Veuillez trouver le bulletin d’actualité du CERT du 18 janvier reprenant :

Vulnérabilités significatives de la semaine 03

FIN DE SUPPORT DE WINDOWS 8.1WINDOWS SERVER 2012 ET WINDOWS SERVER 2012 R2

En décembre 2019, le CERT-FR publiait deux bulletins d’actualité ([1], [2]) pour rappeler la fin du support pour Microsoft Windows 7 et Windows Server 2008 / 2008 R2 et recommandait la migration vers Windows 10 Enterprise(*) et Windows Server 2019. Ces recommandations se fondaient principalement sur la disponibilité de nouvelles fonctionnalités de sécurité dans ces versions, leur durée de vie mais également sur la fin de support annoncé pour Windows 8.1 et Windows Server 2012 / 2012 R2.

Le support de Microsoft Windows 8.1 s’est arrêté le 10 janvier 2023, tandis que le support de Microsoft Windows Server 2012 / 2012 R2 s’arrêtera le 10 octobre 2023.

Le support et la mise à disposition de mises à jour de sécurité par l’éditeur constituent un point crucial à la sécurisation d’un système. L’arrêt du support d’une version donnée doit être anticipé et constitue une motivation à la migration vers une version toujours supportée, si possible la plus récente. Il est rappelé que pour les versions de Windows qui ne sont plus couvertes par un support étendu ou une extension de mise à jour de sécurité (ESU), Microsoft ne communique plus sur la découverte de vulnérabilités pouvant les affecter et qu’elles demeureront donc méconnues et potentiellement exploitables.

Le CERT-FR a pu constater que de nombreux systèmes utilisant Microsoft Windows 7, Windows Server 2012 ou Windows Server 2012 R2 sont aujourd’hui encore en service. L’ANSSI attire l’attention sur la nécessité d’anticiper dès à présent une migration : Microsoft Windows 11 (ou Windows 10 si le processeur n’est pas compatible) et Windows Server 2022.

En cas d’impossibilité de migrer un système obsolète vers une version supportée, l’isolation de celui-ci vis-à-vis du système d’information constitue une mesure compensatoire visant à limiter les impacts en cas de compromission. Cette isolation devra être réalisée dans les plus brefs délais.

Rappel des avis émis

Source : Bulletin d’actualité CERTFR-2023-ACT-004