Patch Tuesday juillet 2023 : l'essentiel en 30 secondes
Microsoft a publié son Patch Tuesday de juillet 2023, corrigeant 132 vulnérabilités dont :
- 9 failles critiques (exécution de code à distance)
- 6 zero-days activement exploitées dans la nature
- Correctifs pour Windows 10, Windows 11, Windows Server, Office et Outlook
Pour les PME : c'est l'un des Patch Tuesday les plus lourds de 2023. Six zero-days simultanées, dont une faille Outlook qui contourne les alertes de sécurité — vos collaborateurs ne verront même pas l'attaque arriver.
Les 6 zero-days : ce qui est exploité en ce moment
CVE-2023-32046 — Élévation de privilèges MSHTML
Cette vulnérabilité dans la plateforme MSHTML de Windows permet une élévation de privilèges. L'exploitation se fait via l'ouverture d'un fichier spécialement conçu, envoyé par e-mail ou hébergé sur un site web malveillant. En cliquant sur le fichier, l'attaquant obtient les droits de l'utilisateur actuel — et peut ensuite escalader vers un contrôle total.
CVE-2023-32049 — Contournement de SmartScreen
Windows SmartScreen est votre première ligne de défense contre les fichiers téléchargés depuis Internet. Cette zero-day permet de contourner complètement cette protection. Les fichiers malveillants s'exécutent sans aucune alerte — vos collaborateurs ne sont plus avertis du danger.
CVE-2023-36874 — Élévation de privilèges Windows Error Reporting
Le service Windows Error Reporting peut être exploité pour obtenir des privilèges administrateur. Un attaquant ayant un accès local (même limité) à un poste peut utiliser cette faille pour devenir administrateur et déployer des malwares.
CVE-2023-35311 — Contournement de sécurité Outlook
La faille la plus dangereuse pour les PME. Cette zero-day dans Microsoft Outlook permet de contourner les invites de sécurité lors de l'ouverture de liens ou pièces jointes. Concrètement, les alertes « Ce fichier pourrait être dangereux » ne s'affichent plus. Un e-mail de phishing devient invisible pour l'utilisateur final.
Autres zero-days exploitées
Deux failles supplémentaires complètent ce tableau : des vulnérabilités dans les composants Windows permettant des élévations de privilèges et des contournements de sécurité.
Pourquoi c'est critique pour votre PME
Les zero-days sont des failles exploitées avant même que le correctif n'existe. Au moment où Microsoft publie le patch, des attaquants les utilisent déjà. Avec 6 zero-days en un seul mois, la menace est exceptionnelle.
Les PME sont particulièrement exposées car :
- Pas d'équipe IT dédiée pour surveiller et déployer les patchs
- Parc hétérogène avec des versions Windows différentes
- Aucun test de compatibilité avant déploiement (risque de régression)
- Postes en télétravail qui ne se mettent pas à jour automatiquement
Les failles Outlook et SmartScreen sont particulièrement vicieuses : elles neutralisent les protections sur lesquelles les utilisateurs comptent au quotidien.
Les 9 failles critiques à corriger en priorité
Au-delà des zero-days, ce Patch Tuesday corrige 9 failles critiques (score CVSS ≥ 9.0). Ces vulnérabilités permettent une exécution de code à distance (RCE) — un attaquant peut prendre le contrôle total d'un poste ou serveur vulnérable.
Systèmes impactés :
- Windows 10 et 11 : postes de travail de vos collaborateurs
- Windows Server : serveurs de fichiers, Active Directory, contrôleurs de domaine
- Microsoft Outlook : alertes de sécurité contournées par la zero-day
- Microsoft Office : Word, Excel — vecteurs d'attaque par pièce jointe
Ce que votre PME doit faire maintenant
Si vous gérez votre IT en interne
- Déployez les mises à jour Windows via WSUS ou Windows Update dans les 48h
- Priorisez les 6 zero-days : surtout CVE-2023-35311 (Outlook) et CVE-2023-32049 (SmartScreen)
- Alertez vos collaborateurs : les protections Outlook et SmartScreen ne fonctionnent plus sans le patch
- Vérifiez les postes en télétravail : ils manquent souvent les mises à jour
- Testez les applications métier après le déploiement pour détecter les régressions
Si vous êtes client Dhala
Aucune action requise. Notre équipe a déjà :
- Testé les patchs sur notre environnement de pré-production
- Déployé les correctifs critiques (6 zero-days) sous 48h
- Planifié le déploiement complet sur la fenêtre de maintenance habituelle
- Supervisé les postes pour détecter toute régression
Le patching automatisé : pourquoi c'est indispensable pour une PME
Avec 132 correctifs ce mois-ci et 6 zero-days, le patching manuel est devenu impossible pour une PME. Microsoft publie entre 50 et 150 correctifs chaque mois — soit plus de 1 000 par an.
Chez Dhala, notre service d'infogérance inclut :
- Déploiement automatisé des patchs critiques sous 48h
- Tests de compatibilité avant déploiement sur votre parc
- Supervision 24/7 pour détecter les postes non patchés
- Rapports mensuels de conformité pour votre direction
Le patching est inclus dans notre offre à partir de 44€/poste/mois avec le SOC managé et la protection EDR.
Récapitulatif Patch Tuesday juillet 2023
| Métrique | Valeur |
|---|---|
| Total de vulnérabilités | 132 |
| Failles critiques (CVSS ≥ 9.0) | 9 |
| Zero-days exploitées | 6 (MSHTML, SmartScreen, Error Reporting, Outlook...) |
| Menace principale | Contournement des alertes Outlook et SmartScreen |
| Systèmes impactés | Windows, Outlook, Office, Server |
| Urgence de déploiement | CRITIQUE |
Cet article est mis à jour chaque mois à l'occasion du Patch Tuesday. Pour une protection continue de votre parc, découvrez notre offre d'infogérance et cybersécurité ou demandez votre audit gratuit.
