Microsoft a patché 99 failles de sécurité au mois de Février

Microsoft a distribué l’une de ses plus importantes mises à jour Patch Tuesday pour le mois le plus court de l’année, corrigeant 99 failles de sécurité dans plusieurs produits. Douze des bugs sont répertoriés comme critiques et les autres sont considérés comme importants.

La mise à jour inclut un correctif pour la vulnérabilité de corruption de mémoire révélée fin janvier et qui est exploitée par des pirates informatiques. Le bug identifié comme CVE-2020-0674 est une faille critique pour la plupart des versions d’Internet Explorer, permettant l’exécution de code à distance et la prise de contrôle complète.

«Cette faille du navigateur affecte IE et les autres programmes qui reposent sur le moteur de traitement Trident», a expliqué Dustin Childs, chercheur chez Zero Day Initiative de Trend Micro, dans son analyse du Patch Tuesday. «Les hackers peuvent exécuter du code sur les systèmes affectés si un utilisateur accède à un site Web spécialement conçu. Même si vous n’utilisez pas IE, vous pouvez quand même être affecté par ce bug via des objets intégrés dans des documents Office. Étant donné que la solution de contournement répertoriée – la désactivation de jscript.dll – bloque une bonne partie des fonctionnalités, vous devez prioriser le test et le déploiement de ce correctif. »

À noter également: Février 2020 marque les premières mises à jour de sécurité pour la nouvelle édition du navigateur Edge Chromium. Il y avait 41 vulnérabilités corrigées dans la version Edge basée sur Chromium qui ne faisaient techniquement pas partie du Patch Tuesday – ce qui porte le nombre total de failles corrigés par Microsoft ce mois-ci à 140.

Failles critiques de Microsoft – Février 2020

La mise à jour inclut une multitude de bugs «hors concours», selon les analyses des chercheurs, y compris plusieurs vulnérabilités critiques en plus du zero-day.

Selon Jay Goodman, responsable du marketing technique chez Automox, les bogues à surveiller incluent CVE-2020-0618 et CVE-2020-0662 (seul ce dernier est répertorié comme critique), qui sont des failles d’exécution de code à distance (RCE) presque identiques dans SQL Server 2012, 2014 et 2016 (32 et 64 bits) et Windows 7, 8.1, 10, Server 2008, 2012, 2016 et 2019.

“Ces vulnérabilités permettent aux pirates informatiques d’accéder à un système et de lire ou supprimer du contenu, apporter des modifications ou exécuter directement du code sur le système”, a-t-il déclaré par e-mail. “Cela donne au hacker un accès rapide et facile non seulement aux données les plus critiques de votre organisation stockées sur le serveur SQL, mais également à une plate-forme pour effectuer des attaques malveillantes supplémentaires contre d’autres appareils de votre environnement.”

Selon Jimmy Graham, chercheur chez Qualys, la faille critique peut mener à une exécution de code à distance si un pirate informatique possède des informations d’identification d’un utilisateur du domaine.

“Bien que cette vulnérabilité soit qualifiée d’exploitation moins probable “, cette vulnérabilité peut être exploité sur le réseau sans interaction de l’utilisateur”, a-t-il expliqué dans une analyse. «Le service concerné n’est pas indiqué dans le bulletin de sécurité. En se basant sur les informations fournies, cela devrait être priorisé sur tous les serveurs et postes de travail Windows. »

microsoft internet explorer

En outre, deux vulnérabilités critiques d’exécution de code à distance dans Remote Desktop (CVE-2020-0681 et CVE-2020-0734) ont été corrigées et sont susceptibles d’être exploitées, selon Microsoft.

“L’exploitation de ces éléments nécessite qu’un pirate persuade sa victime de se connecter à un Remote Desktop Server appartenant au pirate informatique, ou planter du code malveillant sur un Remote Desktop Server compromis et attendre que l’utilisateur vulnérable s’y connecte”, a expliqué Satnam Narang, ingénieur de recherche senior chez Tenable.

Richard Tsang, ingénieur logiciel senior chez Rapid7, a déclaré que CVE-2020-0734 est une vulnérabilité critique de Windows Remote Desktop Client qui est causé par la méthode utilisée pour traiter les demandes de connexion.

“Le flux de nouvelles vulnérabilités de Windows Remote Desktop continue, bien qu’il ait ralenti”, a-t-il déclaré. «Dans ce scénario, un serveur légitime compromis (ou un serveur malveillant) peut être utilisé pour déclencher l’exécution de code à distance. Étant donné la surveillance des vulnérabilités RDP ces derniers temps, priorisé les correctifs du système d’exploitation serait une décision prudente. »

microsoft patch tuesday

Une autre faille critique à noter est CVE-2020-0729, une vulnérabilité d’exécution de code à distance .LNK, qui, selon Childs, est similaire au bug qui a été exploité par le logiciel malveillant Stuxnet. Stuxnet a été utilisé pour attaquer des installations nucléaires iraniennes en 2012. Le nouveau bug peut également être utilisé pour attaquer des systèmes «sécurisés» en exploitant les fichiers .LNK .

«Les failles qui ont un impact sur les fichiers de liens (.LNK) ne manquent jamais de m’étonner», a déclaré Childs. «Un pirate pourrait utiliser cette vulnérabilité pour obtenir une exécution de code en faisant traiter par un système affecté un fichier .LNK spécialement conçu. Pour ce faire, vous pouvez convaincre un utilisateur d’ouvrir un partage distant ou, comme cela a été vu dans le passé, placer le fichier .LNK sur une clé USB et demander à l’utilisateur de l’ouvrir. C’est un moyen pratique d’exploiter un système. »

Les autres failles critiques corrigées par Microsoft en février sont CVE-2020-0738, une vulnérabilité de corruption de mémoire de Media Foundation permettant des exécutions de code à distance; et plusieurs vulnérabilités de corruption de mémoire du moteur de script qui permettent aussi des exécutions de code à distance. Ces dernières vulnérabilités sont identifiées comme: CVE-2020-0710, CVE-2020-0711, CVE-2020-0712, CVE-2020-0713, CVE-2020-0673 et CVE-2020-0767.

Des failles importantes

Quant aux correctifs importants, le nombre de bugs d’élévation de privilèges (EoP) corrigés est «quelque peu stupéfiant», a noté Childs de ZDI, avec 55 correctifs en tout. De plus, les bugs de divulgation d’informations sont bien représentés, avec 16 correctifs en février, y compris un bug connu du public (CVE-2020-0706) affectant IE et Edge. Childs a déclaré que six d’entre eux existent dans le CNG (Cryptography Next Generation) du service Windows Key Isolation.

Childs a également signalé CVE-2020-0688, une faille de corruption de mémoire dans Microsoft Exchange, qui pourrait être trivialement exploité pour accorder à un hacker la possibilité de créer un nouveau compte, d’installer des programmes et d’afficher, de modifier ou de supprimer des données.

«Cette faille d’exécution de code dans Exchange n’est répertoriée que comme importante, mais vous devez la traiter comme une vulnérabilité de niveau critique», a-t-il déclaré. «Un pirate pourrait réussir à exécuter du code sur les serveurs Exchange affectés en envoyant un e-mail spécial. Aucune autre interaction de l’utilisateur n’est requise. L’exécution du code se produit avec les autorisations de niveau-système, de sorte que l’attaquant pourrait prendre complètement le contrôle d’un serveur Exchange avec un seul e-mail. »

La course contre l’exploitation

La mise à jour de février de Microsoft est la plus importante depuis un certain temps, selon les chercheurs, avec des failles révélées pour Windows, Edge (basé sur EdgeHTML), ChakraCore, Internet Explorer (IE), SQL Server, Exchange Server, Office, Office Services et Web Apps, Azure DevOps Server, Team Foundation Server et Microsoft Malware Protection Engine.

Et, cinq des CVE (y compris le zero-day mentionné précédemment et le bug de divulgation d’informations affectant les navigateurs) ont été rendus publics et offrent ainsi aux pirates informatiques une longueur d’avance sur l’exploitation.

«Dans l’ensemble, il s’agit d’un Patch Tuesday très lourd du côté de Microsoft. La course à la correction des vulnérabilités critiques de vos systèmes dans les 72 prochaines heures est lancée », a indiqué Goodman. «Les pirates ne manqueront pas de vulnérabilités exploitables et de nouveaux vecteurs d’attaque à mettre en œuvre dans les prochains jours avec presque toutes les versions de Windows concernées par ces vulnérabilités critiques.»

De plus, pour la première fois, Microsoft ne met pas à jour Windows 7 ce mois-ci.

«C’est la première fois qu’il n’y aura pas de correctifs pour Windows 7», a déclaré Rui Lopes, directeur de l’ingénierie et du support technique chez Panda Security. “Cependant, cela ne signifie pas qu’il n’y a pas de vulnérabilités. En fait, la version d’aujourd’hui comporte plusieurs correctifs critiques et de zero-day à déployer, toutes les machines utilisant toujours Windows 7 sont désormais, par défaut, exceptionnellement vulnérables, offrant aux pirates des portes ouvertes pour pénétrer et exploiter. Par conséquent, si vous avez des appareils utilisant Windows 7, il est primordial de les mettre à jour immédiatement. »

microsoft patch tuesday

Une autre vulnérabilité qui mérite d’être mentionnée dans ce contexte ce mois-ci est CVE-2020-0689, un contournement de fonctionnalité de sécurité qui a également été divulgué précédemment. Un pirate pourrait contourner le démarrage sécurisé et charger des logiciels non fiables.

Childs et Tsang ont tous deux noté que bien que la vulnérabilité elle-même ne soit pas si intéressante, ce qui ressort est le fait que les étapes de correction sont différentes des pratiques de correction habituelles.

“Alors que la plupart des vulnérabilités au niveau du système d’exploitation sont regroupées dans un flux de mise à jour de sécurité uniquement / mensuel ou cumulatif, ce correctif est séparé dans des correctifs KB distincts qui ont également des prérequis explicites pour la mise à jour de la pile de maintenance”, a déclaré Tsang. “L’idée qu’il y a un changement de processus, en soi, est quelque chose à noter.”

Childs a ajouté: “Bien que ce soit certainement un bug à examiner, il est aggravé par un processus de correction non standard. La pile de maintenance de ce mois doit d’abord être appliquée, puis des mises à jour de sécurité autonomes supplémentaires doivent être installées. Si vous avez activé Windows Defender Credential Guard (Virtual Secure Mode), vous devrez également effectuer deux redémarrages supplémentaires. Tout cela est nécessaire pour bloquer les chargeurs de démarrage tiers concernés. »

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x