Microsoft a patché 129 failles au mois de Juin

Microsoft a distribué des patchs pour 129 vulnérabilités dans le cadre de ses mises à jour Patch Tuesday du mois de juin. C’est le plus grand nombre de CVE jamais publié par Microsoft en un seul mois.

Dans cette mise à jour de sécurité, 11 failles critiques d’exécution de code à distance ont été corrigées dans Windows, SharePoint, Windows Shell, VBScript et d’autres produits. Contrairement à d’autres mises à jour mensuelles récentes de Microsoft, ces mises à jour de Juin n’incluaient aucune vulnérabilité zero-day attaquée activement dans la nature.

«Pour le mois de Juin, Microsoft a publié des correctifs pour 129 CVE couvrant Microsoft Windows, Internet Explorer (IE), Microsoft Edge (basé sur EdgeHTML et basé sur Chromium en mode IE), ChakraCore, Office et Microsoft Office Services and Web Apps, Windows Defender, Microsoft Dynamics, Visual Studio, Azure DevOps et Microsoft Apps pour Android », selon Dustin Childs, de Zero Day Initiative de Trend Micro, dans un article. «Cela porte le nombre total de correctifs Microsoft publiés cette année à 616, seulement 49 de moins que le nombre total de correctifs CVE qu’ils ont adressés en 2017.»

Le Patch Tuesday de Microsoft du mois de Juin est donc plus important que la mise à jour de Mai, où 111 failles de sécurité ont été patchées, dont 16 failles critiques et 96 jugés comme étant importantes.

Failles SMBv3 de Microsoft

Satnam Narang, ingénieur de recherche chez Tenable, a déclaré qu’un trio de correctifs se démarquait dans ce Patch Tuesday, concernant des failles dans Microsoft Server Message Block (SMB). Deux de ces failles existent dans Microsoft Server Message Block 3.1.1 (SMBv3). Les trois vulnérabilités se démarquent car elles sont classées comme «plus susceptibles d’être exploitées» selon l’indice d’exploitabilité de Microsoft.

Les deux failles SMBv3 incluent une vulnérabilité de déni de service (CVE-2020-1284) et une vulnérabilité de divulgation d’informations (CVE-2020-1206), qui peuvent toutes deux être exploitées par un attaquant distant et authentifié.

Narang a déclaré que les failles «suivaient les traces» de CVE-2020-0796, une faille d’exécution de code à distance dans SMBv3 qui a été corrigée en Mars et surnommée «SMBGhost». La CISA a récemment averti que la publication d’une preuve de concept (PoC) entièrement fonctionnelle pour SMBGhost pourrait bientôt déclencher une vague de cyberattaques.

microsoft windows

La troisième vulnérabilité corrigée dans Microsoft SMB, CVE-2020-1301, est une vulnérabilité d’exécution de code à distance qui existe dans la façon dont SMBv1 gère les requêtes. Pour exploiter la faille, un attaquant devrait être authentifié et envoyer un paquet spécialement conçu à un serveur SMBv1 ciblé.

Narang a déclaré que cette faille «pourrait créer un sentiment de déjà vu» pour une autre vulnérabilité d’exécution de code à distance dans SMBv1, EternalBlue, qui a été utilisée dans les attaques du rançongiciel WannaCry en 2017.

“Cependant, la différence entre les deux est qu’EternalBlue pourrait être exploité par un attaquant non authentifié, alors que cette faille nécessite une authentification, selon Microsoft”, a-t-il déclaré. «Cette vulnérabilité affecte Windows 7 et Windows 2008, qui ont tous deux atteint leur fin de support en janvier 2020. Cependant, Microsoft a fourni des correctifs pour les deux systèmes d’exploitation.»

VBScript

Divers failles critiques d’exécution de code à distance ont été découverts dans VBScript, le langage Active Scripting de Microsoft qui est calqué sur Visual Basic (CVE-2020-1214, CVE-2020-1215, CVE-2020-1216, CVE-2020-1230, CVE-2020 -1260). Les failles existent dans la façon dont le moteur VBScript gère les objets en mémoire. Un pirate pourrait corrompre la mémoire pour pouvoir exécuter du code arbitraire dans le contexte de l’utilisateur actuel.

Dans un scénario d’attaque réel, un attaquant pourrait héberger un site Web spécial, conçu pour exploiter la vulnérabilité via Internet Explorer, puis convaincre un utilisateur de consulter le site Web.

«Un attaquant qui parviendrait à exploiter la vulnérabilité pourrait obtenir les mêmes droits d’utilisateur que l’utilisateur actuel», a déclaré Microsoft. «Si l’utilisateur actuel est connecté avec des droits d’administrateur, un attaquant qui parviendrait à exploiter la vulnérabilité pourrait prendre le contrôle d’un système affecté. Un attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer de nouveaux comptes avec des droits d’utilisateur complets.”

Autres failles critiques

Il faut aussi noter une faille critique (CVE-2020-1299) qui existe dans Windows, qui pourrait permettre l’exécution de code à distance si un fichier .LNK était traité. Un fichier .LNK est un raccourci ou «lien». Un attaquant peut intégrer un .LNK illicite dans un lecteur amovible ou un partage distant, puis convaincre la victime d’ouvrir le lecteur ou le partage dans l’Explorateur Windows. Ensuite, le fichier binaire malveillant exécutera le code. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les mêmes droits d’utilisateur que l’utilisateur local, selon Microsoft.

La mise à jour corrige également une faille critique de Windows (CVE-2020-1300) qui existe lorsque Windows ne parvient pas à gérer correctement les fichiers CAB. Pour exploiter cette vulnérabilité, un attaquant devrait convaincre un utilisateur d’ouvrir un fichier CAB spécial ou d’usurper une imprimante réseau et d’inciter un utilisateur à installer un fichier CAB malveillant déguisé en pilote d’imprimante, selon la mise à jour de Microsoft.

patch tuesday

Une autre vulnérabilité critique (CVE-2020-1286) existe car Windows Shell ne vérifie pas correctement les chemins de fichiers. Un attaquant pourrait exploiter la faille en convaincant un utilisateur d’ouvrir un fichier spécial, puis serait en mesure d’exécuter du code arbitraire dans le contexte de l’utilisateur, selon la mise à jour de Microsoft.

“Si l’utilisateur actuel est connecté en tant qu’administrateur, un attaquant pourrait prendre le contrôle du système affecté”, a déclaré Microsoft. «Un attaquant pourrait alors installer des programmes; afficher, modifier ou supprimer des données; ou créez de nouveaux comptes avec des privilèges élevés. Les utilisateurs dont les comptes sont configurés pour avoir moins de privilèges sur le système pourraient être moins touchés que les utilisateurs qui fonctionnent avec des privilèges administratifs. »

Une faille critique (CVE-2020-1181) dans le serveur SharePoint a également été corrigée, car le serveur n’a pas correctement identifié et filtré les contrôles Web ASP.Net . La faille peut être utilisée abusivement par un utilisateur distant authentifié qui invoque une page spécialement conçue sur une version affectée de Microsoft SharePoint Server, leur permettant d’exécuter du code.

Microsoft a également publié des mises à jour concernant les versions de Windows 10, 8.1 et Windows Server affectées par une faille critique use-after-free d’Adobe Flash Player (CVE-2020-9633). Selon Microsoft, «dans un scénario d’attaque Web où l’utilisateur utilise Internet Explorer, un attaquant pourrait héberger un site Web spécial qui est conçu pour exploiter l’une de ces vulnérabilités via Internet Explorer, puis convaincre un utilisateur d’afficher le site Web.”

Pendant ce temps, Adobe a publié plus tôt des correctifs pour quatre failles critiques dans Flash Player et dans son processeur de documents Framemaker dans le cadre de ses mises à jour régulières. Les failles, si elles étaient exploités, pourraient permettre l’exécution de code arbitraire.