Péage du Black Tuesday de Microsoft: KB 3003743, IE11, EMET 5 et webémissions de sécurité

Avec 14 mises à jour de sécurité qui incluent des correctifs pour 33 failles de sécurité identifiées séparément, 14 nouveaux correctifs de non-sécurité, deux changements aux installateurs pour les correctifs de sécurité plus anciens et trois changements pour les mises à jour de non-sécurité plus anciennes, le Black Tuesday de novembre est l'un des plus lourds de tous les temps. Mais les correctifs eux-mêmes ne sont qu'une partie de l'histoire.

Les correctifs du mardi noir de ce mois-ci ont commencé avec un signe étrange - bien que prometteur -. Microsoft a volontairement tiré deux bulletins de sécurité (avec un nombre inconnu de correctifs associés) avant leur publication. Le MS14-068 et le MS14-075 sont répertoriés dans le résumé officiel du Bulletin de sécurité comme "Date de publication à déterminer". Je n'ai jamais vu cette désignation auparavant. Vraisemblablement, Microsoft a détecté des bogues dans les correctifs et les a retirés à la dernière minute. Si tel est le cas, c'est une évolution très positive.

Je vois des rapports sporadiques de KB 3003743 - partie de MS14-074 - cassant des sessions RDP simultanées. Poster Turducken sur les forums My Digital Life le résume:

Les mises à jour d'aujourd'hui incluent KB3003743 et avec elle la version 6.1.7601.18637 de termsrv.dll

Jason Hart a également tweeté que KB 3003743 tue le logiciel de virtualisation de NComputing.

Cela semble rappeler les problèmes causés le mois dernier par KB 2984972, qui a également bloqué des sessions RDP simultanées sur certaines machines. La solution simple le mois dernier était de désinstaller le correctif et RDP a recommencé à fonctionner. Microsoft propose une solution beaucoup plus complexe dans l'article KB 2984972. Il n'y a aucune indication à ce stade si la solution manuelle fonctionne avec KB 3003743. Je n'ai pas non plus entendu si des packages App-V sont affectés - une autre caractéristique du mauvais correctif KB 2984872 du mois dernier.

Si vous utilisez IE11 et EMET, il est important de passer à la dernière version, EMET 5.1, avant d'installer le correctif MS14-065 / KB 3003057 de ce mois-ci. Le blog TechNet l'exprime ainsi:

Si vous utilisez Internet Explorer 11, sous Windows 7 ou Windows 8.1, et que vous avez déployé EMET 5.0, il est particulièrement important d'installer EMET 5.1 car des problèmes de compatibilité ont été découverts avec la mise à jour de sécurité Internet Explorer de novembre et l'atténuation EAF +. Oui, EMET 5.1 vient de sortir lundi.

Il y a une certaine inquiétude dans la presse que le bogue «schannel» nouvellement corrigé soit aussi omniprésent et exploitable que le tristement célèbre trou OpenSSL Heartbleed découvert plus tôt cette année.

Il ne fait aucun doute que vous devez installer MS14-066 / KB 2992611 sur n'importe quelle machine Windows qui exécute un serveur Web, un serveur FTP ou un serveur de messagerie - le plus tôt possible. Mais avez-vous besoin de tout supprimer et de patcher vos serveurs en cet instant? Les opinions varient.

Le SANS Internet Storm Center, qui adopte généralement une position de patching très proactive, couvre ses paris avec celui-ci. SANS a MS14-066 répertorié comme «critique» au lieu du plus terrible «Patch Now». Le Dr Johannes Ullrich poursuit en disant:

Je suppose que vous avez probablement une semaine, peut-être moins, pour patcher vos systèmes avant qu'un exploit ne soit publié. Vous avez un bon inventaire de vos systèmes? Alors vous êtes en bonne forme pour faire ce travail. Pour le reste (grande majorité?): Pendant que vous corrigez, déterminez également des contre-mesures et des configurations d'urgence alternatives.

La cible la plus probable sont les services SSL accessibles de l'extérieur: les serveurs Web et de messagerie seraient en haut de ma liste. Mais cela ne peut pas faire de mal de vérifier le rapport de votre dernière analyse externe de votre infrastructure pour voir si vous avez autre chose. Probablement une bonne idée de répéter cette analyse si vous ne l'avez pas programmée régulièrement.

Passez ensuite aux serveurs internes. Ils sont un peu plus difficiles à atteindre, mais n'oubliez pas que vous n'avez besoin que d'un seul poste de travail interne infecté pour les exposer.

Troisièmement: les ordinateurs portables de voyage et autres qui quittent votre périmètre. Ils devraient déjà être verrouillés et il est peu probable qu'ils écoutent les connexions SSL entrantes, mais cela ne peut pas faire de mal de vérifier. Un VPN SSL étrange? Peut-être un logiciel de messagerie instantanée? Une analyse rapide des ports devrait vous en dire plus.

Une poignée de mythologie urbaine se forme déjà autour de Schannel. Vous pouvez lire dans la presse que la faille de sécurité du canal existe depuis 19 ans. Faux - le bogue de canal est identifié comme CVE-2014-6321 et il a été découvert par des chercheurs non identifiés (peut-être internes à Microsoft). C'est un trou dans le logiciel pour les connexions HTTPS.

La vulnérabilité vieille de 19 ans, découverte par l'équipe de recherche IBM X-Force, est CVE-2014-6332. C'est un trou dans COM qui peut être exploité via VBScript. C'est le bug corrigé par MS14-064 / KB 3011443. Autant que je sache, les deux vulnérabilités de sécurité n'ont rien en commun.

Ne soyez pas confus. La BBC a mélangé les deux failles de sécurité, et d'autres organes de presse sont en train de répéter le rapport.

En ce qui concerne la disparition soudaine de la webémission mensuelle sur la sécurité - il n'y a pas eu d'annonce officielle, mais Dustin Childs, qui avait l'habitude de diffuser les webémissions, a été réaffecté, et je n'ai pas trouvé de webémission pour les bulletins de sécurité de novembre. Plus tôt ce matin, Childs a tweeté:

14 bulletins au lieu de 16 - ils n'ont même pas renuméroté. Aucune priorité de déploiement. Pas de vidéo de présentation. Pas de webémission. Je suppose que les choses changent.

C'est un développement époustouflant, en particulier pour quiconque doit comprendre les tendances de Microsoft en matière de correctifs. Ne pas renuméroter les bulletins n'ébranlera la confiance de personne dans le régime de correctifs de Microsoft - je considère cela comme un changement bienvenu. Mais l'absence de liste mensuelle de priorités de déploiement de bulletin de sécurité, de vidéo de présentation ou de diffusion Web laisse la plupart des professionnels de la sécurité Windows dans l'embarras. Microsoft publie une vidéo de présentation pour Black Tuesday depuis des années, et la diffusion sur le Web offre de nombreux conseils bas et sales qui ne sont disponibles nulle part ailleurs.

Si les webémissions ont été retirées - je ne vois aucune confirmation officielle - les entreprises clientes de Microsoft, en particulier, ont de bonnes raisons de se plaindre.