Microsoft Patch Tuesday – Juillet 2020: 123 failles patchées

Une faille DNS critique et une faille d’élévation de privilèges publiquement connue figurent en tête de la liste des 123 patchs de Microsoft pour ce Patch Tuesday du mois de Juillet. La faille DNS est une vulnérabilité d’exécution de code à distance et est présentée comme l’une des vulnérabilités Windows les plus critiques révélées cette année, obtenant un score CVSS de 10 sur 10.

La faille d’élévation de privilège (CVE-2020-1463) a été décrite comme «importante» et a un impact sur le composant de bibliothèque SharedStream de Windows 10 et Windows Server. Ce bug est causé par la façon dont les objets sont gérés en mémoire. Les chercheurs ont exprimé leur inquiétude car la faille est connu du public, ce qui augment fortement les chances d’exploitation.

La vulnérabilité de SharedStream pourrait permettre à un attaquant d’exécuter du code avec des autorisations élevées Cependant, l’attaquant doit être authentifié localement pour pouvoir exploiter cette faille de sécurité.

microsoft patch tuesday

La faille DNS (CVE-2020-1350) est une vulnérabilité d’exécution de code à distance dans le serveur DNS (Domain Name System) Windows et a été découverte par Sagi Tzaik, chercheur chez Check Point. Cette faille existe en raison d’une mauvaise gestion des requêtes envoyées aux serveurs DNS Windows, selon les chercheurs.

«Un attaquant distant non authentifié pourrait exploiter cette vulnérabilité en envoyant une requête malveillante à un serveur DNS Windows vulnérable. Une exploitation réussie permettrait à l’attaquant d’exécuter du code arbitraire dans le contexte du compte système local », a écrit Satnam Narang, ingénieur de recherche chez Tenable, dans l’analyse Patch Tuesday de la société.

Il a noté que Microsoft a averti que cette vulnérabilité permettrait à un ver de se propager d’un ordinateur à l’autre sans interaction de l’utilisateur. «Les organisations sont fortement encouragées à patcher leurs systèmes dès que possible pour remédier à cette vulnérabilité, car nous pensons que les attaquants ne tarderont pas à rechercher et à cibler les systèmes vulnérables», a-t-il écrit dans le cadre de l’analyse de la faille par Tenable.

[Contenu associé: Une faille DNS critique rend les serveurs Windows vulnérables au piratage d’infrastructure]

123 patchs: Un nouveau mois à 3 chiffres

En tout, Microsoft a corrigé 123 failles, 18 classés comme critiques et 105 comme importantes en termes de gravité. Les avis de Microsoft couvraient un large éventail de produits, notamment Windows 10, le navigateur Edge de Microsoft, Internet Explorer (IE), les services Office et leurs applications Web, Windows Defender, Skype for Business, Visual Studio, .NET Framework, OneDrive , Azure DevOp et des logiciels Open Source.

«Cela fait cinq mois consécutifs que plus de 110 CVE sont publiés et cela porte le total à 742 pour l’année 2020», ont écrit les chercheurs de Zero Day Initiative (ZDI) dans leur analyse du Patch Tuesday. «À titre de comparaison, Microsoft a publié des correctifs pour 851 CVE en 2019. À ce rythme, Microsoft dépassera ce nombre le mois prochain. Ils ont déjà dépassé leurs totaux pour 2017 (665) et 2018 (691). »

Les chercheurs de ZDI ont identifié une vulnérabilité critique d’élévation de privilège «rare» (CVE-2020-1025) dans Microsoft Office: «Il est rare de voir une faille d’élévation de privilège jugée critique en termes de gravité, mais cette vulnérabilité dans SharePoint et les serveurs Skype for Business méritent certainement sa cote. » La faille permet aux attaquants d’accéder aux serveurs concernés par la mauvaise gestion d’un jeton OAuth.

Une parade de Patch Tuesday

Parallèlement, Adobe a publié cinq correctifs couvrant 13 CVE dans Adobe Cold Fusion, Download Manager, Genuine Service, Media Encoder et dans l’application Creative Cloud Desktop. Les correctifs Adobe comprenaient des correctifs pour quatre vulnérabilités critiques.

google chrome

Google a également mis à jour son navigateur Google Chrome avec une mise à jour de sécurité corrigeant 38 vulnérabilités, dont une critique. La faille critique (CVE-2020-6510) est une vulnérabilité de dépassement de tampon liée à la fonction de récupération en arrière-plan de Chrome.

La mise à jour de sécurité de Chrome fait partie de la sortie de la version 84.0.4147.89 de Chrome 84, qui inclut notamment une prise en charge obsolète de TLS 1.0 et TLS 1.1.