Microsoft Patch Tuesday – Avril 2020, 113 nouveaux patchs

Microsoft a distribué ses mises à jour de sécurité Patch Tuesday du mois d’Avril 2020, sa première grande mise à jour depuis la forte augmentation du télétravail. Le géant de la technologie a patché 113 failles de sécurité.

Parmi celles-ci, 19 sont jugées comme étant critiques et 94 sont importantes. Surtout, 4 vulnérabilités sont exploitées par des cybercriminels et 2 d’entre elles ont déjà été rendus publics.

Au total, la mise à jour comprend des patchs pour Microsoft Windows, Microsoft Edge (versions EdgeHTML et Chromium), ChakraCore, Internet Explorer, Microsoft Office et Microsoft Office Services and Web Apps, Windows Defender, Visual Studio, Microsoft Dynamics et Microsoft Apps pour Android et Mac. Ils couvrent toute la gamme allant de la divulgation d’informations et de l’élévation de privilèges jusqu’à l’exécution de code à distance (RCE) et de scripts inter-sites (XSS).

Microsoft a constaté une augmentation de 44% du nombre de CVE corrigés entre janvier et avril par rapport à l’année dernière, selon Zero Day Initiative (ZDI) de Trend Micro – un résultat probablement causé par le nombre croissant de chercheurs qui s’attaquent aux failles et d’une augmentation du nombre de produits pris en charge. En Mars, le Patch Tuesday contenait 115 patchs. En Février, Microsoft a corrigé 99 failles de sécurité et en Janvier, 50 vulnérabilités avaient été patchées.

Cette semaine également, Oracle a corrigé 405 failles de sécurité, tandis qu’Adobe n’a patché que 5 vulnérabilités au mois d’Avril.

Des failles exploitées par des pirates

En ce qui concerne les failles zéro-day, Microsoft a patché CVE-2020-0968, une vulnérabilité de corruption de mémoire dans Internet Explorer qui a été exploitée par des pirates. Cette faille permet d’effectuer une exécution de code à distance et existe en raison de la mauvaise manipulation des objets en mémoire par le moteur de script.

«Il existe plusieurs scénarios dans lesquels cette vulnérabilité pourrait être exploitée», a expliqué Satnam Narang, ingénieur et chercheur chez Tenable. «La méthode principale serait d’inciter un utilisateur à visiter un site Web contenant le code malveillant, ce site web peut appartenir au pirate ou être un site Web compromis avec le code malveillant injecté. Un pirate pourrait également inciter l’utilisateur à ouvrir un document Microsoft Office malveillant qui contient le code malveillant. »

Bien que la portée de cette vulnérabilité soit quelque peu limitée car Internet Explorer a connu une baisse constante d’utilisateurs, elle reste un vecteur attrayant pour les cybercriminels, a ajouté Hass.

microsoft windows

Deux des failles activement exploités sont des problèmes d’exécution de code à distance importants pour la librairie Windows Adobe Type Manager Library.

Le premier bug, CVE-2020-1020, a déjà été rendu public. Cette faille est causée par le fait que la librairie ne gère pas correctement une fonte multiple master spécialement conçue, le format PostScript Adobe Type 1.

«Les pirates peuvent utiliser cette vulnérabilité pour exécuter leur code sur les systèmes affectés s’ils peuvent convaincre un utilisateur de visualiser une police spécialement conçue», selon Dustin Childs, chercheur ZDI, dans son analyse du Patch Tuesday. “Le code s’exécuterait au niveau de l’utilisateur connecté.”

La faille associée est le zéro-day CVE-2020-0938, une vulnérabilité d’exécution de code à distance qui affecte un rendu de police OpenType dans Windows. Encore une fois, un hacker pourrait exécuter du code sur un système ciblé si un utilisateur visualisait une police spécialement conçue.

Bien que les deux soient similaires, “il n’y a actuellement aucune confirmation que les deux sont liés au même ensemble d’attaques”, a déclaré Narang. Quant au vecteur d’attaque, “pour exploiter ces failles, un pirate devra inciter un utilisateur à ouvrir un document malveillant ou à afficher le document dans le volet d’aperçu de Windows”, a-t-il ajouté.

Ces deux failles ont été exploitées sur des systèmes Windows 7 et Childs a noté que tous les systèmes Windows 7 ne recevront pas de correctif car il n’y a plus de support depuis le mois de Janvier 2020.

La dernière faille activement exploitée – qui n’a pas été divulgué publiquement auparavant – est CVE-2020-1027, qui existe dans la méthode utilisée par le noyau Windows pour traiter les objets en mémoire. «Un pirate qui parviendrait à exploiter la vulnérabilité pourrait exécuter du code avec des permissions élevées», selon Microsoft, qui décrit la faille comme étant «importante».

Pour exploiter cette vulnérabilité, un pirate authentifié localement aurait besoin d’exécuter une application spécialement conçue.

Les autres priorités de patch de Microsoft

Microsoft a également corrigé plusieurs autres failles notables qui devraient aussi rentrer dans les priorités des administrateurs dans la grande mise à jour.

CVE-2020-0935 est la deuxième faille qui avait été précédemment divulguée, une vulnérabilité d’élévation de privilèges importante dans OneDrive sur Windows. Elle existe en raison d’une mauvaise gestion des liens symboliques (liens de raccourci) et son exploitation permettrait à un hacker de compromettre davantage les systèmes, d’exécuter des payloads supplémentaires qui pourraient avoir besoin de privilèges plus élevés pour être efficace, ou d’accéder à des informations personnelles ou confidentielles qui n’étaient pas disponibles auparavant. .

«Un pirate qui a eu accès à un point de terminaison pourrait utiliser OneDrive pour écraser un fichier ciblé, ce qui entraînerait une élévation de statut», a déclaré Hass. “OneDrive est extrêmement populaire et souvent installé par défaut sur Windows 10. Lorsque vous combinez cela avec le télétravail et l’utilisation croissante des appareils personnels pour le travail à distance, cela rend la portée potentielle de cette vulnérabilité assez élevée.”

microsoft

Childs a également signalé une importante faille de déni de service (DoS) dans le DNS de Windows. La faille a été identifié comme CVE-2020-0993 et affecte les systèmes clients.

«Un pirate pourrait empêcher le service DNS de répondre en envoyant des requêtes DNS spécialement conçues à un système affecté», a écrit Childs. «Compte tenu des dommages qui pourraient être causés par un attaquant non authentifié, cela devrait figurer en tête de votre liste de tests et de déploiements.»

Une autre faille de sécurité, CVE-2020-0981, est une vulnérabilité de contournement de la fonctionnalité de sécurité des jetons Windows qui est importante et qui provient de la mauvaise gestion des relations de jetons dans la version 1903 de Windows 10 et les versions supérieures.

«Ce n’est pas souvent que vous voyez un contournement de la fonction de sécurité entraîner directement un échappement de la sandbox, mais c’est exactement ce que cette faille permet», a expliqué Childs. «Les pirates pourraient en abuser pour permettre à une application avec un certain niveau d’intégrité d’exécuter du code à un niveau d’intégrité différent – vraisemblablement plus élevé.»

Les failles critiques de SharePoint

SharePoint, une plate-forme collaborative sur le Web qui s’intègre à Microsoft Office, est souvent utilisé comme système de gestion et de stockage de documents. La plate-forme a connu son lot de problèmes critiques ce mois-ci, y compris 4 failles critiques d’exécution de code à distance, qui découlent du fait que le logiciel ne vérifie pas le balisage source d’un package d’application, selon le rapport de Microsoft.

La faille qui a reçu l’identifiant CVE-2020-0929 permet une exécution de code à distnce et affecte Microsoft SharePoint Enterprise Server 2016, Microsoft SharePoint Foundation 2010 Service Pack 2, Microsoft SharePoint Foundation 2013 Service Pack 1 et Microsoft SharePoint Server 2019.

La deuxième faille critique (CVE-2020-0931) permettrait également une exécution de code à distance et affecte Microsoft Business Productivity Servers 2010 Service Pack 2, Microsoft SharePoint Enterprise Server 2013 Service Pack 1, Microsoft SharePoint Enterprise Server 2016, Microsoft SharePoint Foundation 2013 Service Pack 1 et Microsoft SharePoint Server 2019.

La troisième faille (CVE-2020-0932) affecte aussi Microsoft SharePoint Enterprise Server 2016, Microsoft SharePoint Foundation 2013 Service Pack 1 et Microsoft SharePoint Server 2019 et CVE-2020-0974 affecte Microsoft SharePoint Enterprise Server 2016 et Microsoft SharePoint Server 2019.

Pour tous ces failles d’exécution de code à distance, «un pirate qui parviendrait à exploiter la vulnérabilité pourrait exécuter du code arbitraire dans le contexte des applications SharePoint et des comptes des serveurs SharePoint», a déclaré Microsoft dans les rapports de failles individuelles. Un hacker pourrait exploiter n’importe lequel d’entre eux en téléchargeant un package d’application SharePoint spécial et en l’intégrant dans une version affectée de SharePoint.

SharePoint est aussi concerné par une cinquième faille critique, CVE-2020-0927. Il s’agit d’une faille XSS qui affecte Microsoft SharePoint Server 2019 et Enterprise Server 2016 et permettrait l’usurpation d’identité.