Microsoft a publié son traditionnel Patch Tuesday pour le mois de mars 2020. Microsoft a corrigé 115 vulnérabilités parmi lesquelles 26 ont été jugé critiques (ce qui implique qu'elles sont relativement faciles à exploiter et peuvent entraîner une compromission complète de l’appareil). Un nombre de vulnérabilités qui établit un record dans l’histoire de l’éditeur en la matière à l’occasion d’un Patch Tuesday. En dépit du nombre conséquent de vulnérabilités, il n'est pas fait mention d'un exploit 0day ou d'une exploitation active de l’un d’eux. Pour les vulnérabilités critiques, les produits concernés sont Windows, Microsoft Edge (base EdgeHTML), Internet Explorer, moteurs de script, fichiers LNK, Microsoft Word, Dynamics Business.
Les 115 corrections quant à elles couvrent Microsoft Windows, Edge (basé sur EdgeHTML et basé sur Chromium), ChakraCore, Internet Explorer (IE), Exchange Server, Office Office Services et Web Apps, Azure DevOps, Windows Defender, Visual Studio et les logiciels Open Source.
Parcourons certains correctifs des plus intéressants de ce mois-ci :
CVE-2020-0852 : Vulnérabilité d'exécution de code à distance dans Microsoft Word
Il existe une vulnérabilité d’exécution de code à distance dans Microsoft Word quand celui-ci ne parvient pas à traiter correctement les objets en mémoire. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait utiliser un fichier spécialement conçu pour exécuter des actions dans le contexte de sécurité de l’utilisateur actuel. Par exemple, le fichier pourrait alors effectuer des opérations au nom de l’utilisateur connecté avec les mêmes autorisations que l’utilisateur actuel.
Pour que cette vulnérabilité puisse être exploitée, un utilisateur doit ouvrir un fichier spécialement conçu avec une version concernée du logiciel Microsoft Word. Dans le cas d’une attaque par courrier électronique, un attaquant pourrait exploiter cette vulnérabilité en envoyant un fichier spécialement conçu à l’utilisateur et en persuadant celui-ci d’ouvrir le fichier. Dans le cas d’une attaque web, l’attaquant pourrait héberger un site web (ou exploiter un site web compromis qui accepte ou héberge du contenu provenant d’utilisateurs) contenant un fichier spécialement conçu pour exploiter cette vulnérabilité. Un attaquant n’aurait toutefois aucun moyen de forcer l’utilisateur à visiter le site web. Il devrait le convaincre de cliquer sur un lien, généralement par le biais d’une sollicitation envoyée par message électronique ou message instantané, puis l’amener à ouvrir le fichier spécialement conçu.
Notez que le volet de visualisation Microsoft Outlook est un vecteur d’attaque pour cette vulnérabilité.
La plupart des bogues d'exécution de code dans les produits Office nécessitent qu'un utilisateur ouvre un fichier spécialement conçu et sont donc importants en termes de gravité. Ce bogue Word de niveau critique ne nécessite aucune interaction de la part de l'utilisateur. Au lieu de cela, la simple visualisation d'un fichier spécialement conçu dans le volet de visualisation pourrait permettre l'exécution de code au niveau de l'utilisateur connecté. L'envoi de documents malveillants par courrier électronique est une tactique courante pour les auteurs de logiciels malveillants et de rançongiciels. Avoir un bogue qui ne nécessite pas d'inciter quelqu'un à ouvrir un fichier est susceptible d’intéresser les hackers.
Cette mise à jour de sécurité corrige la vulnérabilité en modifiant la manière dont Microsoft Word traite les fichiers en mémoire.
Les produits concernés sont :
- Microsoft Office 2016 for Mac
- Microsoft Office 2019 for 32-bit editions
- Microsoft Office 2019 for 64-bit editions
- Microsoft Office Online Server
- Microsoft SharePoint Server 2019
CVE-2020-0905 : Vulnérabilité d'exécution de code à distance dans Dynamics Business Central
Ce bogue dans la solution de gestion d'entreprise pourrait permettre à des attaquants d'exécuter des commandes shell arbitraires sur un système cible. L'exploitation de ce bogue de niveau critique ne sera pas simple, car, pour l’exploiter cette vulnérabilité, un attaquant authentifié devrait convaincre la victime de se connecter à un client Dynamics Business Central malveillant ou élever les autorisations pour le système pour effectuer l’exécution de code.
Néanmoins, étant donné que la cible est probablement un serveur critique, vous devez tester et déployer ce correctif rapidement. Ce dernier corrige la vulnérabilité en empêchant la possibilité d’utiliser un type binaire qui pourrait exécuter du code sur le serveur de la victime.
Les produits concernés sont :
- Dynamics 365 Business Central 2019 Release Wave 2 (On-Premise)
- Dynamics 365 Business Central 2019 Spring Update
- Microsoft Dynamics 365 BC On Premise
- Microsoft Dynamics NAV 2013
- Microsoft Dynamics NAV 2015
- Microsoft Dynamics NAV 2016
- Microsoft Dynamics NAV 2017
- Microsoft Dynamics NAV 2018
CVE-2020-0684 : Vulnérabilité d'exécution de code à distance dans LNK
Si cela vous semble familier, cela pourrait être dû au fait que Microsoft a publié un correctif presque identique pour LNK le mois dernier (CVE-2020-0729). Il arrive que les correctifs consécutifs indiquent que l’ancien n’a pas marché. Cependant, étant donné que le numéro de bogue du mois passé est inférieur à celui de ce mois, il est peu probable que cela soit le cas ici.
Quoi qu'il en soit, il existe une vulnérabilité d’exécution de code à distance dans Microsoft Windows qui pourrait permettre l’exécution de code à distance si un fichier .LNK était traité.
Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l’utilisateur local. Les utilisateurs dont les comptes sont...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.