Accueil Cybersécurité Patch Tuesday de septembre : peu de mises à jour mais gare...

Patch Tuesday de septembre : peu de mises à jour mais gare aux attaques par ransomware

Les mises à jour sont peu nombreuses, mais les attaques par ransomware se multiplient. L’analyse et les conseils de Chris Goettl, Director, Product Management, Security chez Ivanti.

En septembre, pour le deuxième mois d’affilée, les mises à jour sont relativement peu nombreuses. Mais cela ne veut pas dire que les menaces d’attaque diminuent. En fait, on a constaté récemment une escalade du nombre d’attaques par ransomware dans le secteur public. L’activité ralentit au niveau des correctifs et les ransomwares font à nouveau la Une des journaux : c’est le bon moment pour examiner le reste de votre programme d’opérations IT, en particulier les mesures mises en place en cas de cyberattaque et votre plan de récupération après sinistre. Avant de détailler ces sujets, passons en revue les mises à jour Patch Tuesday du mois.

79 CVE uniques

Microsoft résout ce mois-ci 79 CVE uniques. Cette liste inclut deux vulnérabilités zero day et trois divulgations publiques, qui portent toutes sur le système d’exploitation Windows. Les deux zero day sont des vulnérabilités d’élévation des privilèges, corrigées dans les systèmes d’exploitation Windows 10 pour poste de travail et serveur, ainsi que dans les systèmes d’exploitation plus anciens. La première zero day, CVE-2019-1215, concerne le composant Winsock, alors que la seconde, CVE-2019-1214, touche le pilote de système de fichiers commun des journaux Windows.

Les mises à jour de pile de maintenance

Microsoft continue à ajuster les processus de ses mises à jour logicielles et publie ce mois-ci des mises à jour de pile de maintenance pour tous les systèmes d’exploitation. Généralement, ces mises à jour concernent seulement certaines éditions de Windows. Tous les OS Windows sont concernés cette fois-ci, c’est un peu inhabituel. Voici quelques points à noter concernant les mises à jour de pile de maintenance. Elles sont marquées “Critique” mais ne résolvent pas de vulnérabilité de sécurité. Elles ne font pas partie de la chaîne de mises à jour cumulatives. Les mises à jour de pile de maintenance sont des mises à jour distinctes, que vous devez installer hors des mises à jour cumulatives normales ou des packs de mises à jour « Sécurité uniquement ». Il s’agit d’une mise à jour critique du système de mises à jour Microsoft dans l’OS. Par conséquent, il faut s’attendre à des changements. Arrivera un moment où vous ne pourrez plus appliquer les mises à jour Windows à votre système si la mise à jour de pile de maintenance n’a pas été appliquée. Le délai le plus court constaté entre la mise à disposition et l’application est de deux mois. Nous vous conseillons de démarrer les tests dès que possible. Par sécurité, prévoyez de mettre ces mesures en place avant novembre. Il serait même préférable de le faire avant octobre, au cas où Microsoft change son système plus tôt que prévu.

Pour septembre, Microsoft fournit la série habituelle de mises à jour de système d’exploitation et de mises à jour de sécurité des applications. Pour les systèmes d’exploitation antérieurs à Windows 10, 37 CVE ont été traitées, et les dernières mises à jour Windows 10 résolvent 57 CVE.
Une mise à jour critique résolvant 7 CVE a été publiée pour toutes les versions du serveur Sharepoint, alors soyez-y très attentif. On trouve des mises à jour importantes pour Office et Exchange Server.
Microsoft a également publié des mises à jour pour .NET, respectant ainsi son rythme bimestriel. Cependant, ces mises à jour concernent les systèmes d’exploitation version 2012 et plus récents.

Pour conclure, nous voulons ce mois-ci attirer votre attention sur certaines tendances qui se poursuivent en matière de ransomware. Cette année, on a signalé presque chaque mois une attaque par ransomware visant les systèmes d’Etats et d’administrations. D’après Phil Richards, le RSSI d’Ivanti, « les criminels demandent des rançons plus élevées à ces entités gouvernementales. Ils ciblent très précisément leurs victimes et frappent avec davantage de précision, à un meilleur moment, en réclamant comme rançon de très grosses sommes ». L’une des attaques a particulièrement attiré notre attention. Elle visait les systèmes de plusieurs écoles publiques dans l’état de Louisiane.
Pour la première fois, une cyberattaque a été traitée comme une catastrophe naturelle. Des experts en cybersécurité sont venus de plusieurs agences et se sont joints à ceux de l’Université d’état de Louisiane.

Quel est l’état de votre plan de préparation aux sinistres (sans mauvais jeu de mots) ? Tous les mois, je parle de l’importance de l’application des correctifs et de l’élimination des vulnérabilités, mais la dure réalité est que, parfois, ces actions ne suffisent pas ou ne sont pas réalisées assez vite. Êtes-vous prêt à réagir à une cyberattaque ? Avez-vous identifié vos ressources de détection, d’isolement et de confinement ? Une fois l’attaque sous contrôle, avez-vous identifié un processus de récupération, avec restauration/réapplication de l’image système et sauvegardes de données sécurisées pour tout remettre en ligne ? Enfin, veillez à prévoir des étapes de gestion des problèmes juridiques et des relations publiques. Il est très important que toutes les personnes concernées sachent comment il faut partager les informations, au sein de votre entreprise et en dehors.