Microsoft Patch Tuesday – Septembre 2020, 129 failles patchées

Microsoft a déployé des correctifs pour 129 failles de sécurité dans sa mise à jour Patch Tuesday du mois de septembre. Parmi ces vulnérabilités on compte 23 failles critiques, 105 failles d’une gravité importante et une faille modérée. Heureusement, aucune de ces failles n’est connu du public ou en cours d’exploitation active par des pirates, a déclaré Microsoft.

La vulnérabilité la plus grave du lot est CVE-2020-16875, selon les chercheurs. Il s’agit d’un problème de corruption de mémoire dans Microsoft Exchange qui permet l’exécution de code à distance simplement en envoyant un e-mail à une cible. L’exécution de code arbitraire pourrait donner aux attaquants l’accès dont ils ont besoin pour créer de nouveaux comptes, accéder, modifier ou supprimer des données et installer des programmes.

“Ce patch corrige une vulnérabilité qui permet à un attaquant d’exécuter du code au niveau du SYSTÈME en envoyant un e-mail spécialement conçu à un serveur Exchange affecté”, a écrit Dustin Childs, chercheur de Trend Micro, dans une analyse. “C’est à peu près le pire scénario pour les serveurs Exchange. La faille CVE-2020-0688 d’Exchange est exploitée dans la nature et nécessite une authentification. Nous verrons probablement cette nouvelle faille dans la nature bientôt.”

Justin Knapp, responsable marketing produit chez Automox, a ajouté que bien que cette vulnérabilité ne concerne que les versions 2016 et 2019 d’Exchange Server, “l’utilisation étendue de Microsoft Exchange par les utilisateurs professionnels et un score CVSS élevé de 9,1 sur 10 indiquent que ce correctif devrait être placé en haut de la liste”.

microsoft windows

Une autre vulnérabilité critique d’exécution de code à distance qui devrait être prioritaire pour la mise à jour est CVE-2020-1210, qui existe dans SharePoint en raison d’un échec de vérification du balisage source d’un paquet d’application. Elle obtient une note de 9,9 sur 10 sur l’échelle de gravité CVSS.

“Pour exploiter cette faille, un attaquant devrait être en mesure d’envoyer un package d’application SharePoint sur un site SharePoint vulnérable”, a déclaré Satnam Narang, ingénieur de recherche chez Tenable. “Cette vulnérabilité rappelle une faille similaire d’exécution de code à distance de SharePoint, CVE-2019-0604, qui est exploitée dans la nature par les pirates informatiques depuis au moins avril 2019″.

Il y a un total de sept failles d’exécution de code à distance en cours de correction dans SharePoint. Une seule, CVE-2020-1460, nécessite une authentification.

Knapp a signalé une autre vulnérabilité d’exécution de code critique (notée 8,4 sur l’échelle CvSS) dans l’interface de périphérique graphique Windows (CVE-2020-1285). Elle est due à la manière dont l’IDE gère les objets en mémoire, fournissant des scénarios d’attaque et de partage de fichiers qui pourraient introduire de multiples vecteurs pour qu’un pirate prenne le contrôle d’un système, a-t-il dit.

“Dans le scénario d’attaque web, un attaquant devrait créer un site web conçu pour exploiter la vulnérabilité et ensuite convaincre les utilisateurs de consulter le site web”, a noté M. Knapp.

“Comme il n’y a aucun moyen de forcer les utilisateurs à voir le contenu contrôlé par l’attaquant, ce dernier devrait convaincre les utilisateurs d’agir, généralement en leur faisant ouvrir une pièce jointe à un courriel ou en cliquant sur un lien. Dans le scénario de partage de fichiers, le pirate doit convaincre les utilisateurs d’ouvrir un fichier spécialement conçu pour exploiter la vulnérabilité. Étant donné la longue liste des versions de Windows et de Windows Server touchées et l’absence de solution de contournement ou d’atténuation, il s’agit d’une vulnérabilité qui doit être corrigée immédiatement”.

La série de correctifs de Septembre comporte également plusieurs autres failles d’exécution de code à distance, dont une dans la bibliothèque de codecs de Microsoft Windows (CVE-2020-1129, avec une note de 8,8 CvSS), qui est utilisé par de multiples applications et peut donc affecter un large éventail de programmes. Un attaquant pourrait exécuter du code sur une machine victime en convainquant quelqu’un de visionner un clip vidéo malveillant.

“[Cela] pourrait permettre l’exécution de code si un système affecté voit une image spécialement conçue”, a expliqué Childs. “La faille spécifique existe dans l’analyse des flux HEVC. Un flux HEVC dans un fichier vidéo peut déclencher un débordement d’un tampon de longueur fixe sur la pile.

microsoft

Une autre faille critique d’exécution de code à distance (CVE-2020-0922) se trouve dans le Microsoft Component Object Model (COM) pour Windows, qui est un système indépendant de la plate-forme pour créer des composants logiciels binaires qui peuvent interagir les uns avec les autres. Comme la faille précédente, il est probable que de multiples applications pourraient être touchées par la faille si elles utilisent COM. Cette vulnérabilité a une note de 8,8 sur l’échelle CvSS.

“Ce correctif corrige une vulnérabilité qui permettrait à un attaquant d’exécuter du code sur un système affecté s’il peut convaincre un utilisateur d’ouvrir un fichier spécialement conçu ou attirer la cible vers un site web hébergeant du JavaScript malveillant”, a expliqué Childs.

Parallèlement, CVE-2020-16874 est une vulnérabilité d’exécution de code à distance critique au sein de Visual Studio, avec une note de 7,8. Un attaquant pourrait exploiter cette vulnérabilité avec succès en convainquant un utilisateur d’ouvrir un fichier spécialement conçu en utilisant une version du logiciel affectée.

Si l’utilisateur compromis est connecté avec des droits d’administrateur, l’attaquant pourrait prendre le contrôle du système affecté et obtenir la possibilité d’installer des programmes, de visualiser, de modifier ou de supprimer des données, ou de créer de nouveaux comptes avec tous les droits d’utilisateur. La vulnérabilité existe dans plusieurs versions de Visual Studio datant de 2012.

Parmi les autres failles à noter, Childs a également mis en avant CVE-2020-0951, une faille importante de contournement des fonctionnalités de sécurité dans Windows Defender.

“Un attaquant ayant des privilèges administratifs sur une machine locale pourrait se connecter à une session PowerShell et envoyer des commandes pour exécuter du code arbitraire”, a déclaré Childs. “Ce comportement devrait être bloqué par le WDAC, ce qui en fait un contournement intéressant. Cependant, ce qui est vraiment intéressant, c’est que cela est en train d’être corrigé. Les vulnérabilités qui nécessitent un accès administratif pour être exploitées n’obtiennent généralement pas de correctifs. Je suis curieux de savoir ce qui rend celui-ci différent”.

Microsoft poursuit sa tendance

La sortie du Patch Tuesday de Septembre poursuit une tendance de mise à jour de sécurité. Les correctifs concernent un large éventail de produits, notamment Microsoft Windows, Edge (à la fois basé sur EdgeHTML et Chromium), ChakraCore, Internet Explorer (IE), SQL Server, Office et Office Services, Web Apps, Microsoft Dynamics, Visual Studio, Exchange Server, ASP.NET, OneDrive et Azure DevOps.

“Cela nous amène à sept mois consécutifs avec plus de 110 patchs”, a déclaré Childs. “Cela porte également le total annuel à près de 1000. Il semble bien que ce volume soit la nouvelle norme pour les correctifs de Microsoft”.

Pendant ce temps, Adobe a corrigé cinq failles critiques XSS dans Experience Manager dans le cadre de ses correctifs réguliers. Ils ont également corrigé les vulnérabilités d’Adobe Framemaker, son logiciel conçu pour la rédaction et l’édition de documents volumineux ou complexes, et InDesign, son logiciel de publication assistée par ordinateur et de composition.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x