Patch Tuesday – Mai 2016

Un mois de Mai avec un Patch Tuesday parmi les plus intenses depuis un moment en raison des menaces 0-Day qui y sont traitées et de leur ampleur potentielle.

Microsoft et Adobe publient les mises à jour de sécurité, mais avant de rentrer dans les détails des mises à jour de mai (17 en tout), rappelons l’urgence d’une autre vulnérabilité qui vous a peut-être échappée. Le célèbre programme Open Source ImageMagick est actuellement la cible d’une attaque active sur Internet. La vulnérabilité CVE-2016-3714 (renommée ImageTragick) permet d’exécuter du code à distance (RCE) via le l’envoi d’images. Pour l’instant, aucun patch n’est disponible, mais une solution de contournement a été publiée pour neutraliser les attaques en cours. Nous vous recommandons de faire comme les pirates, c’est-à-dire de scanner votre infrastructure pour rechercher des occurrences d’ImageMagick puis d’appliquer cette solution de contournement dans le fichier policy.xml. C’est ce que j’ai immédiatement fait sur mes sites, même si je n’utilise ImageMagick qu’en mode ligne de commande pour créer des vignettes. À noter que ces deux dernières semaines la solution de contournement s’est enrichie et qu’il est donc intéressant de la recharger si vous l’avez déjà appliquée.

Revenons aux mises à jour de Microsoft et d’Adobe publiées pour résoudre les vulnérabilités actuellement attaquées de manière active avec au total 17 bulletins pour colmater plus de 100 failles logicielles.

Tout en haut de notre liste des priorités figure la mise à jour pour Internet Explorer (MS16-051) qui résout une vulnérabilité de type RCE critique, en l’occurrence CVE-2016-0189 qui est actuellement sous le feu d’attaques. Cette vulnérabilité est située dans le moteur JavaScript et, dans Vista et Windows 2008, le moteur est distinct du navigateur. Donc, si vous exécutez ces variantes de Windows (seulement 2% fonctionnent encore sous Vista), vous devez installer MS16-053.

Vient ensuite APSA16-02, un avis de sécurité Zero-Day pour Adobe Flash. Aucun correctif n’est encore disponible, il est important de surveiller l’évolution de la situation. Adobe devrait publier une nouvelle version de Flash d’ici la fin de cette semaine. La vulnérabilité en question nommée CVE-2016-4117 fait actuellement l’objet d’attaques à l’aveugle.

Nous vous suggérons de commencer par traiter ces trois vulnérabilités avant de traiter d’autres problèmes. Pour la suite des bulletins, vous devriez vous concentrer sur :

MS16-054 pour Office qui résout deux vulnérabilités critiques au sein du format de fichier RTF. Elles peuvent être déclenchées via le volet d’aperçu d’Outlook sans que vos utilisateurs cliquent sur le fichier malveillant. Je vous r ecommande d’utiliser la fonction de blocage de fichiers pour supprimer RTF des formats de fichiers que vous acceptez, ce qui renforcera un peu votre protection et vous fera gagner du temps pour résoudre pleinement ce problème.

MS16-052 pour le navigateur Microsoft Edge sous Windows 10. Ce bulletin traite quatre vulnérabilités critiques, soit un peu moins que pour l’ancien navigateur Internet Explorer avec le bulletin MS16-051, sachant qu’aucune de ces failles ne fait l’objet d’une attaque directe.

MS16-055, un patch pour le sous-système graphique de Windows. S’agissant d’une vulnérabilité dans l’interface GDI, les vecteurs d’attaque peuvent provenir du Web et de documents. Les versions Windows affectées vont de Vista à Windows 10.

MS16-057 pour le shell Windows. Ce bulletin résout une vulnérabilité critique dans l’interface utilisateur au cœur de Windows, elle permet à un attaquant d’exécuter du code distant sur le système

MS16-062 pour les pilotes du noyau Windows. Toutes ces vulnérabilités sont locales mais du même type que celui utilisé par les attaquants pour élever leurs privilèges après s’être introduits dans le système.

Les bulletins MS16-056 et MS16-059 pour le Journal Windows et Windows Media Center traitent des vulnérabilités au sein de formats de fichier utilisés par ces applications. Si vous utilisez ces programmes, soyez vigilants car les vulnérabilités sont assez fréquentes et des attaquants finiront par découvrir ces nouvelles possibilités d’attaque un jour à l’autre. En raison de sa similarité avec MS15-134 (supporté dans Metasploit), il y a des chances pour que le bulletin MS16-059 figure très bientôt dans les boîtes à outils pour pirates.

MS16-058 pour IIS. Si vous exécutez IIS comme serveur Web, intéressez-vous à ce bulletin s’il y a des risques que des attaquants obtiennent les privilèges requis pour accéder à vos systèmes

APSB16-14 pour Adobe Reader, la mise à jour bimensuelle gère 92 vulnérabilités et expositions CVE différentes. (Qualys)