Bienvenue au troisième Patch Tuesday de l’année ! Découvrons ensemble les nouvelles surprises et défis de ce mois-ci. Ce Patch Tuesday corrige 57 vulnérabilités, dont 7 sont des zero-days. Parmi elles, 6 sont activement exploitées.
Après une première analyse des mises à jour de ce mois, nous partagerons nos recommandations pour gérer efficacement la gestion des correctifs dans un environnement de travail hybride. Vous pouvez également vous inscrire à notre webinaire gratuit Patch Tuesday, où nos experts analyseront en détail ces mises à jour.
Qu’est-ce que le Patch Tuesday ?
Le Patch Tuesday a lieu le deuxième mardi de chaque mois. À cette occasion, Microsoft publie des mises à jour de sécurité et non sécuritaires pour son système d’exploitation ainsi que pour d’autres applications associées. Ce calendrier régulier permet aux administrateurs IT d’anticiper et de se préparer aux déploiements des correctifs.
Pourquoi le Patch Tuesday est-il important ?
Le Patch Tuesday est essentiel, car il inclut :
- Des mises à jour de sécurité critiques pour protéger les systèmes contre les nouvelles menaces.
- Des correctifs de bogues et vulnérabilités pouvant affecter la stabilité et la sécurité des plateformes.
- Des correctifs de vulnérabilités zero-day, sauf en cas d’urgence où Microsoft publie un correctif hors cycle pour combler une faille particulièrement critique et exploitée activement.
Patch Tuesday de mars 2025
Liste des mises à jour de sécurité
Voici un aperçu des vulnérabilités corrigées ce mois-ci :
CVE ID : 57
CVE ID republiés : 10 (plus de détails ci-dessous)
Des mises à jour de sécurité ont été publiées pour les produits, fonctionnalités et rôles suivants :
- Windows exFAT File System
- Azure Agent Installer
- Windows MapUrlToZone
- Windows Remote Desktop Services
- .NET
- Windows Win32 Kernel Subsystem
- Microsoft Streaming Service
- Role: Windows Hyper-V
- Azure CLI
- Windows Routing and Remote Access Service (RRAS)
- Windows NTLM
- Windows USB Video Driver
- Windows Telephony Server
- Microsoft Office
- Windows Common Log File System Driver
- Windows Mark of the Web (MOTW)
- Role: DNS Server
- Windows Kernel-Mode Drivers
- ASP.NET Core & Visual Studio
- Windows File Explorer
- Microsoft Local Security Authority Server (lsasrv)
- Windows Cross Device Service
- Microsoft Office Word
- Microsoft Office Excel
- Windows Subsystem for Linux
- Windows NTFS
- Windows Fast FAT Driver
- Azure PromptFlow
- Windows Kernel Memory
- Visual Studio
- Microsoft Windows
- Azure Arc
- Microsoft Office Access
- Visual Studio Code
- Microsoft Management Console
- Microsoft Edge (Chromium-based)
- Remote Desktop Client
En savoir plus dans les notes de publication du MSRC.
Détails des vulnérabilités zero-day
Composant vulnérable : Sous-système Windows Win32 Kernel
Impact : Élévation de privilèges
CVSS 3.1 : 7.0
Microsoft a corrigé une vulnérabilité de sécurité permettant à des attaquants locaux d'obtenir des privilèges SYSTEM en exploitant une condition de concurrence. Actuellement, Microsoft n’a pas divulgué de détails spécifiques sur la méthode d’exploitation. Cette vulnérabilité a été identifiée par Filip Jurčacko d'ESET, et des informations supplémentaires devraient être publiées ultérieurement.
Composant vulnérable : Windows NTFS
Impact : Divulgation d’informations
CVSS 3.1 : 4.6
Cette vulnérabilité peut être exploitée par un attaquant ayant un accès physique à l’appareil en insérant une clé USB malveillante. Son exploitation permet de lire des portions de la mémoire heap et de voler des informations. Microsoft précise que cette vulnérabilité a été divulguée de manière anonyme.
Composant vulnérable : Pilote du système de fichiers Windows Fast FAT
Impact : Exécution de code à distance
CVSS 3.1 : 7.8
Une vulnérabilité d'exécution de code à distance est présente en raison d'un dépassement d'entier dans le pilote Windows Fast FAT. Son exploitation nécessite qu’un attaquant trompe un utilisateur local pour qu’il monte un fichier VHD spécialement conçu. Bien que Microsoft n'ait pas partagé de méthodes d'exploitation spécifiques, il est indiqué que des images VHD malveillantes ont déjà été utilisées lors d’attaques de phishing et via des logiciels piratés. Cette vulnérabilité a été divulguée anonymement.
Composant vulnérable : Windows NTFS
Impact : Divulgation d’informations
CVSS 3.1 : 5.5
Microsoft indique que des attaquants peuvent exploiter cette faille pour accéder à de petits segments de mémoire heap et extraire des informations sensibles. L’exploitation repose sur la tromperie d’un utilisateur afin qu’il monte un fichier VHD malveillant. Cette vulnérabilité a été divulguée anonymement.
Composant vulnérable : Windows NTFS
Impact : Exécution de code à distance
CVSS 3.1 : 7.8
Une vulnérabilité de dépassement de mémoire tampon basée sur le heap dans Windows NTFS permet à un attaquant d’exécuter du code arbitraire. Cette faille peut être exploitée en persuadant un utilisateur local de monter un fichier VHD spécialement conçu. La vulnérabilité a été divulguée anonymement.
Composant vulnérable : Microsoft Management Console
Impact : Contournement de fonctionnalité de sécurité
CVSS 3.1 : 7.0
Cette vulnérabilité permet à des fichiers .msc malveillants de contourner les fonctionnalités de sécurité de Windows et d'exécuter du code arbitraire. Son exploitation nécessite que les attaquants convainquent les utilisateurs d’ouvrir un fichier malveillant, généralement diffusé par e-mail ou messagerie instantanée. Bien que les utilisateurs ne puissent pas être contraints de consulter un contenu contrôlé par un attaquant, des techniques d’ingénierie sociale peuvent être utilisées. Cette vulnérabilité a été découverte par Aliakbar Zahravi de Trend Micro, mais aucun détail spécifique sur son exploitation n’a été divulgué.
Composant vulnérable : Microsoft Access
Impact : Exécution de code à distance
CVSS 3.1 : 7.8
Un bug de type use-after-free dans Microsoft Office Access permet l’exécution de code à distance. Pour exploiter cette faille, un attaquant doit tromper un utilisateur afin qu'il ouvre un fichier Access spécialement conçu. Cela peut être réalisé via des attaques de phishing ou d’ingénierie sociale, mais la faille ne peut pas être exploitée via le volet de prévisualisation. Microsoft n’a pas précisé qui a divulgué cette vulnérabilité.
CVE ID republiés
En plus des vulnérabilités corrigées dans le Patch Tuesday de ce mois, Microsoft a également republié dix CVE ID :
Par ailleurs, certains éditeurs tiers tels que Broadcom, Cisco, Google et Ivanti ont également publié des mises à jour ce mois-ci.
Bonnes pratiques pour gérer la gestion des correctifs dans un environnement de travail hybride
De nombreuses organisations ont adopté le travail à distance, même après un retour partiel au bureau. Cette évolution pose divers défis aux administrateurs IT, notamment en matière de gestion et de sécurisation des plateformes distribuées.
Voici quelques recommandations pour simplifier le processus d’application des correctifs à distance :
- Désactiver les mises à jour automatiques, car un correctif défectueux pourrait entraîner une panne système. Les administrateurs IT peuvent informer les utilisateurs sur la manière de désactiver ces mises à jour. Patch Manager Plus et Endpoint Central proposent un correctif dédié, 105427, permettant de désactiver automatiquement les mises à jour sur les plateformes.
- Créer un point de restauration (sauvegarde ou image capturant l’état des machines) avant de déployer des mises à jour majeures, comme celles du Patch Tuesday.
- Établir un planning de correctifs et informer les utilisateurs finaux. Il est recommandé de définir un horaire précis pour le déploiement des correctifs et les redémarrages des systèmes. Informez les utilisateurs des actions requises de leur côté afin de garantir une mise à jour sans problème.
- Tester les correctifs sur un groupe pilote avant le déploiement en production pour s’assurer qu’ils n’interfèrent pas avec les autres applications.
- Permettre aux utilisateurs de reporter l’installation des correctifs et les redémarrages programmés pour éviter toute interruption de leur travail, notamment pour ceux ayant des horaires décalés en télétravail. Les solutions de gestion des correctifs offrent des options de déploiement et de redémarrage définies par l’utilisateur.
- Optimiser la gestion des correctifs via le VPN en installant en priorité les correctifs critiques et de sécurité. Les mises à jour de fonctionnalités et cumulatives étant volumineuses, il peut être judicieux de différer leur déploiement afin de préserver la bande passante du VPN.
- Programmer les mises à jour non critiques après le Patch Tuesday, par exemple lors de la troisième ou quatrième semaine du mois. Il est également possible de refuser certaines mises à jour si elles ne sont pas pertinentes pour votre environnement.
- Analyser les rapports de correctifs afin d’obtenir une vue détaillée sur l’état de conformité et la sécurité des plateformes.
- Vérifier la conformité des machines de retour au bureau après une période de télétravail. Si elles ne répondent pas aux politiques de sécurité, elles doivent être mises en quarantaine. Appliquez les dernières mises à jour et packs de fonctionnalités avant de les réintégrer dans l’environnement de production. Profitez-en pour inventorier et désinstaller les applications devenues obsolètes, comme certains outils de collaboration à distance.
Grâce à Endpoint Central, Patch Manager Plus et Vulnerability Manager Plus, l’ensemble du processus de gestion des correctifs peut être automatisé, de la phase de test jusqu’au déploiement. Vous pouvez également personnaliser les tâches de correction en fonction de vos besoins. Testez ces solutions avec un essai gratuit de 30 jours pour sécuriser et maintenir à jour des milliers d’applications.
Vous souhaitez en savoir plus sur les mises à jour Patch Tuesday ?
Participez à notre webinaire gratuit Patch Tuesday, où nos experts analyseront en détail les mises à jour de ce mois-ci et répondront à toutes vos questions.
Prêts ? À vos correctifs !