Patch Tuesday – Août 2020 – 2 failles 0-day et 120 vulnérabilités
En matière de sécurité, il n'y a pas de vacances ! Le Patch Tueday de ce mois d'août 2020 le prouve une fois de plus puisque Microsoft vient de corriger 120 vulnérabilités dans ses produits, dont deux failles Zero Day.
Les vulnérabilités corrigées concernent 13 produits de chez Microsoft dont Windows, Edge et SQL Server. Au sein des 120 vulnérabilités de ce mois-ci, il y a 17 failles jugées critiques, dont 2 failles Zero Day exploitées par des pirates. Il y a notamment la vulnérabilité CVE-2020-1337 qui exploite un bug dans le serveur d'impression Windows (Windows Print Spooler) permettant une élévation de privilèges.
Intéressons-nous plus particulièrement aux deux failles Zero Day puisqu'il s'agit de failles exploitées par les pirates avant que Microsoft publie les correctifs. La première faille est connue sous la référence CVE-2020-1464 alors que la seconde est référencée sous l'appellation CVE-2020-1380.
Vulnérabilité CVE-2020-1464
Ce bug permet au pirate d'altérer le comportement de Windows afin que les signatures des fichiers ne soient pas vérifiées correctement. Par conséquent, le pirate peut charger un fichier avec une mauvaise signature en contournant le système de sécurité de Windows.
Vulnérabilité CVE-2020-1380
Cette seconde faille Zero Day concerne Internet Explorer, au niveau du moteur de script du navigateur. Microsoft a reçu l'information de la part de Kaspersky : l'éditeur de solution de sécurité a indiqué à Microsoft que des pirates avaient trouvé une faille permettant l'exécution de code à distance (RCE).
Le problème c'est que le moteur de script d'Internet Explorer est utilisé par d'autres produits Microsoft, notamment la suite Office pour l'intégration de page web au sein des documents. Par exemple, un fichier Word malveillant pourrait être utilisé pour piéger un utilisateur.
Les systèmes concernés par les différentes vulnérabilités sont les suivants : Windows 10 (à partir de la version 1607), Windows 7, Windows 8.1, ainsi que Windows Server de Windows Server 2008 R2 à la dernière mouture à savoir Windows Server, version 2004. Pour Windows Server, les installations en mode Core sont également concernées.
Méfiance avec une troisième vulnérabilité : CVE-2020-1509
D'après nos confrères de ZDNet, la vulnérabilité CVE-2020-1509 (permettant une élévation de privilèges) ne serait que partiellement corrigée par Microsoft. Plus précisément, ce sont les chercheurs du Project Zero de Google qui expliquent que Microsoft a patché de manière incorrecte la faille et qu'elle peut toujours être exploitée ! Le pire c'est que Microsoft est hors délai : cela fait plus de 90 jours qu'ils ont connaissance de cette faille donc les détails de celle-ci ont été dévoilés sur Internet !