Selon l'analyse Ivanti du Patch Tuesday, octobre est consacré au mois européen de la cybersécurité. C'est le bon moment pour les entreprises de revoir leur propre stratégie de sécurité : dans quelle mesure les équipes informatiques et de sécurité informatique sont-elles capables de se concentrer sur les aspects les plus importants de la cyber-hygiène globale.
La gestion des vulnérabilités joue toujours un rôle particulier ici. Depuis 18 ans maintenant, Microsoft regroupe la publication de nouveaux correctifs sur Patch Tuesday, aidant les entreprises à consolider les fenêtres de test et de maintenance et à corriger les vulnérabilités de sécurité dans les logiciels courants de manière plus prévisible.
Application de correctifs : exigences différentes pour les équipes informatiques
Patch Tuesday en octobre : il y a encore des vulnérabilités importantes (Image : Ivanti).
Cependant, les exigences des équipes informatiques en termes de correctifs ont évolué ces dernières années : elles ont de plus en plus de mal à sécuriser un environnement informatique qui regorge de produits logiciels extérieurs à Microsoft & Co. et qui à la fois ont des versions et des versions très différentes. les cycles de publication fonctionnent. Enfin et surtout, 71 % de tous les spécialistes de la sécurité se plaignent que la gestion des vulnérabilités prend trop de temps et est trop complexe - selon une étude actuelle d'Ivanti. Résultat : le patching passe de plus en plus au second plan au profit d'autres tâches, comme l'ont déclaré 62 % des participants à l'étude. D'autres résultats de l'étude sont disponibles en téléchargement.
Évaluation du Patch Tuesday d'octobre
Ce mois-ci, Microsoft a publié des mises à jour qui corrigent un total de 74 nouvelles vulnérabilités de sécurité (CVE) et deux CVE rééditées. Celles-ci incluent quatre vulnérabilités divulguées publiquement et une vulnérabilité zero-day (CVE-2021-40449). Microsoft a classé trois des 76 CVE ce mois-ci comme critiques. Les mises à jour de ce mois-ci concernent les systèmes d'exploitation Windows, Office 365, Exchange Server, Intune, System Center, .Net Core et Visual Studio, ainsi qu'une gamme de rôles dans AD, ADFS, Hyper-V et DNS.
CVE-2021-40449 est une vulnérabilité Win32k (élévation de privilège) dans le système d'exploitation Windows, à partir de Windows 7 et Server 2008 jusqu'à Windows 11 et Server 2022. Microsoft classe cette vulnérabilité comme étant uniquement à partir de sa gravité système importante. C'est un bon exemple de la raison pour laquelle les organisations doivent donner la priorité aux risques lorsqu'elles traitent des vulnérabilités de sécurité. Une approche de la gestion des vulnérabilités basée sur les risques tient compte d'indicateurs plus réalistes, tels que les vulnérabilités connues, les divulgations et les tendances de l'exploitation des vulnérabilités par les acteurs de la menace. L'objectif de cette approche est de mieux comprendre sur quelles vulnérabilités les équipes doivent se concentrer en priorité et rapidement.
Microsoft ferme plus de vulnérabilités
Microsoft a également corrigé la vulnérabilité CVE-2021-41338 dans le pare-feu Windows AppContainer, qui peut être utilisée pour contourner les fonctions de sécurité. La vulnérabilité a été divulguée publiquement, y compris le code de preuve de concept. Cela permet aux pirates de développer un exploit. La vulnérabilité existe dans Windows 10, Server 2016 et les versions ultérieures.
CVE-2021-41335, d'autre part, est une vulnérabilité du noyau Windows qui permet l'élévation des privilèges. La vulnérabilité existe dans les versions Windows 7 à Windows 10 et Server 2008 à Server 2019. Le CVE a été divulgué publiquement, y compris le code de preuve de concept. Microsoft a également corrigé CVE-2021-40469, une vulnérabilité d'exécution de code à distance dans Windows DNS. La vulnérabilité n'affecte que les serveurs configurés en tant que serveurs DNS et s'applique de Server 2008 à Server 2022. La vulnérabilité a été rendue publique - incluant également un code de preuve de concept.
Améliorations en octobre
Avec CVE-2021-33781, Microsoft a corrigé une vulnérabilité qui permet de contourner les fonctions de sécurité dans Azure AD. Cet écart a été initialement corrigé avec Patch Tuesday en juillet. Avec la mise à jour, d'autres versions concernées de Windows 10 (1607) Server 2016 et Windows 11 ont maintenant été ajoutées.
Adobe a publié six mises à jour, dont une pour Acrobat et Reader, Connect, Reader Mobile, Commerce, Campaign Standard et ops-cli. Les mises à jour Adobe Connect (APSB21-91) et ops-cli (APSB21-88) contiennent des CVE critiques avec un score de base CVSS de 9,8 sur 10. APSB21-104 pour Adobe Acrobat et Reader corrige la plupart des CVE dans l'ordre. Au total, quatre vulnérabilités ont été corrigées dans cette mise à jour, dont deux ont été classées comme critiques avec un score CVSS de 7,8.
Adobe, FoxIT, Google et plus
FoxIt PDF a publié des mises à jour pour ses éditions Windows et macOS qui corrigent de nombreuses vulnérabilités. Sept CVE et un certain nombre d'identifiants ont été identifiés et corrigés. Il s'agit de vulnérabilités identifiées par l'initiative Trend Zero Day et la base de données nationale chinoise sur les vulnérabilités. Les entreprises peuvent visiter la page des mises à jour de Foxit PDF Editor pour plus de détails.
Google Chrome a eu un total de quatre versions depuis Patch Tuesday en septembre, résolvant un total de 25 CVE. Oracle, en revanche, ne publie pas son processeur trimestriel avant le 19 octobre. Les équipes informatiques devraient examiner de plus près les mises à jour des produits Java, Oracle DB, middleware et autres d'Oracle pendant cette période.