour que les correctifs soient appliqués sans problème.
- Testez les correctifs sur un groupe pilote de systèmes avant de les déployer dans l'environnement de production. Ceci permettra de s'assurer que les correctifs n'interfèrent pas avec le fonctionnement d'autres applications.
- Étant donné que de nombreux utilisateurs travaillent à domicile, ils peuvent tous avoir des horaires différents ; dans ce cas, vous pouvez permettre aux utilisateurs finaux de reporter le déploiement et les redémarrages programmés. Ainsi, ils auront la liberté d'installer les mises à jour à leur convenance et de ne pas perturber leur travail. Nos produits de gestion des correctifs sont dotés d'options de déploiement et de redémarrage définies par l'utilisateur.
- La plupart des entreprises appliquent des correctifs en utilisant un VPN. Pour éviter que les tâches de déploiement des correctifs ne consomment la bande passante de votre VPN, installez d'abord les correctifs critiques et les mises à jour de sécurité. Il est préférable d'attendre avant de déployer les packs de fonctionnalités et les mises à jour cumulatives, car il s'agit de mises à jour volumineuses qui consomment trop de bande passante.
- Planifiez le déploiement des mises à jour de sécurité et des mises à jour non critiques après le Patch Tuesday, par exemple au cours de la troisième ou quatrième semaine du mois. Vous pouvez également choisir de refuser certaines mises à jour si vous estimez qu'elles ne sont pas nécessaires dans votre environnement.
- Exécutez des rapports de correctifs pour obtenir une vue détaillée de l'état de santé de vos terminaux.
- Pour les machines appartenant à des utilisateurs qui reviennent au bureau après avoir travaillé à distance, vérifiez si elles sont conformes à vos stratégies de sécurité. Si ce n'est pas le cas, mettez-les en quarantaine.
- Installez les dernières mises à jour et les derniers packs de fonctionnalités avant de considérer que vos machines de retour au bureau sont aptes à la production.
- Faites l'inventaire et supprimez les applications qui sont désormais obsolètes pour vos machines de retour au bureau, comme les logiciels de collaboration à distance.
Avec Endpoint Central ou Patch Manager Plus, vous pouvez automatiser entièrement le processus de gestion des correctifs, du test des correctifs à leur déploiement. Vous pouvez également adapter les tâches de déploiement de correctifs en fonction de votre situation actuelle. Pour une expérience pratique de l'un ou l'autre de ces produits, démarrez un essai gratuit de 30 jours et gardez des milliers d'applications corrigées et sécurisées.
Vous souhaitez en savoir plus sur les mises à jour du Patch Tuesday ? Rejoignez nos experts qui analysent en profondeur les mises à jour Patch Tuesday de ce mois-ci. Vous pouvez également poser des questions à nos experts et obtenir des réponses immédiates. Inscrivez-vous (en anglais) à notre webinaire gratuit Patch Tuesday.
A vos marques, prêts, patchez !