Patch Tuesday : Microsoft corrige des bugs critiques de Windows et un exploit Word
Pour le Patch Tuesday de septembre, Microsoft a fourni plusieurs mises à jour pour corriger 59 vulnérabilités. Microsoft classe cinq vulnérabilités comme critiques et les autres, à l’exception d’une, comme à haut risque. Les vulnérabilités critiques affectent Windows, Visual Studio et Azure. Une vulnérabilité dans Word est déjà exploitée. Microsoft propose peu de détails sur les vulnérabilités de recherche automatique dans le guide des mises à jour de sécurité.
Dustin Childs présente le sujet du Patch Tuesday de manière beaucoup plus claire sur le blog Trend Micro ZDI, toujours en pensant aux administrateurs qui s’occupent des réseaux d’entreprise.
Les failles de sécurité les plus importantes lors du Patch Day de septembre
| CVE | logiciel vulnérable | Gravité | Impact | exploité | connu à l’avance |
|---|---|---|---|---|---|
| CVE-2023-36761 | Mot | haut | Fuite de données | Oui | Oui |
| CVE-2023-38148 | Windows (ICS) | critique | RCE | Non | Non |
| CVE-2023-36792 | Visual Studio | critique | RCE | Non | Non |
| CVE-2023-36793 | Visual Studio | critique | RCE | Non | Non |
| CVE-2023-36796 | Visual Studio | critique | RCE | Non | Non |
Mises à jour du navigateur
La dernière mise à jour de sécurité pour Edge est la version 116.0.1938.76 du 7 septembre. Elle est basée sur Chromium 116.0.5845.180 et corrige plusieurs trous dans la base de Chromium. Cependant, Google a déjà publié cette semaine deux nouvelles mises à jour de Chrome qui corrigent davantage de vulnérabilités, notamment un exploit de 0 jour. Depuis le passage à Chromium 110 en février, Edge ne fonctionne plus sur les systèmes équipés de Windows 7 ou 8.x, comme tous les navigateurs basés sur Chromium.
Vulnérabilités du bureau
Microsoft a documenté huit vulnérabilités de sécurité pour ses produits Office. Parmi elles se trouve une vulnérabilité d’exécution de code à distance (RCE) dans Word (CVE-2023-36762). La vulnérabilité Word CVE-2023-36761, en revanche, est signalée par Microsoft comme une fuite de données. Il est déjà exploité pour des attaques. Un attaquant peut divulguer des hachages NTLM qu’il pourrait utiliser pour des attaques par relais NTLM. Dustin Childs du blog ZDI de Trend Micro considère donc qu’une classification comme vulnérabilité d’usurpation d’identité est plus appropriée. Un exploit de cette vulnérabilité Word peut également être réalisé via l’aperçu d’Outlook, si un fichier Word correctement préparé est envoyé en pièce jointe.
Vulnérabilités dans Windows
Certaines vulnérabilités, cette fois 21, sont réparties dans les différentes versions de Windows 10 et 11. Windows 7 et 8.1 ne sont plus mentionnés dans les rapports de sécurité, mais pourraient être vulnérables. Dans la mesure où la configuration système le permet, vous devez passer à Windows 10 (22H2) ou Windows 11 pour continuer à recevoir les mises à jour de sécurité. Windows 10 21H2 a reçu pour la dernière fois des mises à jour en juin.
La seule vulnérabilité Windows désignée comme critique par Microsoft concerne le partage de connexion Internet (ICS). Si un attaquant se trouve sur le même segment de réseau que l’ordinateur cible lorsque ICS est activé, il peut injecter et exécuter du code avec un paquet réseau contrefait. ICS n’est pas activé par défaut.
Microsoft a corrigé les vulnérabilités RCE considérées comme à haut risque dans le moteur de script EdgeHTML, les thèmes Miracast et Windows. Cette dernière vulnérabilité (CVE-2023-38146) permet à un attaquant d’injecter et d’exécuter du code à l’aide d’un fichier de thèmes contrefait. Cela n’est pas sans rappeler des attaques similaires avec des économiseurs d’écran qui existaient il y a 20 ans. Microsoft a corrigé sept vulnérabilités dans l’application 3D Builder, dont six sont des vulnérabilités RCE. Les mises à jour de cette application sont disponibles dans le Microsoft Store.
Bogues critiques dans Visual Studio
Microsoft classe trois des cinq vulnérabilités RCE dans Visual Studio comme critiques. Les informations fournies par Microsoft ne permettent pas de comprendre pourquoi les deux autres devraient poser moins de problèmes.
Autres mises à jour pour Exchange Server
Après que Microsoft ait déjà corrigé certaines vulnérabilités Exchange lors du Patch Day en août, cinq autres sont ajoutées ce mois-ci. Trois des vulnérabilités sont des exploits RCE. De plus, il existe une fuite de données et une vulnérabilité d’usurpation d’identité (CVE-2023-36757). Ce dernier peut être utilisé pour les attaques par relais NTLM. Les mises à jour de septembre nécessitent que les correctifs d’août aient déjà été installés.
Mises à jour de sécurité étendues (ESU)
Les entreprises et organisations qui participent au programme ESU payant de Microsoft pour sécuriser les systèmes avec Server 2008/R2 recevront ce mois-ci des mises à jour qui éliminent 11 vulnérabilités. Les vulnérabilités RCE n’en font pas partie cette fois.
Cet article a été traduit de l’allemand vers l’anglais et a été initialement publié sur pcwelt.de.
