Pour les lecteurs de Solution Numériques, voici l’analyse de L’analyse de Chris Goettl, Vice President of Product Management chez Ivanti.
Le Patch Tuesday d’octobre concerne principalement les produits Microsoft, mais il inclut une mise à jour pour Adobe Acrobat and Reader (APSB22-46) et sert de prélude à la mise à jour CPU trimestrielle Oracle, qui sortira le mardi 18 octobre. Cette CPU Oracle contiendra sans doute une mise à jour pour Java, qui va déclencher la publication d’une série d’alternatives Java supplémentaires. Ainsi, quelle que soit la version de Java que vous utilisez, attendez-vous à en recevoir des mises à jour dans les quelques semaines à venir.
Octobre est le Cybersecurity Awareness Month (mois de sensibilisation à la cybersécurité).
C’est le mois idéal pour informer les gens sur les sujets liés à la sécurité, dans l’espoir que le monde change et devienne un peu plus cybersécurisé. Dans cet objectif, vous trouverez des conseils de cybersécurité dans cet avis d’expert.
Publications Microsoft
Microsoft résout un total de 89 vulnérabilités uniques (CVE) dans sa mise à jour du Patch Tuesday d’octobre. Les CVE du mois incluent une vulnérabilité « Zero Day » et 2 divulgations publiques. On compte 13 CVE de type Critique et 76 de type Important. Cinq de ces CVE, qui affectent Exchange Server, sont des republications des mises à jour d’août, visant à résoudre un problème connu.
La mise à jour Exchange Server ne contient PAS de correctif pour les vulnérabilités Zero Day signalées le 29 septembre 2022 (CVE-2022-41040 et CVE-2022-41082). Microsoft annonce qu’il publiera les correctifs Exchange supplémentaires dès qu’ils seront prêts. En attendant, il explique dans un billet de blog comment atténuer le problème.
Vulnérabilité Zero Day
Microsoft résout une vulnérabilité du service Système d’événement COM+ Windows, susceptible de permettre l’élévation des privilèges (CVE-2022-41033). Cette vulnérabilité a été signalée à Microsoft par une source anonyme et on a confirmé son exploitation, ce qui accentue l’urgence de sa remédiation. Cette vulnérabilité affecte toutes les versions de l’OS Windows, y compris Windows 7 et Server 2008/2008 R2. Microsoft classe cette vulnérabilité au niveau Important, mais ce classement ne rend pas correctement compte du fait qu’il existe une exploitation confirmée sur le terrain.
Conseil de cybersécurité : une approche de la priorisation de type RBVM (Gestion des vulnérabilités sur la base des risques) tient compte du score CVSS et du niveau de gravité attribué par le fournisseur, mais elle inclut aussi des indicateurs de risque : divulgation publique, exploitation connue, liens avec des malwares et ransomwares, et le fait que la vulnérabilité soit en vogue (figure souvent dans les attaques).
Vulnérabilités divulguées publiquement
Microsoft republie le correctif d’une vulnérabilité Microsoft Exchange susceptible d’entraîner la divulgation d’informations (CVE-2022-30134). C’est l’une des cinq CVE initialement publiées en août. La protection contre ces CVE nécessite des opérations supplémentaires. Il faut activer la Protection étendue Windows, et c’est là que le problème connu intervient. La mise à jour Exchange Server d’août a généré un problème : les sondes Outlook cessaient de fonctionner correctement lorsque la protection étendue était activée et que l’on appliquait la mise à jour d’août. Cette republication résout ce problème connu.
Microsoft résout une vulnérabilité de Microsoft Office pour Mac, susceptible de permettre la divulgation d’informations. Cette vulnérabilité a été classée Important. On parle d’une vulnérabilité divulguée publiquement lorsque des informations sont communiquées au public et pourraient donner aux pirates un avantage pour exploiter cette vulnérabilité avant que le fournisseur ne publie un correctif. Dans le cas présent, la maturité du code d’exploitation de la CVE est Unproven (Non prouvé). L’exposition n’est donc peut-être pas trop grave.
Publication Adobe Acrobat and Reader
Adobe publie une mise à jour pour Adobe Acrobat and Reader (APSB22-46), qui résout six vulnérabilités uniques, dont deux CVE critiques pouvant permettre l’exécution de code arbitraire.
Autre remarque importante concernant Adobe ce mois-ci : la fin de la prise en charge d’Adobe Acrobat 2017 Classic et Acrobat Reader 2017 Classic. Adobe ne fournira plus de support technique, ni de mises à jour des produits ou de la sécurité pour ces versions d’Acrobat and Reader.
Conseil de cybersécurité : les logiciels en fin de vie présentent des risques pour la sécurité de votre environnement. Plus un logiciel ayant atteint sa fin de vie reste dans votre environnement, plus cela augmente les risques et les coûts potentiels. Un logiciel en fin de vie peut poser des problèmes de support. En cas de défaillance de ce logiciel, le fournisseur n’a aucune obligation d’assurer son support ou de corriger le problème. Du point de vue des risques, les logiciels en fin de vie constituent des cibles. Les réglementations en vigueur stipulent que les logiciels utilisés doivent être pris en charge. Si elle ne s’assure pas que ses logiciels sont pris en charge, une entreprise s’expose soit à des amendes en cas d’échec à un audit, soit à des failles de sécurité.
Mise à jour CPU trimestrielle Oracle
Oracle publie des mises à jour tous les trimestres, le premier mois du trimestre et le mardi le plus proche du 17. En octobre, c’est le mardi 18. Comme nous l’avons dit plus haut, la mise à jour Oracle Java provoque un effet domino. Plusieurs solutions Java alternatives sont mises à jour juste après qu’Oracle publie les dernières mises à jour Java. Azul Platform Core, RedHat OpenJDK, Amazon Corretto, et AdoptOpenJDK se mettent tous à jour dans les semaines qui suivent, pour résoudre un grand nombre des vulnérabilités qu’Oracle traitera dans sa prochaine mise à jour Java. Google Chrome est un autre exemple, car de nombreux navigateurs sont basés sur Chrome Frame, notamment Microsoft Edge (Chromium).
Conseil de cybersécurité : la plupart des éditeurs de logiciels ont un cycle de publication en continu. Cela signifie qu’ils publient le logiciel dès qu’il est disponible. Même si le rythme du Microsoft Patch Tuesday est devenu un point de repère connu de la plupart des entreprises pour lancer la maintenance des mises à jour, il est important de conserver un cycle continu d’évaluation et de priorisation des vulnérabilités. La cadence recommandée pour la mise à jour des systèmes des utilisateurs finaux est toutes les deux semaines ou toutes les semaines, afin de tenir le rythme du cycle de mise à jour en continu de la sécurité des logiciels tiers, en particulier pour les cibles de choix comme les navigateurs.