Bienvenue dans la mise à jour du Patch Tuesday d'octobre 2024, qui répertorie les correctifs de 117 vulnérabilités. Ce mois-ci, il y a cinq vulnérabilités zero day, dont deux sont activement exploitées, tandis que les cinq autres ont été divulguées publiquement. Après une première discussion sur les mises à jour de ce mois, nous vous donnerons nos conseils pour élaborer un plan de gestion des correctifs dans un environnement de travail hybride. Vous pouvez également vous inscrire à notre webinaire gratuit Patch Tuesday et écouter nos experts analyser en détail les mises à jour Patch Tuesday.
Qu'est-ce que le Patch Tuesday ?
Le Patch Tuesday a lieu le deuxième mardi de chaque mois. Ce jour-là, Microsoft publie des mises à jour de sécurité et de non-sécurité pour son système d'exploitation et d'autres applications connexes. Étant donné que Microsoft a maintenu ce processus de publication périodique des mises à jour, les administrateurs informatiques s'attendent à ces mises à jour et ont le temps de s'y préparer.
Pourquoi le Patch Tuesday est-il important ?
Les mises à jour de sécurité importantes et les correctifs destinés à corriger des bugs ou des vulnérabilités critiques sont publiés à l'occasion du Patch Tuesday. En général, les vulnérabilités zero day sont également corrigées lors du Patch Tuesday, sauf si la vulnérabilité est critique et très exploitée, auquel cas une mise à jour de sécurité hors bande est publiée pour remédier à cette vulnérabilité particulière.
Patch Tuesday d'octobre 2024
Liste des mises à jour de sécurité
Voici la liste des vulnérabilités corrigées ce mois-ci :
CVE IDs : 117
CVE IDs republiés : 4 (plus de détails ci-dessous)
Des mises à jour de sécurité ont été publiées pour les produits, fonctionnalités et rôles suivants :
- Role: Windows Hyper-V
- Windows Hyper-V
- Windows EFI Partition
- Windows Kernel
- OpenSSH for Windows
- Azure Monitor
- Windows Netlogon
- Windows Kerberos
- BranchCache
- Azure Stack
- Windows Routing and Remote Access Service (RRAS)
- .NET and Visual Studio
- Windows Remote Desktop Licensing Service
- Windows Remote Desktop Services
- Microsoft Configuration Manager
- Service Fabric
- Power BI
- .NET, .NET Framework, Visual Studio
- Visual Studio Code
- DeepSpeed
- Windows Resilient File System (ReFS)
- Windows Common Log File System Driver
- Microsoft Office SharePoint
- Microsoft Office Excel
- Microsoft Office Visio
- Microsoft Graphics Component
- Windows Standards-Based Storage Management Service
- Windows BitLocker
- Windows NTFS
- Internet Small Computer Systems Interface (iSCSI)
- Windows Secure Kernel Mode
- Microsoft ActiveX
- Windows Telephony Server
- Microsoft WDAC OLE DB provider for SQL
- Windows Local Security Authority (LSA)
- Windows Mobile Broadband
- Windows Print Spooler Components
- RPC Endpoint Mapper Service
- Remote Desktop Client
- Windows Kernel-Mode Drivers
- Microsoft Simple Certificate Enrollment Protocol
- Windows Online Certificate Status Protocol (OCSP)
- Windows Cryptographic Services
- Windows Secure Channel
- Windows Storage
- Windows Shell
- Windows NT OS Kernel
- Windows Storage Port Driver
- Windows Network Address Translation (NAT)
- Windows Ancillary Function Driver for WinSock
- Sudo for Windows
- Microsoft Management Console
- Windows MSHTML Platform
- Microsoft Windows Speech
- Microsoft Office
- Windows Remote Desktop
- Winlogon
- Windows Scripting
- Code Integrity Guard
- Visual C++ Redistributable Installer
- Azure CLI
- Visual Studio
- Outlook for Android
- Microsoft Defender for Endpoint
Pour en savoir plus, consultez le MSRC’s release notes.
Détails des vulnérabilités zero day
Composant vulnérable : Console de gestion Microsoft
Impact : Exécution de code à distance
CVSS 3.1 : 7.8
Le score de cette vulnérabilité indique qu'elle peut être exploitée localement et qu'elle nécessite l'intervention de l'utilisateur. Cela implique que l'attaque peut être réalisée par des attaques d'ingénierie sociale et que l'acteur de la menace peut également l'exploiter à distance.
Microsoft déclare : « La mise à jour de sécurité empêchera l'ouverture de fichiers Microsoft Saved Console (MSC) non fiables afin de protéger les clients contre les risques associés à cette vulnérabilité. »
Cette vulnérabilité a été divulguée publiquement et est activement exploitée.
Composant vulnérable : Plate-forme Windows MSHTML
Impact : usurpation d'identité
CVSS 3.1 : 6.5
Selon Microsoft, bien qu'Internet Explorer 11 et l'ancienne version de Edge aient été progressivement supprimés, certaines technologies sous-jacentes telles que MSHTML et EdgeHTML sont toujours utilisées par les anciennes applications, y compris le mode Internet Explorer dans le nouveau Microsoft Edge. Ces technologies sont essentielles à l'exécution des applications anciennes et nécessitent des mises à jour régulières pour rester sécurisées.
Pour les utilisateurs de Windows Server 2008, 2008 R2 et 2012, les mises à jour spécifiques liées aux plateformes plus récentes peuvent ne pas s'appliquer. Toutefois, Microsoft recommande aux utilisateurs qui installent les mises à jour Security Only d'installer les mises à jour IE Cumulative pour cette vulnérabilité.
Cette vulnérabilité a été divulguée publiquement et est activement exploitée.
Composant vulnérable : Windows Hyper-V
Impact : Contournement de la fonctionnalité de sécurité
CVSS 3.1 : 7.1
Pour que cette vulnérabilité soit exploitée avec succès, l'attaquant doit d'abord obtenir l'accès au réseau restreint, puis faire démarrer le système par l'utilisateur.
Le MSRC déclare : « Cette vulnérabilité de l'hyperviseur concerne les machines virtuelles au sein d'une machine hôte UEFI (Unified Extensible Firmware Interface). Sur certains matériels spécifiques, il pourrait être possible de contourner l'UEFI, ce qui pourrait conduire à la compromission de l'hyperviseur et du noyau sécurisé ».
Cette vulnérabilité a été divulguée publiquement.
Composant vulnérable : Winlogon (Connexion Windows)
Impact : Elévation de privilèges
CVSS 3.1 : 7.8
Microsoft déclare : « Un attaquant qui réussirait à exploiter cette vulnérabilité pourrait obtenir les privilèges du système ». Il est recommandé d'activer un IME tiers Microsoft sur les appareils pour remédier à cette vulnérabilité. Découvrez comment activer un IME tiers Microsoft.
Cette vulnérabilité a été divulguée publiquement.
Composant vulnérable : Open Source Curl
Impact : Exécution de code à distance
CVSS 3.1 : 8.8
Microsoft indique que cette attaque nécessite qu'un client se connecte à un serveur malveillant, ce qui pourrait permettre à l'attaquant d'obtenir des privilèges d'exécution de code sur le client. Pour en savoir plus sur la vulnérabilité, vous pouvez consulter l'avis officiel de Curl.
Cette vulnérabilité a été divulguée publiquement.
Mises à jour de tiers publiées après le Patch Tuesday du mois dernier
Certains fournisseurs tiers tels que Fortinet, Cisco, Qualcomm et Ivanti ont également publié des mises à jour en octobre.
Les bonnes pratiques pour gérer les correctifs dans un environnement de travail hybride
La plupart des entreprises ont choisi d'adopter le travail à distance même après avoir été autorisées à retourner au bureau. Cette décision pose divers problèmes aux administrateurs informatiques, notamment en termes de gestion et de sécurisation des terminaux distribués. Voici quelques conseils pour faciliter le processus de déploiement de correctifs à distance.
Voici quelques conseils pour simplifier le processus de mise en production de vos terminaux :
- Désactivez les mises à jour automatiques car un seul correctif défectueux pourrait faire tomber tout le système. Les administrateurs informatiques peuvent apprendre aux utilisateurs finaux à désactiver les mises à jour automatiques sur leurs machines. Patch Manager Plus et Desktop Central disposent également d'un correctif dédié, 105427, qui peut être déployé sur les terminaux pour s'assurer que les mises à jour automatiques sont désactivées.
- Créez un point de restauration - une sauvegarde ou une image qui capture l'état des machines - avant de déployer des mises à jour importantes comme celles du Patch Tuesday.
- Établissez un calendrier de déploiement des correctifs et tenez-en informés les utilisateurs finaux. Il est recommandé de fixer une heure pour le déploiement des correctifs et le redémarrage des systèmes. Informez les utilisateurs finaux de ce qui doit être fait de leur côté pour que les correctifs soient appliqués sans problème.
- Testez les correctifs sur un groupe pilote de systèmes avant de les déployer dans l'environnement de production. Ceci permettra de s'assurer que les correctifs n'interfèrent pas avec le fonctionnement d'autres applications.
- Étant donné que de nombreux utilisateurs travaillent à domicile, ils peuvent tous avoir des horaires différents ; dans ce cas, vous pouvez permettre aux utilisateurs finaux de reporter le déploiement et les redémarrages programmés. Ainsi, ils auront la liberté d'installer les mises à jour à leur convenance et de ne pas perturber leur travail. Nos produits de gestion des correctifs sont dotés d'options de déploiement et de redémarrage définies par l'utilisateur.
- La plupart des entreprises appliquent des correctifs en utilisant un VPN. Pour éviter que les tâches de déploiement des correctifs ne consomment la bande passante de votre VPN, installez d'abord les correctifs critiques et les mises à jour de sécurité. Il est préférable d'attendre avant de déployer les packs de fonctionnalités et les mises à jour cumulatives, car il s'agit de mises à jour volumineuses qui consomment trop de bande passante.
- Planifiez le déploiement des mises à jour de sécurité et des mises à jour non critiques après le Patch Tuesday, par exemple au cours de la troisième ou quatrième semaine du mois. Vous pouvez également choisir de refuser certaines mises à jour si vous estimez qu'elles ne sont pas nécessaires dans votre environnement.
- Exécutez des rapports de correctifs pour obtenir une vue détaillée de l'état de santé de vos terminaux.
- Pour les machines appartenant à des utilisateurs qui reviennent au bureau après avoir travaillé à distance, vérifiez si elles sont conformes à vos stratégies de sécurité. Si ce n'est pas le cas, mettez-les en quarantaine.
- Installez les dernières mises à jour et les derniers packs de fonctionnalités avant de considérer que vos machines de retour au bureau sont aptes à la production.
- Faites l'inventaire et supprimez les applications qui sont désormais obsolètes pour vos machines de retour au bureau, comme les logiciels de collaboration à distance.
Avec Endpoint Central, Patch Manager Plus ou Vulnerability Manager Plus, vous pouvez automatiser entièrement le processus de gestion des correctifs, du test des correctifs à leur déploiement. Vous pouvez également adapter les tâches de déploiement de correctifs en fonction de votre situation actuelle. Pour une expérience pratique de l'un ou l'autre de ces produits, démarrez un essai gratuit de 30 jours et gardez des milliers d'applications corrigées et sécurisées.
Vous souhaitez en savoir plus sur les mises à jour du Patch Tuesday ? Rejoignez nos experts qui analysent en profondeur les mises à jour Patch Tuesday de ce mois-ci. Vous pouvez également poser des questions à nos experts et obtenir des réponses immédiates. Inscrivez-vous (en anglais) à notre webinaire gratuit Patch Tuesday.
A vos marques, prêts, patchez !