Microsoft a publié une nouvelle liste de mises à jour de sécurité régulières pour Windows et d'autres logiciels pris en charge. Avec la correction de 129 vulnérabilités, dont 11 considérées critiques, le dernier Patch Tuesday est le plus volumineux jamais publié.

Il convient néanmoins de souligner qu'aucune des failles corrigées n'avait été divulguée ou identifiée comme étant en cours d'exploitation active avant la publication. Un peu plus de la moitié d'entre elles ont été classées comme des failles d'escalade de privilèges dans plusieurs composants Windows, bien qu'aucune de celles-ci n'ait été classée comme critique.

Néanmoins, il existe un certain nombre de vulnérabilités qui méritent une attention particulière, notamment parce qu'elles sont classées comme critiques et pourraient, dans certains scénarios, être utilisées abusivement par de mauvais acteurs pour prendre le contrôle de systèmes vulnérables à distance et sans l'aide de victimes.

Le moteur de script VBScript de Windows, par exemple, contenait un trio de failles critiques d'exécution de code à distance (RCE) - CVE-2020-1213CVE-2020-1216 et CVE-2020-1260. Chacune d'entre elles a reçu la note « exploitation assez probable » selon l'indice d'exploitabilité de Microsoft.

L'exploitation réussie de l'une de ces vulnérabilités pourrait donner à l'attaquant les mêmes droits d'utilisation que ceux de l'utilisateur actuel, y compris potentiellement des droits d'administrateur. « Un attaquant pourrait alors installer des programmes, consulter, modifier ou supprimer des données, ou créer de nouveaux comptes avec tous les droits d'utilisateur », précise Microsoft.

Une vulnérabilité du RCE,  CVE-2020-1248, a été corrigée dans l'interface de périphérique graphique de Windows (GDI). Causée par la manière dont GDI gère les objets en mémoire, la vulnérabilité pourrait permettre à un attaquant de prendre le contrôle d'un système vulnérable. Un scénario d'attaque pourrait consister à inciter la cible à ouvrir une pièce jointe malveillante.

Un certain nombre de failles dans SharePoint ont également été corrigées avec à la dernière mise à jour. Parmi celles-ci, CVE-2020-1181, une faille RCE classée critique qui est liée au fait que le serveur Microsoft SharePoint n'identifie pas et ne filtre pas correctement les contrôles web ASP.Net non sécurisés. « Un attaquant authentifié qui a exploité avec succès la vulnérabilité pourrait utiliser une page spécialement conçue pour effectuer des actions dans le contexte de sécurité du processus de pool d'applications SharePoint », explique Microsoft.

Protocole SMB

Le protocole Server Message Block (SMB) a reçu des correctifs pour trois défauts importants qui ont tous reçu la note « exploitation assez probable".

Selon cet article du SANS Technology Institute, le score CVSS le plus élevée du mois courant – soit 8,6 sur 10 - a été attribuée au  CVE-2020-1206, une vulnérabilité de divulgation d'informations dans le SMBv3 qui a trait à la façon dont le protocole traite certaines demandes. Selon Microsoft, « Un attaquant qui exploiterait avec succès la vulnérabilité pourrait obtenir des informations pour compromettre davantage le système de l'utilisateur. »

Baptisée SMBleed, cette nouvelle vulnérabilité dans la fonctionnalité de décompression SMB est présente dans les versions 1903, 1909 et 2004 de Windows 10. Les détails de la vulnérabilité ont été publiés par les chercheurs de ZecOps, qui l'ont découverte en examinant SMBGhost, une autre - et plus grave - faille de sécurité du protocole qui a été corrigée par une mise à jour spéciale, il y a trois mois.

SMBleed pourrait permettre aux attaquants de faire fuir la mémoire du noyau à distance ; combiné à SMBGhost, il permet de réaliser une exécution de code à distance (RCE) avant l'attaque, ont déclaré les chercheurs.

Le bogue vermouillable SMBGhost, quant à lui, permet aux attaquants de diffuser des logiciels malveillants d'une machine à l'autre sans aucune interaction avec l'utilisateur. Citant des rapports open source, l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a fourni un avertissement la semaine dernière, indiquant que des acteurs malveillants visaient déjà SMBGhost, indexé sous le numéro CVE-2020-0796, avec un code de preuve de concept (PoC) accessible au public.

Une vulnérabilité RCE affectant SMBv1 et indexée sous le numéro CVE-2020-1301a également été corrigée ce mois-ci. Elle pourrait faire écho à une faille de sécurité dans SMBv1 qui a été exploitée par EternalBlue et a facilité l'épidémie de WannaCryptor en 2017. La troisième faille SMB nouvellement corrigée est CVE-2020-1284, une vulnérabilité de déni de service dans SMBv3 que les attaquants pourraient exploiter afin de faire planter des systèmes vulnérables.

Nous vous conseillons d'effectuer toutes les mises à jour disponibles dès que possible. En cas de retard dans la réception des correctifs, vous pouvez télécharger les mises à jour à partir du catalogue de mises à jour de Microsoft.