Microsoft adresse 111 failles de sécurité au mois de Mai

Microsoft a distribué des correctifs pour 111 failles de sécurité dans sa mise à jour du mois de Mai. Parmi ces failles, 16 sont critiques et 96 sont jugées comme étant importantes.

Contrairement aux autres mises à jour mensuelles récentes du géant de l’informatique cette année, aucunes des failles n’est connu du public ou n’est exploité par des pirates au moment de la publication.

En plus des patchs attendus pour le système d’exploitation, le navigateur, Office et SharePoint, Microsoft a également distribué des mises à jour pour .NET Framework, .NET Core, Visual Studio, Power BI, Windows Defender et Microsoft Dynamics.

Des failles d’élévation de privilèges au premier plan

La majorité des correctifs sont des failles d’élévation de privilèges (EoP) importantes. Il existe au total 56 correctifs d’élévation de privilèges dans la mise à jour de Mai de Microsoft, affectant principalement divers composants Windows. Cette classe de vulnérabilités est utilisée par les pirates une fois qu’ils ont réussi à obtenir un accès initial à un système, dans le but d’exécuter du code sur leurs systèmes cibles avec des privilèges élevés.

Trois de ces failles ont reçu la note «Exploitation plus probable»: 2 failles dans Win32k (CVE-2020-1054, CVE-2020-1143) et une dans le composant graphique de Windows (CVE-2020-1135).

Les deux failles de Win32k existent toutes les deux lorsque le pilote de Windows ne parvient pas à gérer correctement les objets en mémoire, selon l’avis de Microsoft. Un pirate qui parviendrait à exploiter l’une des vulnérabilités pourrait exécuter du code arbitraire en mode noyau; ainsi, un attaquant pourrait alors installer des programmes; afficher, modifier ou supprimer des données; ou encore créer de nouveaux comptes avec des droits d’utilisateur complets.

Pour les exploiter, un pirate devrait d’abord se connecter au système. Il pourrait alors exécuter une application spéciale qui pourrait exploiter la vulnérabilité et prendre le contrôle d’un système affecté.

La faille d’élévation de privilèges (EoP) du composant graphique de Windows se trouve quant à elle dans la plupart des versions de Windows 10 et Windows Server. La vulnérabilité pourrait permettre un exploit qui exploite la façon dont Windows Graphics gère les objets en mémoire. Un pirate pourrait utiliser cette vulnérabilité pour élever les privilèges d’un processus, lui permettant de voler des informations d’identification ou des données sensibles, de télécharger des logiciels malveillants supplémentaires ou d’exécuter du code malveillant.

microsoft

Il existe également une faille EoP critique dans Microsoft Edge (CVE-2020-1056). Cette faille est causée par le fait qu’Edge n’applique pas correctement les stratégies inter-domaines, ce qui pourrait permettre à un pirate d’accéder aux informations d’un domaine et de les injecter dans un autre domaine, selon l’avis de Microsoft. Cependant, dans tous les cas, une attaque nécessite une interaction de la part des utilisateurs, comme inciter les utilisateurs à cliquer sur un lien qui les mène au site du pirate.

Dans un scénario d’attaque, un hacker pourrait héberger un site Web utilisé pour tenter d’exploiter la vulnérabilité. En outre, les sites Web compromis et les sites Web qui acceptent ou hébergent du contenu fourni par l’utilisateur peuvent contenir du contenu qui pourrait exploiter la vulnérabilité.

Des patchs critiques à considérer

Les autres failles à ne pas oublier incluent deux failles d’exécution de code à distance (RCE) dans Microsoft Color Management (CVE-2020-1117) et Windows Media Foundation (CVE-2020-1126), qui pourraient toutes deux être exploitées en trompant un utilisateur via des techniques d’ingénierie sociale en le persuadant d’ouvrir une pièce jointe malveillante ou de visiter un site Web contenant le code d’exploitation.

Une exploitation réussie permettrait à un attaquant d’effectuer des actions sur le système en utilisant les mêmes autorisations que l’utilisateur actuel qui a été compromis. Si l’utilisateur dispose de privilèges administratifs, le pirate pourrait alors effectuer diverses actions, telles que l’installation de programmes, la création d’un nouveau compte avec des droits d’utilisateur complets et l’affichage, la modification ou la suppression de données.

On note aussi des mises à jour pour Chakra Core, Internet Explorer et EdgeHTML, tandis que SharePoint est concerné par 4 failles critiques, poursuivant sa domination dans cette catégorie depuis le mois dernier.

En ce qui concerne SharePoint, CVE-2020-1023 et CVE-2020-1102 sont des vulnérabilités critiques d’exécution de code à distance qui permettraient aux pirates d’accéder à un système et de lire ou supprimer du contenu, apporter des modifications ou encore exécuter directement du code sur le système.

Cela donne à un pirate un accès rapide et facile non seulement aux données les plus critiques de votre organisation stockées sur le serveur SQL mais également à une plate-forme pour effectuer des attaques malveillantes supplémentaires contre d’autres appareils de votre environnement.

Les systèmes comme SharePoint peuvent souvent être difficiles à mettre hors ligne et à corriger, ce qui permet aux vulnérabilités d’exécution de code à distance de persister dans votre infrastructure. Cela donne aux pirates la possibilité de se déplacer facilement une fois l’accès obtenu via un exploit existant.

Toujours dans SharePoint, un exploit pour CVE-202-1024 donnerait à un pirate la possibilité d’exécuter du code arbitraire à partir des applications SharePoint et des comptes de serveurs SharePoint, ce qui pourrait avoir un impact sur tous les utilisateurs connectés et utilisant la plateforme.

Si un pirate est en mesure d’accéder à ce composant essentiel du réseau, le mouvement latéral à travers les systèmes de fichiers connectés serait difficile à contenir. Avec l’augmentation de l’utilisation de Microsoft SharePoint pour la prise en charge des travailleurs à distance, il est essentiel de remédier rapidement à cette vulnérabilité pour sécuriser l’accès à l’ensemble du réseau et aux données de l’entreprise.

Quant à Visual Studio, les utilisateurs de l’extension Visual Studio Code Python devraient prendre note des deux correctifs publiés ce mois-ci qui concernent tout deux des failles d’exécution de code à distance. L’une est classé critique [CVE-2020-1192] tandis que l’autre est classé comme étant importante [CVE-2020-1171]. Rien n’indique pourquoi l’une est plus grave que l’autre, et les utilisateurs doivent les traiter tous les deux comme critiques.

D’autres failles de produit Microsoft à noter

Les administrateurs doivent également prêter attention à une poignée d’autres failles de sécurité, notamment deux bugs VBScript (CVE-2020-1060 et CVE-2020-1058).

Lorsqu’elles sont exploitées, les deux failles pourraient permettre à un pirate d’obtenir les même droits que l’utilisateur courant.

Bien que CVE-2020-1058 et CVE-2020-1060 ne soient pas considérés comme critiques en termes de gravité, il est très possible de les voir utilisés par des pirates dans la nature. Ces deux vulnérabilités ont un impact sur VBScript et sur la façon dont le moteur de script gère les objets en mémoire. En raison de la polyvalence de VBScript dans Windows, ces vulnérabilités permettent à plusieurs vecteurs d’attaque d’être explorés par des pirates informatiques.

Par exemple, un pirate pourrait héberger une page Web malveillante avec un payload pour exploiter tout utilisateur visitant la page à l’aide d’Internet Explorer, injecter du code dans une page Web compromise ou même lancer une campagne de publicité malveillante pour distribuer le payload via des publicités malveillantes sur des sites Web populaires.

Un attaquant pourrait également intégrer un objet de contrôle Active X dans une application ou un document Office qui pourrait être utilisé dans une campagne d’hameçonnage pour obtenir l’exécution de code sur la machine. Ce n’est probablement qu’une question de temps avant que des attaquants, tels que DarkHotel, les intègrent à leur arsenal. DarkHotel était connu pour utiliser des failles VBScript dans le passé.

microsoft

Il existe également une vulnérabilité de déni de service intéressante (CVE-2020-1118) dans Microsoft Windows Transport Layer Security. Elle permet à un attaquant distant non authentifié de redémarrer anormalement, ce qui entraîne une condition de déni de service.

Il existe aussi une vulnérabilité de déréférence de pointeur NULL dans l’implémentation Windows du protocole Diffie-Hellman. Un pirate peut exploiter cette vulnérabilité en envoyant un message malveillant d’échange de clés client lors d’une prise de contact TLS. La vulnérabilité affecte à la fois les clients TLS et les serveurs TLS, donc n’importe quel système pourrait être arrêté par un pirate. Dans les deux cas, une exploitation réussie entraînera la fin du processus lsass.exe.

En ce qui concerne la priorisation des correctifs, il est intéressant de voir que 7 des 10 CVE présentant un risque d’exploitation élevé ne sont classés que comme importants. Il n’est pas rare de considérer les vulnérabilités critiques comme les plus préoccupantes, mais bon nombre des vulnérabilités qui finissent par être exploitées sont classées comme importantes.

La faille critique dans Visual Studio Code, qui provient de la façon dont l’extension Python charge les paramètres de l’espace de travail à partir d’un fichier de bloc-notes, devrait être une priorité absolue, étant donné qu’il s’agit de l’un des outils d’environnement de développeur les plus populaires.

Cela fait donc trois mois consécutifs que Microsoft a publié des correctifs pour plus de 110 CVE. On verra si ils garderont le même rythme tout au long de l’année.