Patch Tuesday : Microsoft corrige 115 vulnérabilités dont 26 critiques

Et donne une solution d'atténuation d'une faille SMBv3 qui rappelle l'exploit EternalBlue ayant servi à WannaCry

Patch Tuesday mars 2020 : Microsoft corrige 115 vulnérabilités dont 26 critiques,
et donne une solution d'atténuation d'une faille sur SMBv3 qui rappelle aux chercheurs l'exploit EternalBlue ayant servi à WannaCry

Microsoft a publié son traditionnel Patch Tuesday pour le mois de mars 2020. Microsoft a corrigé 115 vulnérabilités parmi lesquelles 26 ont été jugé critiques (ce qui implique qu'elles sont relativement faciles à exploiter et peuvent entraîner une compromission complète de l’appareil). Un nombre de vulnérabilités qui établit un record dans l’histoire de l’éditeur en la matière à l’occasion d’un Patch Tuesday.

En dépit du nombre conséquent de vulnérabilités, il n'est pas fait mention d'un exploit 0day ou d'une exploitation active de l’un d’eux. Pour les vulnérabilités critiques, les produits concernés sont Windows, Microsoft Edge (base EdgeHTML), Internet Explorer, moteurs de script, fichiers LNK, Microsoft Word, Dynamics Business.

Les 115 corrections quant à elles couvrent Microsoft Windows, Edge (basé sur EdgeHTML et basé sur Chromium), ChakraCore, Internet Explorer (IE), Exchange Server, Office Office Services et Web Apps, Azure DevOps, Windows Defender, Visual Studio et les logiciels Open Source.

Parcourons certains correctifs des plus intéressants de ce mois-ci :

CVE-2020-0852 : Vulnérabilité d'exécution de code à distance dans Microsoft Word

Il existe une vulnérabilité d’exécution de code à distance dans Microsoft Word quand celui-ci ne parvient pas à traiter correctement les objets en mémoire. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait utiliser un fichier spécialement conçu pour exécuter des actions dans le contexte de sécurité de l’utilisateur actuel. Par exemple, le fichier pourrait alors effectuer des opérations au nom de l’utilisateur connecté avec les mêmes autorisations que l’utilisateur actuel.

Pour que cette vulnérabilité puisse être exploitée, un utilisateur doit ouvrir un fichier spécialement conçu avec une version concernée du logiciel Microsoft Word. Dans le cas d’une attaque par courrier électronique, un attaquant pourrait exploiter cette vulnérabilité en envoyant un fichier spécialement conçu à l’utilisateur et en persuadant celui-ci d’ouvrir le fichier. Dans le cas d’une attaque web, l’attaquant pourrait héberger un site web (ou exploiter un site web compromis qui accepte ou héberge du contenu provenant d’utilisateurs) contenant un fichier spécialement conçu pour exploiter cette vulnérabilité. Un attaquant n’aurait toutefois aucun moyen de forcer l’utilisateur à visiter le site web. Il devrait le convaincre de cliquer sur un lien, généralement par le biais d’une sollicitation envoyée par message électronique ou message instantané, puis l’amener à ouvrir le fichier spécialement conçu.

Notez que le volet de visualisation Microsoft Outlook est un vecteur d’attaque pour cette vulnérabilité.

La plupart des bogues d'exécution de code dans les produits Office nécessitent qu'un utilisateur ouvre un fichier spécialement conçu et sont donc importants en termes de gravité. Ce bogue Word de niveau critique ne nécessite aucune interaction de la part de l'utilisateur. Au lieu de cela, la simple visualisation d'un fichier spécialement conçu dans le volet de visualisation pourrait permettre l'exécution de code au niveau de l'utilisateur connecté. L'envoi de documents malveillants par courrier électronique est une tactique courante pour les auteurs de logiciels malveillants et de rançongiciels. Avoir un bogue qui ne nécessite pas d'inciter quelqu'un à ouvrir un fichier est susceptible d’intéresser les hackers.

Cette mise à jour de sécurité corrige la vulnérabilité en modifiant la manière dont Microsoft Word traite les fichiers en mémoire.

Les produits concernés sont :

• Microsoft Office 2016 for Mac
• Microsoft Office 2019 for 32-bit editions
• Microsoft Office 2019 for 64-bit editions
• Microsoft Office Online Server
• Microsoft SharePoint Server 2019

CVE-2020-0905 : Vulnérabilité d'exécution de code à distance dans Dynamics Business Central

Ce bogue dans la solution de gestion d'entreprise pourrait permettre à des attaquants d'exécuter des commandes shell arbitraires sur un système cible. L'exploitation de ce bogue de niveau critique ne sera pas simple, car, pour l’exploiter cette vulnérabilité, un attaquant authentifié devrait convaincre la victime de se connecter à un client Dynamics Business Central malveillant ou élever les autorisations pour le système pour effectuer l’exécution de code.

Néanmoins, étant donné que la cible est probablement un serveur critique, vous devez tester et déployer ce correctif rapidement. Ce dernier corrige la vulnérabilité en empêchant la possibilité d’utiliser un type binaire qui pourrait exécuter du code sur le serveur de la victime.

Les produits concernés sont :

• Dynamics 365 Business Central 2019 Release Wave 2 (On-Premise)
• Dynamics 365 Business Central 2019 Spring Update
• Microsoft Dynamics 365 BC On Premise
• Microsoft Dynamics NAV 2013
• Microsoft Dynamics NAV 2015
• Microsoft Dynamics NAV 2016
• Microsoft Dynamics NAV 2017
• Microsoft Dynamics NAV 2018

CVE-2020-0684 : Vulnérabilité d'exécution de code à distance dans LNK

Si cela vous semble familier, cela pourrait être dû au fait que Microsoft a publié un correctif presque identique pour LNK le mois dernier (CVE-2020-0729). Il arrive que les correctifs consécutifs indiquent que l’ancien n’a pas marché. Cependant, étant donné que le numéro de bogue du mois passé est inférieur à celui de ce mois, il est peu probable que cela soit le cas ici.

Quoi qu'il en soit, il existe une vulnérabilité d’exécution de code à distance dans Microsoft Windows qui pourrait permettre l’exécution de code à distance si un fichier .LNK était traité.

Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l’utilisateur local. Les utilisateurs dont les comptes sont configurés avec moins de droits sur le système pourraient être moins touchés que ceux qui disposent de privilèges d’administrateur.

L’attaquant pourrait présenter à l’utilisateur un lecteur amovible ou un partage distant qui contient un fichier .LNK malveillant et un binaire malveillant associé. Lorsque l’utilisateur ouvre ce lecteur (ou ce partage distant) dans l’Explorateur Windows ou dans une autre application qui analyse le fichier .LNK, le binaire malveillant exécute du code choisi par l’attaquant sur le système cible.

Cette mise à jour de sécurité corrige la vulnérabilité en modifiant le traitement des références LNK de raccourci.

Les mises à jour sont disponibles pour les produits suivants (certains téléchargements sont répertoriés comme étant « security only », « security update » ou encore « monthly rollup ») :

• Windows 10 for 32-bit Systems
• Windows 10 for x64-based Systems
• Windows 10 Version 1607 for 32-bit Systems
• Windows 10 Version 1607 for x64-based Systems
• Windows 10 Version 1709 for ARM64-based Systems
• Windows 10 Version 1709 for x64-based Systems
• Windows 10 Version 1803 for 32-bit Systems
• Windows 10 Version 1803 for ARM64-based Systems
• Windows 10 Version 1803 for x64-based Systems
• Windows 10 Version 1809 for 32-bit Systems
• Windows 10 Version 1809 for ARM64-based Systems
• Windows 10 Version 1809 for x64-based Systems
• Windows 10 Version 1903 for 32-bit Systems
• Windows 10 Version 1903 for ARM64-based Systems
• Windows 10 Version 1903 for x64-based Systems
• Windows 10 Version 1909 for 32-bit Systems
• Windows 10 Version 1909 for ARM64-based Systems
• Windows 10 Version 1909 for x64-based Systems
• Windows 7 for 32-bit Systems Service Pack 1
• Windows 7 for x64-based Systems Service Pack 1
• Windows 8.1 for 32-bit systems
• Windows 8.1 for x64-based systems
• Windows RT 8.1
• Windows Server 2008 for 32-bit Systems Service Pack 2
• Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
• Windows Server 2008 for Itanium-Based Systems Service Pack
• Windows Server 2008 for x64-based Systems Service Pack 2
• Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
• Windows Server 2008 R2 for Itanium-Based Systems Service Pack
• Windows Server 2008 R2 for x64-based Systems Service Pack
• Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
• Windows Server 2012
• Windows Server 2012 (Server Core installation)
• Windows Server 2012 R2
• Windows Server 2012 R2 (Server Core installation)
• Windows Server 2016
• Windows Server 2016 (Server Core installation)
• Windows Server 2019
• Windows Server 2019 (Server Core installation)
• Windows Server, version 1803 (Server Core Installation)
• Windows Server, version 1903 (Server Core installation)
• Windows Server, version 1909 (Server Core installation)

CVE-2020-0872 : Vulnérabilité d'exécution de code à distance dans l'inspecteur d'application

Ce bogue pourrait permettre à un attaquant d'exécuter son code sur un système cible s'il pouvait convaincre un utilisateur d'exécuter Application Inspector sur du code comprenant un composant tiers spécialement conçu. Bien que Microsoft ne mentionne pas cela comme étant connu du public au moment de la publication, il semble que cela ait été corrigé dans la version 1.0.24, qui a été publiée en janvier. La raison pour laquelle il est inclus dans la version du correctif de ce mois-ci n'est pas claire, mais si vous utilisez Application Inspector, allez certainement chercher la nouvelle version.

Le premier trimestre de 2020 a été chargé en correctifs pour Microsoft. En comptant les correctifs du Patch Tuesday de mars 2020, l’éditeur a publié au total 265 correctifs au premier trimestre. Notons que pour le Patch Tuesday de février 2020 Microsoft a corrigé 99 vulnérabilités. Il sera int...