16/12/2024

Actu CybersécuritéLogiciel - OS

Patch Tuesday – Juin 2023 : 78 failles de sécurité corrigées, mais pas de zero-day !

Microsoft a mis en ligne son nouveau Patch Tuesday pour juin 2023 ! Il permet de corriger 78 vulnérabilités, mais la bonne nouvelle c'est qu'il n'y a pas eu de faille zero-day corrigée. Faisons le point.

Tout d'abord, ce Patch Tuesday permet de corriger 6 vulnérabilités critiques, dont voici la liste :

Comme d'habitude, le Patch Tuesday concerne de nombreux produits et composants de chez Microsoft tels que .NET Core, Azure DevOps, Exchange Server, Microsoft Office (Excel, OneNote, Outlook), la librairie Windows Codecs, le client NuGet, le client Bureau à distance, le rôle Serveur DNS de Windows Server, ainsi que le rôle Serveur DHCP, ou encore Windows CryptoAPI, Windows Hello, Windows Installer, Windows OLE, Windows SMB et le noyau Windows.

Jugée "importante", il y a une faille de sécurité dans Exchange Server qui sera à surveiller de près : CVE-2023-32031. En l'exploitant, un attaquant authentifié peut parvenir à exécuter du code malveillant dans le contexte du compte du serveur Exchange.

Par ailleurs, et ce n'est pas comptabilisé dans ce total de 78 vulnérabilités, Microsoft a corrigé 16 failles de sécurité dans son navigateur Edge.

Méfiance si vous utilisez SharePoint Server 2019

Microsoft a corrigé une faille de sécurité critique (CVE-2023-29357) dans SharePoint Server, associée à un score CVSS v3 de 9.8 sur 10 et qui permettrait à un attaquant d'obtenir le niveau de privilèges "Administrateur" sur le serveur SharePoint compromis.

D'après les informations fournies, cette vulnérabilité s'exploite par le réseau sans avoir besoin de privilèges spécifiques au préalable. Pour effectuer cette élévation de privilèges, voici ce que précise Microsoft : "Un attaquant ayant accès à des jetons d'authentification JWT usurpés peut les utiliser pour exécuter une attaque réseau qui contourne l'authentification et lui permet d'accéder aux privilèges d'un utilisateur authentifié."

Un mois sans zero-day

C'est la première fois depuis le début de l'année 2023 que le Patch Tuesday de Microsoft ne corrige pas au moins une faille de sécurité zero-day ! C'est à noter et cela enlève un peu de pression même si l'on n'est pas à l'abri qu'une vulnérabilité corrigée par ce Patch Tuesday soit exploitée à l'avenir dans le cadre d'attaques. Pour l'instant, ce n'est pas le cas et on appréciera.

Rendez-vous un peu plus tard dans la matinée pour parler des nouvelles mises à jour Windows 10 et Windows 11.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.