16/12/2024

Actu CybersécuritéLogiciel - OS

Patch Tuesday – Novembre 2023 : 58 failles de sécurité et 5 zero-day corrigées !

Microsoft a mis en ligne le Patch Tuesday de Novembre 2023 ! Il est assez léger puisqu'il corrige "seulement" 58 vulnérabilités, mais il y a tout de même une quantité importante de failles de sécurité zero-day : 5, au total. Faisons le point.

Bien qu'il y ait une bonne dizaine de vulnérabilités de type "exécution de code à distance", ce Patch Tuesday contient uniquement quelques failles de sécurité critiques, notamment celles-ci :

Par ailleurs, d'autres produits de chez Microsoft sont concernés directement par ce Patch Tuesday : Dynamics, le pilote Bluetooth, Exchange Server, Microsoft Office, Visual Studio, Visual Studio Code, le rôle DHCP Server, Hyper-V, ainsi que divers composants et services de Windows.

En plus, il faut ajouter 20 failles de sécurité corrigées dans le navigateur Microsoft Edge et 5 vulnérabilités dans Mariner, la distribution Linux de Microsoft.

Le point sur les failles de sécurité zero-day

Ce mois-ci, Microsoft a corrigé 5 failles de sécurité zero-day, dont 3 exploitées dans le cadre d'attaques.

CVE-2023-36036 - Windows - Pilote "Cloud Files Mini Filter"

Toutes les versions de Windows et Windows Server, y compris Windows 11 23H2 disponible depuis peu, sont affectées par la faille de sécurité CVE-2023-36036 présente dans un pilote du système. Microsoft a connaissance de cyberattaques où cette vulnérabilité est exploitée. En l'exploitant, un attaquant peut élever ses privilèges : "Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les privilèges SYSTEM."

CVE-2023-36033 - Windows - Librairie "DWM Core"

Nous pourrions presque faire un copier-coller de la précédente vulnérabilité, car celle-ci affecte aussi toutes les versions de Windows et Windows Server, et elle permet d'élever ses privilèges en tant que SYSTEM sur la machine locale. Par contre, elle n'impacte pas le même composant du système, car là c'est la librairie "DWM Core" de Windows qui est impactée.

Cette vulnérabilité serait également exploitée dans le cadre d'attaques et elle a déjà été divulguée publiquement.

CVE-2023-36025 - Windows - Bypass de la fonction SmartScreen

En exploitant la vulnérabilité CVE-2023-36025, un attaquant peut outrepasser la fonction de sécurité SmartScreen de Windows. Cette faille de sécurité peut être exploitée à distance grâce à la diffusion d'un raccourci Internet malveillant : "L'utilisateur doit cliquer sur un raccourci Internet (.URL) spécialement conçu ou sur un lien hypertexte pointant vers un fichier de raccourci Internet pour être compromis par l'attaquant.", précise Microsoft.

Là encore, il s'agit d'une faille de sécurité exploitée par les cybercriminels et il y aurait un exploit PoC disponible sur Internet.

CVE-2023-36413 - Microsoft Office

La suite Microsoft Office est affectée par la faille de sécurité zero-day CVE-2023-36413 qui est déjà connue publiquement. Par contre, elle n'est pas exploitée par les cybercriminels pour le moment. En l'exploitant, un attaquant peut outrepasser le "Mode Protégé" afin que le document s'ouvre directement en mode édition. Dans ce cas, tous les composants internes du document sont chargés, ce qui représente un risque.

Cette vulnérabilité affecte Office 2016, Office 2019, Office 2021 ainsi que les versions Microsoft 365 Apps.

CVE-2023-36038 - ASP.NET Core

Terminons par cette faille de sécurité présente dans ASP.NET Core. Déjà divulguée, elle n'est pas exploitée au sein d'attaques. Toutefois, si un attaquant parvenait à l'exploiter (ce qui est assez facile d'après Microsoft), il pourrait provoquer un déni de service sur le serveur cible. Par exemple, sur un serveur IIS, même si cela dépend de la configuration du serveur Web.

Cette vulnérabilité affecte .NET 8.0, ASP.NET Core 8.0, ainsi que Visual Studio 2022.

D'autres articles sont en cours de préparation pour les nouvelles mises à jour Windows 10 et Windows 11 : restez connectés !

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

1 commentaire sur “Patch Tuesday – Novembre 2023 : 58 failles de sécurité et 5 zero-day corrigées !

  • Bonjour
    Suite au patch de novembre sur serveurs et sur postes, nous avons de grosses lenteurs avec Exchange/Outlook sur l’envoi, réception de mail, quelqu’un a eu le cas ?
    merci

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.