Microsoft patch 26 failles critiques au mois de Mars

Microsoft a corrigé 115 failles de sécurité dans le cadre de sa mise à jour Patch Tuesday du mois de Mars. Parmi ces failles 26 sont considérées comme étant critiques et 88 sont de gravité moyenne. Les failles corrigées concernent plusieurs produits de Microsoft, d’Azure DevOps jusqu’à Windows 10.

La mise à jour de ce mois-ci est importante à cause de la quantité de failles corrigées et du fait que certaines failles causent des problèmes aux administrateurs système. Contrairement au mois dernier, Microsoft n’a corrigé aucunes failles qui était déjà connues du public ou exploitées par des pirates informatiques.

Parmi toutes ces failles critiques, Microsoft a patché trois vulnérabilités d’exécution de code à distance. Deux sont associés à Internet Explorer (CVE-2020-0833, CVE-2020-0824) et la troisième (CVE-2020-0847) au langage de script VBscript utilisé par Microsoft.

microsoft patch tuesday

En ce qui concerne les deux failles dans Internet Explorer, les chercheurs ont averti que l’un ou l’autre ne pouvait conduire à l’exécution de code que si la victime était connectée avec des droits d’administrateurs.

«Les vulnérabilités pourraient corrompre la mémoire, permettant à un hacker d’exécuter du code arbitraire dans le contexte de l’utilisateur actuel», a écrit Jay Goodman, marketing stratégique des produits chez Automox. “Cela signifie qu’un pirate pourrait exécuter du code malveillant directement sur le système de l’utilisateur. Si l’utilisateur est connecté avec des droits administratifs, ces droits s’étendent au code. »

En ce qui concerne la faille de VBscript, le chercheur a déclaré que si un pirate réussissait à réquisitionner l’outil via l’exécution de code, cela permettrait d’avoir des permissions de type administrateur sur le système. Cela leur permettrait aussi d’exécuter des scripts et d’utiliser des outils logiciels pour contrôler les points de terminaison connectés. “[Il] donnera à l’utilisateur un contrôle complet sur de nombreux aspects de l’appareil”, a déclaré Melick.

En ce qui concerne les autres failles critiques, 17 patchs sont liés au navigateur et aux moteurs de script de Microsoft, 4 à Media Foundation, 2 à GDI+ et les 3 autres concernent des fichiers LNK potentiellement dangereux ainsi que Microsoft Word et Dynamics Business, souligne Animesh Jain de Qualys.

microsoft windows

Jain a également identifié une autre vulnérabilité d’exécution de code à distance (CVE-2020-0852), cette fois dans Microsoft Word. «Un pirate informatique pourrait exploiter la vulnérabilité à l’aide d’un fichier spécialement conçu pour effectuer des actions au nom de l’utilisateur connecté avec les mêmes autorisations que l’utilisateur actuel», a-t-il noté.

Todd Schell, chef de produit senior de la sécurité chez Ivanti, a souligné que la faille Word “pourrait être exploité via le volet de visualisation dans Outlook, ce qui en fait une cible plus intéressante pour les cybercriminels”.

Microsoft a aussi révélé une vulnérabilité dans son gestionnaire de connexion de bureau à distance (CVE-2020-0765) et ont déclaré qu’il ne corrigerait pas cette faille. “Ils n’ont pas l’intention de publier une mise à jour pour résoudre le problème”, a-t-il déclaré dans un communiqué. «Le produit est obsolète. Leur conseil est de faire preuve de prudence si vous continuez à utiliser RDCMan, mais recommande de passer aux clients Remote Desktop qui sont pris en charge. »

Les conseils de Microsoft

Ce mois-ci, Microsoft a offert ses conseils habituels:

«Appliquez les patchs ou les mitigations appropriés fournis par Microsoft aux systèmes vulnérables immédiatement. Exécutez tous les logiciels en tant qu’utilisateur non privilégié (sans droits administratifs) pour diminuer les effets d’une attaque réussie », écrit-il. En plus de suggérer aux utilisateurs de ne pas visiter les sites non fiables ou de cliquer sur des liens suspects, ils recommandent «d’appliquer le principe du moindre privilège à tous les systèmes et services».

Le mois dernier, le Patch Tuesday de Microsoft avait patché 99 failles de sécurité. Parmi ces failles de sécurité, 12 étaient considérées comme étant critiques et les autres étaient jugées comme importantes.