Patch Tuesday – Août 2023 : 87 failles de sécurité corrigées, dont 2 failles zero-day !

Le Patch Tuesday d'août 2023 mis en ligne par Microsoft corrige 87 vulnérabilités dont 2 failles de sécurité zero-day activement exploitées au sein de cyberattaques. Faisons le point.

Par rapport au Patch Tuesday du mois de juillet 2023, celui-ci est moins chargé puisque l'on est passé de 132 vulnérabilités à 87 vulnérabilités corrigées. À cela s'ajoutent 12 failles de sécurité corrigées dans Microsoft Edge. Ce nouveau Patch Tuesday fait référence à 23 failles de sécurité de type "exécution de code à distance" et parmi l'ensemble des vulnérabilités, 6 sont considérées comme critiques par Microsoft. Voici la liste :

• Microsoft Office Outlook : CVE-2023-36895
• Microsoft Teams : CVE-2023-29328, CVE-2023-29330
• Windows Message Queuing : CVE-2023-35385, CVE-2023-36911, CVE-2023-36910

En complément, d'autres produits et services de chez Microsoft sont concernés par ce Patch Tuesday, dont : .NET Core, .NET Framework, Azure Arc, Microsoft Dynamics, Microsoft Exchange Server, la suite Office (Excel, Outlook, Visio), SharePoint, Hyper-V, SQL Server, le noyau Windows ou encore la fonction Smart Card de Windows.

Le point sur les failles zero-day

Intéressons-nous de plus près aux deux failles de sécurité zero-day corrigées par Microsoft !

CVE-2023-38180 - .NET et Visual Studio

Microsoft a corrigé une faille de sécurité permettant d'effectuer une attaque par déni de service sur les applications .NET et Visual Studio lui-même. La firme de Redmond ne s'est pas montrée très bavarde au sujet de cette faille de sécurité puisque l'on n'a aucune information sur les attaques en cours, ni de détails techniques supplémentaires... Par contre, on sait que les produits suivants sont affectés :

• .NET 7.0
• .NET 6.0
• ASP.NET Core 2.1
• Microsoft Visual Studio 2022 version 17.6
• Microsoft Visual Studio 2022 version 17.4
• Microsoft Visual Studio 2022 version 17.2

ADV230003 - Microsoft Office

Ce mois-ci, Microsoft nous propose un correctif pour la faille de sécurité CVE-2023-36884, déjà divulguée dans le Patch Tuesday du mois dernier, sans qu'il y ait de correctif. À la place, l'entreprise américaine proposait aux administrateurs de mettre en place une clé de Registre.

Pour rappel, cette vulnérabilité est activement exploitée et Microsoft a connaissance d'attaques depuis plusieurs semaines. En effet, le groupe de pirates RomCom, connu pour avoir déployé le ransomware Industrial Spy dans de précédentes cyberattaques, exploite cette vulnérabilité. Cette faille de sécurité est aussi impliquée dans les attaques contre l'OTAN.

En l'exploitant, un attaquant peut exécuter du code à distance sur la machine Windows ciblée, à partir d'un document malveillant. Cette attaque fonctionne uniquement si l'utilisateur ouvre le document, et le code sera exécuté dans le contexte de l'utilisateur, c'est-à-dire avec les droits de l'utilisateur. En fait, il y a un contournement de la fonctionnalité Mark of the Web.

Toutes les versions de Microsoft Office, y compris Microsoft 365 Apps, sont vulnérables.

Florian BURNEL Co-founder of IT-Connect

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

See Full Bio