Patch Tuesday – Juin 2023 : 78 failles de sécurité corrigées, mais pas de zero-day !
Microsoft a mis en ligne son nouveau Patch Tuesday pour juin 2023 ! Il permet de corriger 78 vulnérabilités, mais la bonne nouvelle c'est qu'il n'y a pas eu de faille zero-day corrigée. Faisons le point.
Tout d'abord, ce Patch Tuesday permet de corriger 6 vulnérabilités critiques, dont voici la liste :
- .NET et Visual Studio : CVE-2023-24897
- Microsoft SharePoint Server : CVE-2023-29357
- Hyper-V : CVE-2023-32013
- Windows PGM (protocole de multidiffusion) : CVE-2023-29363, CVE-2023-32014 et CVE-2023-32015
Comme d'habitude, le Patch Tuesday concerne de nombreux produits et composants de chez Microsoft tels que .NET Core, Azure DevOps, Exchange Server, Microsoft Office (Excel, OneNote, Outlook), la librairie Windows Codecs, le client NuGet, le client Bureau à distance, le rôle Serveur DNS de Windows Server, ainsi que le rôle Serveur DHCP, ou encore Windows CryptoAPI, Windows Hello, Windows Installer, Windows OLE, Windows SMB et le noyau Windows.
Jugée "importante", il y a une faille de sécurité dans Exchange Server qui sera à surveiller de près : CVE-2023-32031. En l'exploitant, un attaquant authentifié peut parvenir à exécuter du code malveillant dans le contexte du compte du serveur Exchange.
Par ailleurs, et ce n'est pas comptabilisé dans ce total de 78 vulnérabilités, Microsoft a corrigé 16 failles de sécurité dans son navigateur Edge.
Méfiance si vous utilisez SharePoint Server 2019
Microsoft a corrigé une faille de sécurité critique (CVE-2023-29357) dans SharePoint Server, associée à un score CVSS v3 de 9.8 sur 10 et qui permettrait à un attaquant d'obtenir le niveau de privilèges "Administrateur" sur le serveur SharePoint compromis.
D'après les informations fournies, cette vulnérabilité s'exploite par le réseau sans avoir besoin de privilèges spécifiques au préalable. Pour effectuer cette élévation de privilèges, voici ce que précise Microsoft : "Un attaquant ayant accès à des jetons d'authentification JWT usurpés peut les utiliser pour exécuter une attaque réseau qui contourne l'authentification et lui permet d'accéder aux privilèges d'un utilisateur authentifié."
Un mois sans zero-day
C'est la première fois depuis le début de l'année 2023 que le Patch Tuesday de Microsoft ne corrige pas au moins une faille de sécurité zero-day ! C'est à noter et cela enlève un peu de pression même si l'on n'est pas à l'abri qu'une vulnérabilité corrigée par ce Patch Tuesday soit exploitée à l'avenir dans le cadre d'attaques. Pour l'instant, ce n'est pas le cas et on appréciera.
Rendez-vous un peu plus tard dans la matinée pour parler des nouvelles mises à jour Windows 10 et Windows 11.