23/12/2024

Actu CybersécuritéLogiciel - OS

Patch Tuesday – Juillet 2023 : 132 failles de sécurité corrigées, dont 6 failles zero-day !

Le Patch Tuesday de juillet 2023 mis en ligne par Microsoft est très chargé : il corrige 132 vulnérabilités dont 6 failles de sécurité zero-day activement exploitées dans le cadre d'attaques. Faisons le point.

Par rapport au Patch Tuesday du mois de mai 2023 qui ne contenait pas de correctif pour une faille zero-day, dans celui-ci on est servi puisqu'il y en a 6. A cela s'ajoutent 9 failles de sécurité critiques corrigées par Microsoft, dont voici la liste :

Par ailleurs, ce Patch Tuesday concerne d'autres produits et composants de chez Microsoft tels que Azure Active Directory (qui va changer de nom), Microsoft Dynamics, Microsoft Office (Access, Excel, Outlook), Power Apps, les pilotes d'impression PostScript et PCL6, Paint 3D, le rôle Serveur DNS, le rôle ADCS, Windows Admin Center, le rôle WDS, le rôle WSUS, le composant Windows Installer, ou encore le noyau Windows. Pour une fois, le navigateur Microsoft Edge n'a pas eu le droit à la moindre mise à jour de sécurité.

Le point sur les failles zero-day

Toutes les failles de sécurité zero-day corrigées par Microsoft sont déjà exploitées dans le cadre de cyberattaques. L'une de ces failles est même déjà connue publiquement.

CVE-2023-32046 - Windows MSHTML

Découverte en interne par le Microsoft Threat Intelligence Center, cette faille de sécurité dans Windows MSHTML permet d'effectuer une élévation de privilèges sur la machine Windows. Pour l'exploiter, l'attaquant doit faire en sorte que sa victime ouvre un fichier malveillant qu'il aura envoyé par e-mail ou hébergé sur un site Internet. Microsoft donne cet exemple : "Dans le cas d’une attaque par courrier électronique, un attaquant pourrait exploiter cette vulnérabilité en envoyant un fichier spécialement conçu à l’utilisateur et en persuadant celui-ci d’ouvrir le fichier."

Toutes les versions de Windows et Windows Server sont vulnérables.

CVE-2023-32049 - Windows SmartScreen

Découverte également par le Microsoft Threat Intelligence Center, cette faille de sécurité permet de contourner la protection SmartScreen de Windows. Autrement dit, l'avertissement qui doit s'afficher lorsque l'on exécute un fichier inconnu provenant d'Internet ne s'apparaîtra pas à l'écran. Là encore, l'exploitation passe par une URL qui mène à un fichier malveillant.

Toutes les versions de Windows et Windows Server à partir de Windows 10 v1607 et Windows Server 2016 sont vulnérables.

CVE-2023-36874 - Service de rapport d'erreur Windows

Découverte par Vlad Stolyarov et Maddie Stone de l'équipe Google Threat Analysis Group, cette faille de sécurité permet de devenir administrateur de la machine Windows ! Autrement dit, elle permet une élévation de privilèges. Toutefois, l'attaquant doit disposer d'un accès local à la machine : "Un attaquant doit disposer d’un accès local à l’ordinateur ciblé et l’utilisateur doit être en mesure de créer des dossiers et des traces de performance sur l’ordinateur, avec des privilèges restreints attribués par défaut à tous les utilisateurs."

Toutes les versions de Windows et Windows Server sont vulnérables.

CVE-2023-35311 - Microsoft Outlook

Cette nouvelle faille de sécurité affecte Microsoft Outlook et permet de contourner certaines mesures de protection. Le volet de prévisualisation intégré à Outlook est un vecteur d'attaque, comme l'indique Microsoft : "Le volet de prévisualisation est un vecteur d’attaque, mais une interaction supplémentaire avec l’utilisateur est requise."

Les versions de Microsoft Office affectées sont : Office 2013, Office 2016, Office 2019, Office LTSC 2021, Microsoft 365 Apps for Enterprise.

ADV230001 - Utilisation malveillante de pilotes signés par Microsoft

Ce bulletin d'alerte fait référence à l’utilisation malveillante de pilotes signés par Microsoft dans le cadre d'activités de post-exploitation. En fait, il s'agissait de pilotes signés par un compte développeur approuvé par Microsoft et appartenant au Microsoft Windows Hardware Developer Program.

Pour protéger les utilisateurs, Microsoft a introduit un correctif pour Windows qui vise à ne plus faire confiance aux pilotes et aux certificats de signature des pilotes pour les fichiers concernés. Par ailleurs, l'entreprise américaine a suspendu les comptes compromis.

Pour le moment, il n'y a pas de référence CVE attribuée.

CVE-2023-36884 - Office et Windows HTML

Pour finir, parlons de la faille de sécurité CVE-2023-36884, déjà rendue publique et qui n'a pas encore de correctif pour le moment ! J'insiste sur le fait que Microsoft n'a pas encore mis en ligne de correctif pour cette faille.

Cette vulnérabilité permet d'exécuter du code sur la machine Windows à partir d'un document malveillant. Cette attaque fonctionne uniquement si l'utilisateur ouvre le document, et le code sera exécuté dans le contexte de l'utilisateur, c'est-à-dire avec les droits de l'utilisateur.

Microsoft sait qu'il y a des attaques en cours : "Microsoft a connaissance d'attaques ciblées qui tentent d'exploiter ces vulnérabilités en utilisant des documents Microsoft Office spécialement conçus." - L'entreprise américaine parle même du groupe de pirates RomCom, connu pour avoir déployé le ransomware Industrial Spy dans de précédentes cyberattaques.

Puisqu'il n'y a pas encore de correctif pour cette faille de sécurité, Microsoft propose des mesures d'atténuation détaillées dans cet article. On peut lire :

  • Les clients qui utilisent Microsoft Defender pour Office 365 sont protégés contre les pièces jointes qui tentent d'exploiter la CVE-2023-36884.
  • Dans les chaînes d'attaque actuelles, l'utilisation de la règle de réduction de la surface d'attaque "Block all Office applications from creating child processes" empêche l'exploitation de la vulnérabilité
  • Les organisations qui ne peuvent pas bénéficier de ces protections peuvent définir la clé de registre FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION pour éviter l'exploitation. Veuillez noter que si ces paramètres de registre permettent d'atténuer l'exploitation de ce problème, ils peuvent affecter le fonctionnement normal de ces applications, dans certains cas d'utilisation spécifiques.

Protection CVE-2023-36884

Toutes les versions de Windows et Windows Server sont vulnérables.

D'autres articles au sujet des mises à jour pour Windows 10 et Windows 11 vont arriver dans la journée !

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.