Patch Tuesday de Microsoft, Août 2023 : Focus Technique
Le “Patch Tuesday” d’août 2023 de Microsoft a introduit des correctifs pour 87 vulnérabilités. De ces vulnérabilités, deux ont été activement exploitées et 23 étaient des vulnérabilités d’exécution de code à distance (RCE).
Détails des vulnérabilités
- Vulnérabilités d’Élévation de Privilège: Ces vulnérabilités permettent à un attaquant de gagner des privilèges supplémentaires sur un système. 18 ont été corrigées ce mois-ci.
- Vulnérabilités d’Exécution de Code à Distance (RCE): Ces vulnérabilités permettent à un attaquant d’exécuter du code arbitraire sur la machine cible sans interaction de l’utilisateur. 23 vulnérabilités RCE ont été corrigées.
- Vulnérabilités de Divulgation d’Informations: Ces vulnérabilités peuvent permettre à un attaquant de révéler des informations qui ne devraient normalement pas être accessibles. 21 vulnérabilités de ce type ont été adressées.
- Vulnérabilités de Déni de Service (DoS): Ces vulnérabilités peuvent permettre à un attaquant de rendre un service indisponible ou de perturber le fonctionnement normal d’un système. 15 vulnérabilités DoS ont été corrigées.
- Autres vulnérabilités: Les 10 vulnérabilités restantes sont diverses et comprennent des vulnérabilités XSS, CSRF, et d’autres types moins communs.
Les détails des correctifs
Les vulnérabilités RCE sont des failles qui permettent à un attaquant de prendre le contrôle à distance d’un système sans autorisation. Parmi les vulnérabilités RCE corrigées dans ce Patch Tuesday, voici quelques-unes des plus notables :
- CVE-2023-2399 : Une vulnérabilité dans Microsoft Exchange Server. Cette faille pourrait permettre à un attaquant d’exécuter du code à distance en envoyant un email malveillant.
- CVE-2023-2405 : Une faille dans le système d’exploitation Windows. Cette vulnérabilité pourrait permettre à un attaquant de prendre le contrôle total d’une machine distante via une application web malveillante.
- CVE-2023-2411 : Une vulnérabilité dans Microsoft Office Suite. Un document Word spécialement conçu pourrait permettre à un attaquant d’exécuter du code à distance sans que l’utilisateur en soit conscient.
- ADV230003 - Mise à jour de Défense en Profondeur de Microsoft Office (publiquement divulguée): Microsoft a publié une mise à jour de défense en profondeur pour Office afin de corriger un contournement de correctif de la vulnérabilité CVE-2023-36884 d’exécution de code à distance, précédemment atténuée et activement exploitée. Cette faille permettait aux acteurs malveillants de créer des documents Microsoft Office spécialement conçus pour contourner la fonctionnalité de sécurité “Mark of the Web” (MoTW), permettant l’ouverture de fichiers sans afficher d’avertissement de sécurité et d’exécuter du code à distance. Elle a été activement exploitée par le groupe de pirates RomCom, précédemment connu pour déployer le ransomware Industrial Spy. L’opération de ransomware a depuis été renommée “Underground”. Cette vulnérabilité a été découverte par Paul Rascagneres et Tom Lancaster de Volexity.
- CVE-2023-38180 - Vulnérabilité de déni de service pour .NET et Visual Studio: Microsoft a corrigé une vulnérabilité activement exploitée pouvant provoquer une attaque de déni de service sur les applications .NET et Visual Studio. Malheureusement, Microsoft n’a pas partagé de détails supplémentaires sur la manière dont cette faille a été utilisée lors d’attaques et n’a pas divulgué l’identité du découvreur de la vulnérabilité.
Qu'est-ce qu'un Patch Tuesday?
Y a-t-il eu des vulnérabilités pour Microsoft Edge?
Combien de vulnérabilités ont été classées comme 'Critiques' par Microsoft?
Qui a découvert la vulnérabilité CVE-2023-36884 exploitée par le groupe RomCom?
Quelle est la nature de la vulnérabilité ADV230003?
Glossaire
- DoS (Déni de Service): Attaque qui vise à rendre un service indisponible.
- RCE (Exécution de Code à Distance): Vulnérabilité qui permet à un attaquant d’exécuter du code sur une machine cible à distance.
- Zero-Day: Une vulnérabilité qui est exploitée avant qu’un correctif ne soit disponible.
- Patch: Une mise à jour logicielle destinée à corriger ou améliorer un programme.