Patch Tuesday pour les produits Microsoft
Le Microsoft Patch Tuesday pour octobre 2019 couvre les vulnérabilités de :
- Azure
- Internet Explorer
- Microsoft Edge
- Microsoft Scripting Engine
- Microsoft Windows
- SQL Server
- ChakraCore
- Microsoft Office, Office services, et web apps
- Microsoft Dynamics 365
- Windows Update Assistant
- Team Foundation Server
- .NET Framework
Examinons les vulnérabilités importantes qui ont été corrigées dans le cadre de ce Patch Tuesday.
Deux vulnérabilités d'authentification NTLM (New Technology LAN Manager) corrigées
Deux vulnérabilités qui contournent la protection par message integrity code (MIC) sur l'authentification NTLM et causent une compromission complète du domaine dans les réseaux ont été corrigées par ce Patch Tuesday. Ces vulnérabilités, si elles ne sont pas corrigées, permettront aux attaquants de contourner d'autres mesures de protection des relais NTLM, comme la protection étendue pour l'authentification (EPA) et la validation du nom principal du service cible (SPN) pour certains anciens clients NTLM qui envoient des challenge-response LMv2. En bref, si cette vulnérabilité est exploitée, tous les clients d'Active Directory (AD) ayant des configurations par défaut pourraient être vulnérables à un contournement MIC qui permet une attaque par relais NTLM.
Vulnérabilités critiques corrigées
En plus des vulnérabilités mentionnées ci-dessus, huit vulnérabilités critiques ont été traitées. Ces vulnérabilités sont présentes dans Azure, Microsoft Scripting Engine et Windows Remote Desktop Protocol (RDP). Les vulnérabilités de ce niveau de sévérité sont facilement exploitables et peuvent entraîner l'exécution de code à distance (RCE) et la corruption de la mémoire, le tout avec peu ou pas d'interaction de la part de l'utilisateur. Comme toujours, les vulnérabilités critiques doivent recevoir la plus grande attention et être corrigées en priorité.
Autres vulnérabilités importantes
Il y a trois autres vulnérabilités intéressantes à prendre en compte. Deux d'entre elles sont des vulnérabilités RCE trouvées dans VBScript Engine, tandis que l'autre est dans le client Remote Desktop.
- Les vulnérabilités VBScript (CVE-2019-1238 et CVE-2019-1239) peuvent être exploitées en envoyant des documents Office malveillants en pièce jointe ou via des sites Web spécialement conçus pour déclencher une vulnérabilité dans Internet Explorer.
- La vulnérabilité RCE du client Remote Desktop est assignée à l'ID CVE-2019-1333 et permet à un serveur malveillant d'exécuter des commandes sur un client quand il se connecte via RDP.
Mises à jour non liées à la sécurité
Microsoft a publié plusieurs mises à jour non liées à la sécurité pour Microsoft Office 2016, Outlook 2016, Outlook 2013, Outlook 2010, Word 2016, etc. Les mises à jour non liées à la sécurité peuvent de préférence être corrigées après l'envoi des mises à jour de sécurité.
Comment gérer les mises à jour de ce Microsoft Patch Tuesday pour octobre 2019
Si vous êtes un administrateur système, vous avez les mains pleines pour les deux prochaines semaines avec ces mises à jour du Patch Tuesday. Cependant, vous pouvez suivre les pratiques ci-dessous pour rendre le processus de correction efficace et sans tracas.
- Donner la priorité aux correctifs pour les huit vulnérabilités critiques : CVE-2019-1372, CVE-2019-1366, CVE-2019-1060, CVE-2019-1307, CVE-2019-1308, CVE-2019-1239 et CVE-2019-1238.
- Automatisez toutes les autres mises à jour importantes et modérées dans la foulée.
- Planifiez les mises à jour de Patch Tuesday pour les distribuer en dehors des heures de bureau afin d'éviter les temps d'arrêt.
- Créez un groupe de test pour vérifier la stabilité des mises à jour du Patch Tuesday avant de les déployer sur les machines de production.
- Déclinez les correctifs moins critiques et déployez-les une fois que les principaux problèmes sont réglés.
- Reportez ou planifiez les redémarrages pour les machines et serveurs critiques.
- Exécutez des rapports de correctifs pour vous assurer que les terminaux sont à jour avec les derniers correctifs.
Nous vous entendons déjà soupirer rien qu'en pensant à ce processus fastidieux.
Mais ne vous inquiétez pas, on s'occupe de vous.
ManageEngine offre deux solutions : Desktop Central et Patch Manager Plus. Les deux vous aident à automatiser toutes les meilleures pratiques mentionnées ci-dessus à partir d'une console centrale. Essayez les deux solutions gratuitement pendant 30 jours pour garder à jour plus de 750 applications, dont plus de 300 applications tierces.
Bon patching!
Karthika Surendran, Content Writer chez ManageEngine