Patch Tuesday – Février 2023 : 77 failles de sécurité et 3 zero-day au programme !
Microsoft a mis en ligne son Patch Tuesday de février 2023 et ce dernier contient des correctifs pour 77 vulnérabilités ainsi que 3 failles de sécurité zero-day exploitées dans le cadre d'attaques. Faisons le point.
Au sein de ce Patch Tuesday, où l'on retrouve 9 vulnérabilités critiques permettant une exécution de code à distance, Microsoft a inclus des correctifs pour différents produits, dont : .NET Framework, 3D Builder, HoloLens, Microsoft Defender for Endpoint, Microsoft Defender for IoT, Dynamics, Exchange Server, Office, OneNote, Publisher, SharePoint, Word, pilote d'impression PostScript, librairie Windows Codecs, SQL Server, Visual Studio, Active Directory, Windows iSCSI, Windows PEAP, le pilote ODBC de Windows, ou encore plusieurs services Azure. À cela s'ajoute trois vulnérabilités corrigées dans le navigateur Microsoft Edge.
Avant de parler des failles de sécurité zero-day, voici la liste des vulnérabilités critiques :
- .NET Framework et Visual Studio : CVE-2023-21808
- Word (Office) : CVE-2023-21716
- SQL Server : CVE-2023-21718
- Visual Studio : CVE-2023-21815, CVE-2023-23381
- Windows iSCSI : CVE-2023-21803
- Windows PEAP : CVE-2023-21692, CVE-2023-21690, CVE-2023-21689
Trois failles zero-day patchées par Microsoft
Parlons des failles zero-day corrigées par Microsoft et qui seraient exploitées dans le cadre d'attaques informatiques.
- CVE-2023-21823 - Composant Windows Graphics - Exécution de code à distance
Découverte par 3 chercheurs en sécurité de chez Mandiant, cette faille de sécurité affecte toutes les versions de Windows et Windows Server, ainsi que Microsoft Office pour iOS et Microsoft Office pour Android. En l'exploitant, un attaquant peut exécuter du code à distance sur l'appareil en bénéficiant des droits SYSTEM.
Précision importante : cette mise à jour de sécurité est déployée par l'intermédiaire du Microsoft Store, et non par Windows Update qui est le canal de diffusion habituel. Donc, si vous avez désactivé les mises à jour automatiques du Microsoft Store, vous ne recevrez pas cette mise à jour.
- CVE-2023-21715 - Microsoft Publisher - Bypass d'une fonction de sécurité
Découverte par Hidetake Jo de chez Microsoft, cette vulnérabilité affecte l'application Publisher de la suite Microsoft Office. Grâce à un document qui exploite cette faille de sécurité, un attaquant peut parvenir à exécuter du code malveillant via une macro, même si les macros sont normalement bloquées.
Cette vulnérabilité pourrait être exploitée par les pirates via des campagnes de phishing, grâce à l'envoi de documents Publisher malveillants. Seule l'édition Microsoft 365 Apps for Enterprise est affectée, aussi bien en 32 bits qu'en 64 bits.
- CVE-2023-23376 - Pilote Windows "Common Log File System" - Elévation de privilèges
En exploitant cette vulnérabilité, un attaquant peut obtenir les privilèges SYSTEM sur Windows. Cette faille de sécurité, comme celles citées précédemment, serait exploitée dans le cadre d'attaques, mais Microsoft n'a pas apporté de précisions à ce sujet.
À vos mises à jour !
