Microsoft élimine trois 0days dans Windows, deux sont utilisés dans des cyber attaques.
Microsoft a publié de nombreux correctifs en ce mois de mai pour Windows. Au total, les développeurs ont corrigé 38 problèmes, dont trois vulnérabilités zero-day (0day).
Six vulnérabilités ont reçu le statut de critiques, car elles permettent l’exécution de code à distance.
Huit vulnérabilités d’escalade de privilèges. Quatre façons de contourner les fonctions de sécurité. 12 trous menant à l’exécution de code à distance. Huit problèmes de divulgation. Cinq vulnérabilités DoS. Une possibilité de spoofing.
Quant aux trois 0days que Microsoft a fermé ce mois-ci : deux d’entre eux sont déjà activement utilisés dans de véritables cyberattaques, et le reste attend dans les coulisses, puisque les détails techniques sont sur le Web.
CVE-2023-29336 est l’une des vulnérabilités exploitées. Provoque une élévation et affecte Win32k. Avec son aide, les pirates peuvent obtenir des privilèges de niveau SYSTEM dans le système d’exploitation.
CVE-2023-24932 est une autre vulnérabilité exploitable qui pourrait conduire à des contournements de sécurité. C’est ce 0day qui est utilisé pour installer le bootkit BlackLotus UEFI .
CVE-2023-29325 est le dernier 0day affectant Windows OLE qui pourrait conduire à l’exécution de code à distance. Il peut être utilisé avec un e-mail spécialement conçu.
Début 2023, les responsables ukrainiens du CERT-UA avaient signalé une vulnérabilité à l’équipe de réponse aux incidents de Microsoft après que des pirates basés en Russie avaient utilisé une vulnérabilité dans le service de messagerie Outlook de Microsoft (CVE-2023-23397). L’attaque aurait visé quelques organisations des secteurs gouvernemental, des transports, de l’énergie et militaire en Europe selon le CERT-UA.
Bien que le problème ait été corrigé en mars 2023, le chercheur d’Akamai, Ben Barnea, découvrait un moyen de contourner le correctif. Il permettrait à un pirate d’utiliser la vulnérabilité pour contraindre un client Outlook à se connecter à un serveur contrôlé par l’attaquant. Une vulnérabilité sans clic – ce qui signifie qu’elle peut être déclenchée sans interaction de l’utilisateur – et que toutes les versions de Windows étaient affectées. Faille corrigée ce mardi 9 mai via la CVE 29324.