Produits affectés :

● Systèmes d’exploitation Windows

● Microsoft Office 365

● Azure Sphere, Site Recovery, Real Time OS et agent de nœud Azure Batch

● .NET Core

● Visual Studio

● Exchange Server

Vulnérabilités Zero Day et divulgations publiques :

Microsoft résout une vulnérabilité RCE (Exécution de code à distance) dans l’Outil de diagnostic du Support Microsoft Windows (MSDT) (CVE-2022-34713). Cette vulnérabilité a été publiquement divulguée et reconnue dans des attaques sur le terrain. Il s’agit d’une vulnérabilité ciblant l’utilisateur. Cela signifie qu’un pirate peut cibler l’utilisateur à l’aide de différentes tactiques d’ingénierie sociale, notamment en envoyant par e-mail un fichier spécialement conçu, ou en convainquant l’utilisateur de cliquer sur un contenu Web hébergé créé spécifiquement pour exploiter la vulnérabilité. Cette vulnérabilité affecte toutes les versions de l’OS Windows et Microsoft l’a classée Important. En raison de la divulgation publique et des attaques connues qui ciblent cette vulnérabilité, nous vous recommandons d’en faire votre principale priorité.

Microsoft résout une vulnérabilité de divulgation d’informations dans Exchange Server (CVE-2022-30134). La divulgation publique ne fournit pas de code d’exploitation opérationnel. Outre la mise à jour d’Exchange Server, vous devez suivre des étapes supplémentaires pour empêcher les pirates de cibler cette vulnérabilité. Pour en savoir plus sur ce problème, consultez le site The Exchange Blog. Vous trouverez aussi des informations sur l’implémentation de la protection étendue Windows ici.

Mises à jour tierces :

Adobe publie 5 mises à jour aujourd’hui, pour traiter 26 CVE, dont une mise à jour Priorité 2 pour Adobe Acrobat and Reader (APSB22-39). Il publie aussi des mises à jour Priorité 3 pour Adobe Commerce, Illustrator, FrameMaker et Premiere Elements. Ces cinq mises à jour corrigent toutes au moins une CVE de niveau Critique, mais la priorité indiquée par Adobe aide à classer les vulnérabilités par niveau de risque. La mention Priorité 1 signale que la mise à jour inclut une CVE activement exploitée. Priorité 2 correspond aux mises à jour urgentes pour les produits couramment ciblés par les pirates et Priorité 3 est la gravité de CVE la plus faible, qui correspond aux produits les moins susceptibles d’intéresser les pirates. Si l’on se fie à cette priorisation, les mises à jour Adobe Acrobat and Reader doivent être traitées immédiatement. Les quatre autres mises à jour doivent être appliquées dès que possible, mais elles sont moins urgentes.

Cycle de vie des OS Microsoft et évolution de la prise en charge :

Il reste seulement 6 mois de mises à jour ESU pour Windows 7 et Windows Server 2008/2008 R2, à compter de la mise à jour Patch Tuesday du mois d’août. Vous devez vous préparer à supprimer très bientôt ces anciens systèmes d’exploitation. Microsoft prévoit une 4e année de prise en charge pour les environnements Azure uniquement. La prise en charge de tous les autres systèmes 2008/2008 R2 prendra fin après le Patch Tuesday de janvier 2023.

Windows Server 2012/2012 R2 atteindra sa date de fin du support étendu (ESU) le 10 octobre 2023. Cela paraît peut-être lointain, mais de nombreuses entreprises prévoient leur budget 2023 dès maintenant. C’est donc le moment idéal pour réfléchir aux plans de votre entreprise pour cette plateforme serveur. Si vous prévoyez de supprimer ces systèmes avant leur date de fin, il vous reste un peu plus d’un an pour vous assurer que vous avez planifié la migration de vos charges de traitement 2012/2012 R2 vers une plateforme plus récente. Si vous savez que vous aurez besoin d’étendre la prise en charge, le fait de prévoir dès aujourd’hui votre budget pour le support ESU vous permettra de ne pas être à court en octobre 2023.

Microsoft met fin à son support Canal semi-annuel Windows Server (SAC) ce mois-ci. Windows Server 20H2 atteint sa date de fin de prise en charge le 9 août et ce sera la toute dernière version SAC. Plus aucune mise à jour de sécurité ne sera publiée pour cette version. Microsoft est passé au Canal de maintenance à long terme (LTSC) pour la prise en charge des serveurs. Il est prévu qu’ils publient une mise à jour tous les 2-3 ans et fournissent 5 ans de prise en charge standard, plus 5 ans supplémentaires de support de sécurité étendu (ESU). Windows Server 2019 et Windows Server 2022 sont les dernières versions LTSC, avec un support standard assuré, respectivement, jusqu’à janvier 2024 et octobre 2026. Si vous exécutez Windows Server 20H2, nous vous encourageons à le mettre à jour vers l’une des versions LTSC mais, attention : vous devrez installer de zéro une mise à jour « propre », alors il faut vous préparer en conséquence.

La date de fin de prise en charge des versions Édition familiale, Pro, Enterprise et Éducation de Windows 10 21H1 est le 13 décembre 2022. Cette date de fin tombe au milieu de la période où de nombreuses entreprises cessent tout changement IT en raison des fêtes de fin d’année. Il vaut mieux prévoir à l’avance pour vous assurer de bien mettre à niveau ces systèmes 21H2 ou 22H2 (lorsque cette version sortira), pour éviter une course contre la montre en janvier pour cette mise à niveau.

Pour ce Patch Tuesday, Microsoft supprime également l’atténuation temporaire pour CVE-2021-33764. Cette atténuation permettait aux administrateurs de configurer des contrôleurs de domaine pour qu’ils fonctionnent avec les imprimantes incompatibles avec RFC-4456. Plusieurs mises à jour ont été publiées toute l’année pour KB5005408 afin d’aider les administrateurs à identifier et à gérer ces imprimantes non conformes. D’après Microsoft, à compter du 9 août, « Les imprimantes et scanners avec authentification par carte à puce doivent être conformes à la section 3.2.1 de la norme RFC 4556 requise pour CVE-2021-33764, après installation de ces mises à jour ou d’une version plus récente sur les contrôleurs de domaine Active Directory. » Cela peut causer des perturbations si vous n’avez pas anticipé et mis à jour vos imprimantes. Si vous doutez que cela impacte votre environnement, sachez que l’aperçu d’août publié le 21 juillet supprime l’atténuation et bloque toute impression sur les périphériques non conformes.

Priorités du mois d’août :

● Plusieurs CVE sont associées à la mise à jour de l’OS Windows, dont une est connue pour avoir été exploitée/divulguée publiquement (CVE-2022-34713).

● Exchange Server comporte une CVE divulguée publiquement (CVE-2022-30134), et la remédiation complète de cette vulnérabilité de sécurité nécessite aussi des opérations supplémentaires.

● Adobe Acrobat and Reader résout trois CVE de type Critique, et c’est une application très souvent ciblée.