Patch Tuesday : Microsoft corrige 115 vulnérabilités dont 26 critiques

Forum dédié à Windows 10
Répondre
Avatar du membre
chtimi054
Administrateur du site
Administrateur du site
Messages : 16112
Enregistré le : ven. 26 juil. 2013 06:56

Patch Tuesday : Microsoft corrige 115 vulnérabilités dont 26 critiques

Message par chtimi054 »

Patch Tuesday : Microsoft corrige 115 vulnérabilités dont 26 critiques
Et donne une solution d'atténuation d'une faille SMBv3 qui rappelle l'exploit EternalBlue ayant servi à WannaCry

Microsoft a publié son traditionnel Patch Tuesday pour le mois de mars 2020. Microsoft a corrigé 115 vulnérabilités parmi lesquelles 26 ont été jugé critiques (ce qui implique qu'elles sont relativement faciles à exploiter et peuvent entraîner une compromission complète de l’appareil). Un nombre de vulnérabilités qui établit un record dans l’histoire de l’éditeur en la matière à l’occasion d’un Patch Tuesday.

En dépit du nombre conséquent de vulnérabilités, il n'est pas fait mention d'un exploit 0day ou d'une exploitation active de l’un d’eux. Pour les vulnérabilités critiques, les produits concernés sont Windows, Microsoft Edge (base EdgeHTML), Internet Explorer, moteurs de script, fichiers LNK, Microsoft Word, Dynamics Business.

Les 115 corrections quant à elles couvrent Microsoft Windows, Edge (basé sur EdgeHTML et basé sur Chromium), ChakraCore, Internet Explorer (IE), Exchange Server, Office Office Services et Web Apps, Azure DevOps, Windows Defender, Visual Studio et les logiciels Open Source.

Parcourons certains correctifs des plus intéressants de ce mois-ci :

CVE-2020-0852 : Vulnérabilité d'exécution de code à distance dans Microsoft Word

Il existe une vulnérabilité d’exécution de code à distance dans Microsoft Word quand celui-ci ne parvient pas à traiter correctement les objets en mémoire. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait utiliser un fichier spécialement conçu pour exécuter des actions dans le contexte de sécurité de l’utilisateur actuel. Par exemple, le fichier pourrait alors effectuer des opérations au nom de l’utilisateur connecté avec les mêmes autorisations que l’utilisateur actuel.

Pour que cette vulnérabilité puisse être exploitée, un utilisateur doit ouvrir un fichier spécialement conçu avec une version concernée du logiciel Microsoft Word. Dans le cas d’une attaque par courrier électronique, un attaquant pourrait exploiter cette vulnérabilité en envoyant un fichier spécialement conçu à l’utilisateur et en persuadant celui-ci d’ouvrir le fichier. Dans le cas d’une attaque web, l’attaquant pourrait héberger un site web (ou exploiter un site web compromis qui accepte ou héberge du contenu provenant d’utilisateurs) contenant un fichier spécialement conçu pour exploiter cette vulnérabilité. Un attaquant n’aurait toutefois aucun moyen de forcer l’utilisateur à visiter le site web. Il devrait le convaincre de cliquer sur un lien, généralement par le biais d’une sollicitation envoyée par message électronique ou message instantané, puis l’amener à ouvrir le fichier spécialement conçu.

Notez que le volet de visualisation Microsoft Outlook est un vecteur d’attaque pour cette vulnérabilité.

La plupart des bogues d'exécution de code dans les produits Office nécessitent qu'un utilisateur ouvre un fichier spécialement conçu et sont donc importants en termes de gravité. Ce bogue Word de niveau critique ne nécessite aucune interaction de la part de l'utilisateur. Au lieu de cela, la simple visualisation d'un fichier spécialement conçu dans le volet de visualisation pourrait permettre l'exécution de code au niveau de l'utilisateur connecté. L'envoi de documents malveillants par courrier électronique est une tactique courante pour les auteurs de logiciels malveillants et de rançongiciels. Avoir un bogue qui ne nécessite pas d'inciter quelqu'un à ouvrir un fichier est susceptible d’intéresser les hackers.

Cette mise à jour de sécurité corrige la vulnérabilité en modifiant la manière dont Microsoft Word traite les fichiers en mémoire.

Les produits concernés sont :

Microsoft Office 2016 for Mac
Microsoft Office 2019 for 32-bit editions
Microsoft Office 2019 for 64-bit editions
Microsoft Office Online Server
Microsoft SharePoint Server 2019

Image

CVE-2020-0905 : Vulnérabilité d'exécution de code à distance dans Dynamics Business Central

Ce bogue dans la solution de gestion d'entreprise pourrait permettre à des attaquants d'exécuter des commandes shell arbitraires sur un système cible. L'exploitation de ce bogue de niveau critique ne sera pas simple, car, pour l’exploiter cette vulnérabilité, un attaquant authentifié devrait convaincre la victime de se connecter à un client Dynamics Business Central malveillant ou élever les autorisations pour le système pour effectuer l’exécution de code.

Néanmoins, étant donné que la cible est probablement un serveur critique, vous devez tester et déployer ce correctif rapidement. Ce dernier corrige la vulnérabilité en empêchant la possibilité d’utiliser un type binaire qui pourrait exécuter du code sur le serveur de la victime.

Les produits concernés sont :

Dynamics 365 Business Central 2019 Release Wave 2 (On-Premise)
Dynamics 365 Business Central 2019 Spring Update
Microsoft Dynamics 365 BC On Premise
Microsoft Dynamics NAV 2013
Microsoft Dynamics NAV 2015
Microsoft Dynamics NAV 2016
Microsoft Dynamics NAV 2017
Microsoft Dynamics NAV 2018


CVE-2020-0684 : Vulnérabilité d'exécution de code à distance dans LNK

Si cela vous semble familier, cela pourrait être dû au fait que Microsoft a publié un correctif presque identique pour LNK le mois dernier (CVE-2020-0729). Il arrive que les correctifs consécutifs indiquent que l’ancien n’a pas marché. Cependant, étant donné que le numéro de bogue du mois passé est inférieur à celui de ce mois, il est peu probable que cela soit le cas ici.

Quoi qu'il en soit, il existe une vulnérabilité d’exécution de code à distance dans Microsoft Windows qui pourrait permettre l’exécution de code à distance si un fichier .LNK était traité.

Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l’utilisateur local. Les utilisateurs dont les comptes sont configurés avec moins de droits sur le système pourraient être moins touchés que ceux qui disposent de privilèges d’administrateur.

L’attaquant pourrait présenter à l’utilisateur un lecteur amovible ou un partage distant qui contient un fichier .LNK malveillant et un binaire malveillant associé. Lorsque l’utilisateur ouvre ce lecteur (ou ce partage distant) dans l’Explorateur Windows ou dans une autre application qui analyse le fichier .LNK, le binaire malveillant exécute du code choisi par l’attaquant sur le système cible.

Cette mise à jour de sécurité corrige la vulnérabilité en modifiant le traitement des références LNK de raccourci.

Les mises à jour sont disponibles pour les produits suivants (certains téléchargements sont répertoriés comme étant « security only », « security update » ou encore « monthly rollup ») :

Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1709 for ARM64-based Systems
Windows 10 Version 1709 for x64-based Systems
Windows 10 Version 1803 for 32-bit Systems
Windows 10 Version 1803 for ARM64-based Systems
Windows 10 Version 1803 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack 1
Windows 8.1 for 32-bit systems
Windows 8.1 for x64-based systems
Windows RT 8.1
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for Itanium-Based Systems Service Pack
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 R2 for Itanium-Based Systems Service Pack
Windows Server 2008 R2 for x64-based Systems Service Pack
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1803 (Server Core Installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)


CVE-2020-0872 : Vulnérabilité d'exécution de code à distance dans l'inspecteur d'application

Ce bogue pourrait permettre à un attaquant d'exécuter son code sur un système cible s'il pouvait convaincre un utilisateur d'exécuter Application Inspector sur du code comprenant un composant tiers spécialement conçu. Bien que Microsoft ne mentionne pas cela comme étant connu du public au moment de la publication, il semble que cela ait été corrigé dans la version 1.0.24, qui a été publiée en janvier. La raison pour laquelle il est inclus dans la version du correctif de ce mois-ci n'est pas claire, mais si vous utilisez Application Inspector, allez certainement chercher la nouvelle version.

Le premier trimestre de 2020 a été chargé en correctifs pour Microsoft. En comptant les correctifs du Patch Tuesday de mars 2020, l’éditeur a publié au total 265 correctifs au premier trimestre. Notons que pour le Patch Tuesday de février 2020 Microsoft a corrigé 99 vulnérabilités. Il sera intéressant de voir si ce rythme se poursuit tout au long de l'année.

Vulnérabilité critique dans Microsoft Server Message Block 3.1.1 (SMBv3)

Par ailleurs Microsoft a également publié un avis de sécurité au sujet d'une vulnérabilité d'exécution de code à distance avec la manière dont le protocole Microsoft Server Message Block 3.1.1 (SMBv3) traite certaines requêtes. Il est ici question de la version actuelle du protocole SMB pour le partage de ressources sur des réseaux locaux. Elle a été introduite dans Windows 10 et Windows Server 2016.

Une exploitation réussie de la vulnérabilité permettrait à l'attaquant d'exécuter du code arbitraire à la fois sur le serveur SMB et le client SMB. Pour le serveur SMBv3, un attaquant non authentifié pourrait exploiter cette vulnérabilité en envoyant un paquet spécialement conçu à un serveur SMBv3 vulnérable. Pour le client SMBv3, un attaquant devrait convaincre un utilisateur de se connecter à un serveur SMBv3 malveillant qu'il a configuré.

Basé sur une règle du système de prévention des intrusions (IPS) publiée par FortiGuard Labs, la faille semble provenir d'une vulnérabilité de dépassement de tampon, qui se produit en raison d'une erreur dans la gestion des paquets de données compressés.

Selon le spécialiste Tenable, cette dernière vulnérabilité évoque des souvenirs d'EternalBlue, notamment CVE-2017-0144, une vulnérabilité RCE dans Microsoft SMBv1 qui a été utilisée dans le cadre des attaques de ransomware WannaCry. C'est certainement une comparaison pertinente, à tel point que les chercheurs l'appellent EternalDarkness. Cependant, il y a actuellement peu d'informations disponibles sur cette nouvelle faille, et le temps et les efforts nécessaires pour produire un exploit exploitable sont inconnus.

Les versions suivantes de Microsoft Windows et Windows Server sont concernées :

Image

Il n'y a actuellement aucun correctif pour cette vulnérabilité. Cependant, Microsoft a fourni des instructions de contournement dans le cadre de son avis de sécurité. Ces instructions de contournement incluent une commande PowerShell qui désactive la compression pour SMBv3 Server pour empêcher les attaquants d'exploiter la vulnérabilité. La solution de contournement ne protège pas les clients SMB contre les attaques, car les attaques contre les clients nécessitent un serveur malveillant et des clients se connectant à ce serveur. Les administrateurs système peuvent exécuter la commande PowerShell suivante pour désactiver la compression sur les serveurs SMBv3. Notez que la commande doit être exécutée à partir d'une invite PowerShell élevée. :

Code PowerShell :
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
La modification peut être annulée en exécutant la commande suivante à partir d'une invite PowerShell élevée:

Code PowerShell :
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force
Microsoft note qu'un redémarrage n'est pas nécessaire pour effectuer la modification.

Les administrateurs système peuvent également bloquer le port TCP 445 au niveau du pare-feu de périmètre d'entreprise, car il est utilisé pour « établir une connexion avec le composant affecté » :

« Le blocage de ce port au niveau du pare-feu du périmètre du réseau aidera à protéger les systèmes qui se trouvent derrière ce pare-feu contre les tentatives d'exploitation de cette vulnérabilité. Cela peut aider à protéger les réseaux contre les attaques provenant de l'extérieur du périmètre de l'entreprise. Le blocage des ports affectés au périmètre de l'entreprise est la meilleure défense pour éviter les attaques basées sur Internet ».

Cependant, les systèmes restent vulnérables aux attaques « au sein de leur périmètre d'entreprise ».

Les organisations peuvent également désactiver la compression sur les serveurs pour les protéger contre les attaques.

merci à Developpez.com
Image

Répondre