Pour ce quatrième Patch Tuesday de 2024, il y a davantage à prendre en compte que les seules publications de ce dernier. Plusieurs fournisseurs ont publié des mises à jour de sécurité dans les jours précédant le Patch Tuesday, et d’autres sont prévues dans les semaines à venir.
L’expertise de Chris Goettl d’Ivanti pour les lecteurs de Solutions Numériques.
Mises à jour de sécurité récentes
- Ivanti a publié des mises à jour de sécurité pour Ivanti Connect Secure et Policy Secure le 4 avril. Ces mises à jour résolvent quatre CVE. Pour en savoir plus sur ces mises à jour, consultez la mise à jour du blog et le conseil (Advisory) de sécurité.
- Apple a publié plusieurs mises à jour de sécurité pour visionOS, iOS, iPadOS, macOS et Safari, du 21 au 25 mars. Pour en savoir plus, consultez la page Apple relative aux mises à jour de sécurité.
- Microsoft a publié une correction hors bande pour les clients qui rencontraient des problèmes de fuite de mémoire sur leurs contrôleurs de domaine après les mises à jour d’OS de mars. Cette correction résout un problème lié aux demandes Kerberos sur les contrôleurs de domaines, potentiellement sources de fuites de mémoire LSASS qui provoquaient des redémarrages non planifiés de ces contrôleurs de domaine. Le problème a été résolu dans KB5037422.
- Les mises à jour Google Chrome et Microsoft Edge (Chromium) publiées le 4 avril résolvent respectivement 3 et 5 CVE.
- Splunk a publié des mises à jour de sécurité le 29 mars pour Splunk Universal Forwarder, qui résolvent deux CVE.
- Autodesk a publié des mises à jour AutoCAD le 28 mars pour résoudre jusqu’à 44 CVE, selon la version utilisée.
Et ce n’est qu’une partie des mises à jour publiées par les fournisseurs ces deux dernières semaines. Et dans les quinze prochains jours environ, vous pouvez vous attendre à des mises à jour supplémentaires.
Mises à jour de sécurité à venir
- La mise à jour CPU Oracle trimestrielle sortira le 16 avril. La mise à jour Java va déclencher plusieurs mises à jour supplémentaires.
- Attendez-vous à des mises à jour pour les frameworks Java comme RedHat OpenJDK, Amazon Corretto, Azul Zulu, Eclipse Adoptium, Adopt OpenJDK (entre autres) après la mise à jour CPU Oracle.
- Google Chrome, Microsoft Edge (Chromium), Mozilla Firefox et d’autres navigateurs vont probablement recevoir des mises à jour de sécurité toutes les semaines, dans la plupart des cas (Chrome et Edge) et 2-3 fois par mois pour les autres.
Ces mises à jour continuelles amènent de nombreuses entreprises à repenser le rythme de leur gestion mensuelle régulière des correctifs. Elles adoptent une stratégie de gestion des correctifs en continu, afin d’essayer de mieux gérer l’arrivée constante de nouvelles vulnérabilités dans leur environnement. L’adoption d’un modèle à trois périodes de correctifs pour suivre le flux permanent de vulnérabilités est une tendance croissante.
- Maintenance régulière : commence généralement avec le Patch Tuesday et dure 14 jours pour la plupart des entreprises, mais peut atteindre 3 à 6 semaines, selon les difficultés spécifiques de chaque entreprise.
- Mises à jour hebdomadaires prioritaires : Google Chrome a annoncé lors d’une mise à jour en août 2023 qu’il allait publier une mise à jour de sécurité pour Chrome chaque semaine. Cela concerne aussi Edge. Firefox publie également trois mises à jour par mois en moyenne. À elle seule, cette tendance a poussé de nombreuses entreprises à effectuer une mise à jour prioritaire des systèmes des utilisateurs finaux toutes les semaines (généralement, cela ne concerne pas les serveurs).
- Réponse Zero Day : à ne pas confondre avec la mise à jour hors bande, la période de réponse Zero Day est mise en place par les entreprises qui cherchent à réduire la durée d’exposition aux vulnérabilités connues comme ayant été exploitées à 48 heures maximum. Cette méthode implique moins de formalités administratives que l’approche OoB traditionnelle. Elle nécessite moins d’approbations spéciales, et permet de se concentrer davantage sur les communications et la définition des attentes en matière d’application, comme le demandent/le conseillent les parties prenantes.
Publications Microsoft pour le Patch Tuesday d’avril
Pour le Patch Tuesday d’avril, Microsoft résout 150 nouvelles CVE et met à jour une CVE existante. Ces mises à jour impactent l’OS Windows, Office, Sharepoint, SQL Server, .Net, Visual Studio, Defender, Edge et Azure (différents composants). Ce mois-ci, il y a une vulnérabilité Zero Day dans la mise à jour d’OS (CVE-2024-26234), qui résout une vulnérabilité d’usurpation (spoofing) de pilote proxy. Seules trois des nouvelles CVE sont marquées Critiques et toutes les trois concernent Defender pour IoT. Aucune des nouvelles CVE du mois n’inclut de balise de divulgation ou d’exploitation. La CVE récemment mise à jour (CVE-2023-24932) était la seule à inclure des balises d’exploitation ou de divulgation.
Microsoft résout une vulnérabilité d’usurpation de pilote proxy (CVE-2024-26234) dans l’OS Windows, qui a été exploitée sur le terrain. Cette vulnérabilité a reçu une mise à jour de dernière minute, immédiatement après sa publication initiale pour le Patch Tuesday. Cette CVE est seulement classée Important et porte un score CVSS v3.1 de 6,7. Les méthodes traditionnelles de priorisation pourraient donc facilement passer à côté.
Microsoft met à jour CVE-2023-24932, vulnérabilité Secure Boot (Amorçage sécurisé) pouvant permettre à un pirate de contourner les fonctions de sécurité. Cette mise à jour « ajoute Windows 11 version 23H2 pour les systèmes x64 et Windows 11 version 23H2 pour les systèmes ARM, car les mises à jour de sécurité d’avril 2024 fournissent les remédiations les plus récentes ».
Publications tierces du Patch Tuesday d’avril
- Adobe publie neuf mises à jour Priorité 3, qui concernent Adobe After Effects, Photoshop, Commerce, InDesign, Experience, Media Encoder, Bridge, Illustrator et Animate.
- Google Chrome devrait publier des mises à jour de sécurité plus tard dans la journée ou juste après le Patch Tuesday.
Conseils de priorisation pour le Patch Tuesday
- La mise à jour de l’OS Windows inclut une vulnérabilité Zero Day divulguée publiquement (CVE-2024-26234). Ce qui fait de la mise à jour d’OS du mois votre priorité absolue !
- Vérifiez comment votre entreprise a traité la vulnérabilité de contournement de la sécurité Secure Boot (CVE-2023-24932) pour vous assurer que toutes les versions d’OS récemment ajoutées, ainsi que les anciennes versions, sont entièrement corrigées (l’article KB5025885 détaille les étapes supplémentaires à suivre).
- Les mises à jour SQL Server du mois résolvent un total de 38 CVE uniques. Dans certains environnements, les mises à jour SQL peuvent prendre du retard par rapport à la maintenance normale. Avec un si grand nombre de CVE, il vaut mieux ne pas trop retarder cette mise à jour.
- On compte ce mois-ci neuf CVE Azure, pour neuf composants Azure différents. Beaucoup de ces mises à jour précisent les étapes à suivre pour appliquer les mises à jour prescrites. Vérifiez que vos équipes DevOps ont bien reçu la liste des CVE et les examinent très vite, car certaines mises à jour pourraient exiger une certaine planification.