La version Patch Tuesday de novembre de Microsoft corrige 89 vulnérabilités dans Windows, SQL Server, .NET et Microsoft Office, ainsi que trois vulnérabilités Zero Day (CVE-2024-43451, CVE-2024-49019 et CVE-2024-49039) cela signifie une recommandation de correctif désormais pour les plates-formes Windows. Exceptionnellement, il existe un nombre important de « rééditions » de correctifs qui peuvent également nécessiter l’attention de l’administrateur.

L’équipe à Préparation a fourni cette infographie décrivant les risques associés à chacune des mises à jour de ce cycle. (Pour un aperçu des récentes mises à jour du Patch Tuesday, voir Monde informatiqueC’est le tour d’horizon ici.

Problèmes connus

Quelques problèmes signalés pour la mise à jour de septembre ont été résolus, notamment :

• Les clients Entreprise signalent des problèmes avec le SSH le service ne démarre pas sur les machines Windows 11 24H2 mises à jour. Microsoft a recommandé de mettre à jour les autorisations au niveau fichier/répertoire sur les répertoires du programme SSH (n’oubliez pas d’inclure les fichiers journaux). Vous pouvez en savoir plus sur cette solution de contournement officielle ici.

Il semble que nous entrions dans une nouvelle ère de Défis de compatibilité ARM pour Microsoft. Cependant, avant d’aller trop vite, nous devons vraiment régler le problème (âgé de trois mois) Problème Roblox.

Révisions majeures

Ce Patch Tuesday inclut les révisions majeures suivantes :

• CVE-2013-390: Vulnérabilité de validation de signature WinVerifyTrust. Cette mise à jour a été initialement publiée en 2013 via TechNet. Cette mise à jour est désormais disponible et est applicable aux utilisateurs de Windows 10 et 11 en raison d’un changement récent dans le EnableCertPaddingCheck Appel d’API Windows. Nous recommandons fortement un examen de ce CVE et de ses associés Documentation questions-réponses. N’oubliez pas : si vous devez définir vos valeurs dans le registre, assurez-vous qu’elles sont de type DWORD et non Reg SZ.
• CVE-2024-49040: Vulnérabilité d’usurpation d’identité du serveur Microsoft Exchange. Lorsque Microsoft met à jour un CVE (deux fois) au cours de la même semaine et que la vulnérabilité a été divulguée publiquement, il est temps d’y prêter attention. Avant d’appliquer cette mise à jour d’Exchange Server, nous vous recommandons vivement d’examiner les problèmes signalés.détection d’en-tête problèmes et facteurs atténuants.

Et exceptionnellement, nous avons trois mises à jour du mode noyau (CVE-2024-43511, CVE-2024-43516 et CVE-2024-43528 qui ont été réédités en octobre et mis à jour ce mois-ci. Ces vulnérabilités de sécurité exploitent un condition de course dans la sécurité basée sur la virtualisation de Microsoft (VBS). Cela vaut la peine d’examiner le stratégies d’atténuation pendant que vous testez minutieusement ces correctifs de noyau de bas niveau.

Conseils pour les tests

Chaque mois, l’équipe Readiness analyse les dernières mises à jour du Patch Tuesday et fournit des conseils de test détaillés et exploitables basés sur un vaste portefeuille d’applications et une analyse détaillée des correctifs et de leur impact potentiel sur les plates-formes Windows et les installations d’applications.

Pour ce cycle de publication, nous avons regroupé les mises à jour critiques et les efforts de tests requis dans des domaines de produits et fonctionnels distincts, notamment :

Réseautage:

• Testez des scénarios VPN, Wi-Fi, partage et Bluetooth de bout en bout.
• Testez HTTP clients via SSL.
• Assurez-vous que les fichiers de raccourci Internet (SCI) s’affiche correctement

Sécurité/crypto:

• Après avoir installé la mise à jour de novembre sur votre autorité de certification (Californie), assurez-vous que l’inscription et le renouvellement des certificats fonctionnent comme prévu.
• Testez le contrôle des applications Windows Defender (WDAC) et assurez-vous que les applications métier ne sont pas bloquées. Assurez-vous que WDAC fonctionne comme prévu sur vos machines virtuelles (VM).

Système de fichiers et journalisation :

• Le NTFileCopyChunk L’API a été mise à jour et nécessitera des tests d’application internes si elle est directement utilisée. Testez la validité de vos paramètres et problèmes liés à la notification d’annuaire.

Je ne peux pas prétendre en avoir nostalgie de l’accès Internet par ligne commutée (même si j’ai une certaine réponse pavlovienne au son de poignée de main). Pour ceux qui utilisent encore cette approche pour accéder à Internet, la mise à jour de novembre du TAPI L’API pense à vous. Un test « rapide » (haha) est nécessaire pour garantir que vous pouvez toujours vous connecter à Internet via une ligne commutée une fois que vous avez mis à jour votre système.

Mises à jour du cycle de vie et de l’application de Windows

Il n’y a eu aucune application de produits ou de sécurité ce cycle. Cependant, les produits Microsoft suivants atteignent leurs conditions de fin de service respectives :

• 8 octobre 2024 : Windows 11 Entreprise et Éducation, version 21H2, Windows 11 Édition familiale et Pro, version 22H2, Windows 11 IoT Entreprise, version 21H2.
• 9 octobre 2024 : Microsoft Project 2024 (LTSC)

Atténuations et solutions de contournements

Microsoft a publié les atténuations suivantes applicables à ce Patch Tuesday.

• CVE-2024-49019: Vulnérabilité d’élévation de privilèges des services de certificats Active Directory. Cette vulnérabilité ayant été révélée publiquement, nous devons la prendre au sérieux. Microsoft a proposé certaines stratégies d’atténuation lors de la mise à jour/des tests/du déploiement pour la plupart des entreprises, notamment :
• Supprimez les autorisations d’inscription ou d’inscription automatique trop larges.
• Supprimez les modèles inutilisés des autorités de certification.
• Des modèles sécurisés qui permettent de préciser le sujet dans la demande.

Étant donné que la plupart des entreprises utilisent Microsoft Active Directory, nous vous recommandons vivement de consulter ce document. note de connaissances de Microsoft.

Chaque mois, nous décomposons le cycle de mise à jour en familles de produits (tels que définis par Microsoft) avec les regroupements de base suivants :

• Navigateurs (Microsoft IE et Edge) ;
• Microsoft Windows (ordinateur de bureau et serveur) ;
• MicrosoftOffice ;
• Serveur Microsoft Exchange ;
• Plateformes de développement Microsoft (ASP.NET Core, .NET Core et Chakra Core) ;
• Adobe (si vous arrivez jusqu’ici).

Navigateurs

Microsoft a publié une seule mise à jour spécifique à Microsoft Edge (CVE-2024-49025), et deux mises à jour pour le moteur Chromium qui sous-tend le navigateur (CVE-2024-10826 et CVE-2024-10827). Il y a une brève note sur le mise à jour du navigateur ici. Nous vous recommandons d’ajouter ces mises à jour de navigateur discrètes à votre calendrier de publication standard.

Fenêtres

Microsoft en a publié deux (CVE-2024-43625 et CVE-2024-43639) correctifs avec une note critique et 35 autres correctifs jugés importants par Microsoft. Ce mois-ci, les fonctionnalités clés de Windows suivantes ont été mises à jour :

• Pile Windows Update (remarque : les restaurations du programme d’installation peuvent poser problème) ;
• Système d’exploitation NT, noyau sécurisé et GDI ;
• Microsoft Hyper-V ;
• Réseaux, PME et DNS ;
• Windows Kerberos.

Malheureusement, ces mises à jour Windows ont été divulguées publiquement ou signalées comme étant exploitées de manière sauvage, ce qui les rend problèmes du jour zéro:

• CVE-2024-43451: Vulnérabilité d’usurpation d’identité de divulgation de hachage NTLM.
• CVE-2024-49019: Élévation de privilèges des services de certificats Active Directory.
• CVE-2024-49039: Vulnérabilité d’élévation de privilèges du Planificateur de tâches Windows.

Ajoutez ces mises à jour Windows à votre Patcher maintenant cadence de libération.

Microsoft Office

Microsoft a publié six mises à jour de Microsoft Office (toutes jugées importantes) qui affectent SharePoint, Word et Excel. Aucune de ces vulnérabilités signalées n’implique des problèmes d’accès à distance ou de volet de prévisualisation et n’a pas été divulguée publiquement ou exploitée dans la nature. Ajoutez ces mises à jour à votre calendrier de publication standard.

Serveur Microsoft SQL (né Exchange)

Vous souhaitez des mises à jour de Microsoft SQL Server ? Nous les avons reçus : 31 correctifs pour le client SQL Server Native ce mois-ci. Cela représente beaucoup de correctifs, même pour un produit complexe comme Microsoft SQL Server. Ces mises à jour semblent être le résultat d’un effort de nettoyage majeur de la part de Microsoft visant à corriger les vulnérabilités de sécurité signalées suivantes :

• CWE-122 : Débordement de tampon basé sur le tas
• CWE-416 : utilisation gratuite

La grande majorité d’entre eux Client natif SQL Server les mises à jour traitent du CWE-122 problèmes de débordement de tampon associés. Remarque : ces correctifs mettent à jour le client SQL Native. Il s’agit donc d’une mise à jour de bureau et non de serveur. Créer un profil de test pour celui-ci est une tâche difficile. Aucune nouvelle fonctionnalité n’a été ajoutée et aucune zone à haut risque n’a été corrigée. Cependant, de nombreuses applications métier internes s’appuient sur ces fonctionnalités client SQL. Nous vous recommandons de tester vos applications cœur de métier avant cette mise à jour SQL, sinon de l’ajouter à votre planning de release standard.

Remarque de démarrage: N’oubliez pas qu’il y a une révision majeure à CVE-2024-49040 – cela pourrait affecter le côté « serveur » de SQL Server.

Plateformes de développement Microsoft

Microsoft a publié une mise à jour critique (CVE-2024-43498) et trois mises à jour jugées importantes pour Microsoft .NET 9 et Visual Studio 2022. Il s’agit de vulnérabilités de sécurité à faible risque et très spécifiques à ces versions des plateformes de développement. Ils devraient présenter un profil de test réduit. Ajoutez ces mises à jour à votre planning de développeur standard ce mois-ci.

Adobe Reader (et autres mises à jour tierces)

Microsoft n’a publié aucune mise à jour liée à Adobe Reader ce mois-ci. La société a publié trois CVE non Microsoft couvrant Google Chrome et SSH (CVE-2024-5535). Compte tenu de la mise à jour de Windows Defender (suite au problème SSH), Microsoft a également publié une liste de Defender vulnérabilités et faiblesses cela pourrait vous aider dans vos déploiements.