Le Mardi des Correctifs de Microsoft (Patch Tuesday) résout plusieurs vulnérabilités critiques, dont certaines doivent être traitées en priorité et sont activement exploitées, y compris celles liées aux correctifs des vulnérabilités TPM2.0.
Sur les 101 vulnérabilités résolues, 9 sont considérées comme des failles critiques, dont deux zero-day exploitées activement. Le premier 0Day, CVE-2023-23397, est une faille critique dans le serveur Microsoft Exchange. Un attaquant distant authentifié peut l’exploiter en envoyant un simple e-mail se faisant passer pour la victime, permettant ainsi d’accéder à d’autres services utilisant le hachage Net-NTLMv2.
Le second 0Day, CVE-2023-24880, est une vulnérabilité permettant de contourner les fonctions de sécurité. Ces vulnérabilités sont couramment utilisées par les attaquants ou les logiciels malveillants pour esquiver la protection « mark of the web », qui ouvre un document/fichier en mode lecture seule. Un attaquant exploite actuellement cette vulnérabilité pour distribuer des fichiers MSI (Microsoft Installer) malveillants.
En plus de ces vulnérabilités, Microsoft a également résolu trois failles critiques d’exécution de code à distance sans authentification, affectant les protocoles HTTP, ICMP et RPC. Toutes ces vulnérabilités sont classées avec un score CVSSvs de 9,8, indiquant un risque d’exploitation significativement élevé. Par ailleurs, Microsoft a fourni deux correctifs critiques pour les spécifications de la bibliothèque de référence TPM2.0 dans les pilotes tiers. La technologie Trusted Platform Module (TPM) est conçue pour offrir des fonctions matérielles liées à la sécurité et est principalement utilisée pour évaluer l’intégrité du système.
CVE-2023-23397 est une vulnérabilité EoP dans Microsoft Outlook qui a été exploitée dans la nature. Alors que nous recherchons souvent des vulnérabilités dans Outlook qui peuvent être déclenchées par la fonctionnalité du volet de prévisualisation du logiciel, un attaquant pourrait exploiter cette vulnérabilité en envoyant simplement un e-mail à une cible potentielle.
En effet, la vulnérabilité est déclenchée du côté du serveur de messagerie, ce qui signifie que l’exploitation se produirait avant que la victime ne consulte l’e-mail malveillant. Un attaquant pourrait exploiter cette vulnérabilité pour divulguer le hachage Net-NTLMv2 d’un utilisateur et mener une attaque de type relais NTLM afin de s’authentifier à nouveau en tant qu’utilisateur. « Cette vulnérabilité est notamment attribuée à la Computer Emergency Response Team of Ukraine (CERT-UA), ce qui pourrait signifier qu’elle a pu être exploitée dans la nature contre des cibles ukrainiennes. Les équipes de recherche de Microsoft ont également été créditées de la découverte de cette faille. » confirme la société Tenable.
CVE-2023-24880 est un contournement de la fonction SmartScreen intégrée à Windows qui fonctionne avec sa fonctionnalité Mark of the Web (MOTW) pour marquer les fichiers téléchargés depuis internet. Cette faille a été exploitée dans la nature et divulguée publiquement avant qu’un correctif ne soit disponible.
Un attaquant peut créer un fichier spécialement conçu pour exploiter cette faille, ce qui permet de contourner les fonctions de sécurité MOTW, telles que Microsoft Office Protected View.
Cette faille a été attribuée à des chercheurs de Microsoft (Bill Demirkapi) et du Threat Analysis Group de Google (Benoît Sevens et Vlad Stolyarov).
Mardi des Correctifs
Le Patch Tuesday, également appelé Mardi des Correctifs, est un concept introduit par Microsoft en 2003 pour simplifier et rationaliser le processus de mise à jour des logiciels. Il s’agit d’un calendrier régulier, où Microsoft publie des mises à jour de sécurité pour ses produits le deuxième mardi de chaque mois. L’objectif principal de cette initiative est de fournir un calendrier prévisible et fiable pour les administrateurs système et les utilisateurs, afin qu’ils puissent planifier et appliquer ces mises à jour de manière efficace.
La mission du Patch Tuesday est de protéger les utilisateurs et les organisations contre les vulnérabilités et les menaces de sécurité qui pourraient affecter les logiciels et les systèmes Microsoft. Les mises à jour de sécurité comprennent généralement des correctifs pour les failles de sécurité découvertes, des améliorations de la performance et de la stabilité, ainsi que des mises à jour des fonctionnalités des produits.
En adoptant ce calendrier régulier, Microsoft a réussi à réduire l’impact des mises à jour de sécurité sur les entreprises et les utilisateurs finaux, en facilitant la planification et la gestion des correctifs. Cependant, si une vulnérabilité critique est identifiée et exploitée activement, Microsoft peut publier des correctifs de sécurité hors cycle, appelés « correctifs d’urgence » ou « out-of-band patches », pour protéger les utilisateurs et les systèmes concernés.