Les entreprises doivent en prendre note. Ce mois marque aussi le premier cycle de correctifs pour le support étendu (ESU) de Server 2012 et 2012 R2. Concernant les tiers, Adobe publie des mises à jour et l’on attend une mise à jour Google pour Chrome.
Comme chaque mois pour les lecteurs de Solutions Numériques, voici l’analyse de Chris Goettl, Vice President of Product Management chez Ivanti
-Mises à jour Microsoft
Microsoft résout 58 nouvelles CVE uniques ce mois-ci, dont trois sont marquées “Critique”. L’exploitation de trois CVE est confirmée sur le terrain. Comme il s’agit de vulnérabilités divulguées publiquement, considérez que le danger qu’elles soient exploitées est encore plus grand. Les produits concernés sont l’OS Windows, Office 365, .Net, ASP.NET, Azure DevOps Server, Visual Studio, Exchange Server et SQL Server.
Microsoft Server 2012 et 2012 R2 ont officiellement atteint leur fin de vie en octobre. Aujourd’hui, des mises à jour sont disponibles pour ces versions de serveur uniquement si l’entreprise s’est abonnée au support étendu Microsoft ESU.
-Vulnérabilités Zero Day Microsoft
Microsoft résout une vulnérabilité d’élévation de privilèges dans la bibliothèque principale Windows DWN (CVE-2023-36033). Microsoft classe cette CVE au niveau Important et elle porte un score CVSS de 7,8 mais des exploitations ont été détectées sur le terrain. Des échantillons de code POC (Proof of Concept – Validation de principe) sont disponibles publiquement, ce qui facilite l’utilisation de cette vulnérabilité par un plus grand nombre de pirates. Aucune interaction utilisateur n’est nécessaire pour exploiter cette vulnérabilité et son exploitation peut permettre au pirate d’obtenir des privilèges de niveau SYSTEM. Cette vulnérabilité concerne toutes les éditions de Windows 10, 11 et Server. Malgré le niveau de gravité et le score CVSS qui lui sont attribués, cette vulnérabilité est activement exploitée et mérite une priorité plus élevée.
Microsoft résout une vulnérabilité d’élévation de privilèges dans le pilote de mini-filtre de fichiers Windows Cloud (CVE-2023-36036). Cette vulnérabilité est classée au niveau Important et elle porte un score CVSS de 7,8 mais des exploitations ont été détectées sur le terrain. Aucune interaction utilisateur n’est nécessaire pour exploiter cette vulnérabilité et son exploitation peut permettre au pirate d’obtenir des privilèges de niveau SYSTEM. Cette vulnérabilité affecte Windows 10, 11 et Server 2008, ainsi que les éditions d’OS serveur plus récentes. Les entreprises qui exécutent encore Server 2008, 2008 R2, 2012 ou 2012 R2 doivent veiller à s’abonner aux mises à jour de support étendu Microsoft ESU, et prendre des précautions supplémentaires pour protéger ces anciennes versions de serveur. Malgré le niveau de gravité et le score CVSS qui lui sont attribués, cette vulnérabilité est activement exploitée et mérite une priorité plus élevée.
Microsoft résout une vulnérabilité de contournement des fonctions de sécurité (SFB) dans Windows SmartScreen (CVE-2023-36025). Cette vulnérabilité est classée au niveau Important et elle porte un score CVSS de 8,8 mais des exploitations ont été détectées sur le terrain. Un pirate pourrait convaincre un utilisateur de cliquer sur une URL spécialement conçue pour contourner les contrôles Windows Defender SmartScreen. Cette vulnérabilité affecte Windows 10, 11 et Server 2008, ainsi que les éditions d’OS serveur plus récentes. Les entreprises qui exécutent encore Server 2008, 2008 R2, 2012 ou 2012 R2 doivent veiller à s’abonner aux mises à jour de support étendu Microsoft ESU, et prendre des précautions supplémentaires pour protéger ces anciennes versions de serveur. Malgré le niveau de gravité et le score CVSS qui lui sont attribués, cette vulnérabilité est activement exploitée et mérite une priorité plus élevée.
-Vulnérabilités Microsoft divulguées publiquement
Microsoft résout une vulnérabilité de déni de service dans ASP.NET (CVE-2023-36038). Cette vulnérabilité est classée Important et son score CVSS est de 8,2. Cette vulnérabilité a été publiquement divulguée, ce qui augmente les risques de voir des pirates développer une exploitation, maintenant ou plus tard. Dans les bonnes conditions, un pirate qui exploiterait avec succès cette vulnérabilité pourrait provoquer une perte totale de disponibilité du système.
Microsoft résout une vulnérabilité de contournement des fonctions de sécurité (SFB) dans Microsoft Office, susceptible de permettre à un pirate de contourner le Mode protégé d’Office et d’ouvrir des fichiers en mode Édition au lieu du mode protégé (CVE-2023-36413). Cette vulnérabilité est classée Important et son score CVSS est de 6,5. Cette vulnérabilité a été publiquement divulguée, ce qui augmente les risques de voir des pirates développer une exploitation, maintenant ou plus tard. Cette vulnérabilité affecte les éditions Microsoft Office et 365 Apps.
Microsoft met à jour des CVE déjà publiées (CVE-2023-38039 et CVE-2023-38545), qui affectent les en-têtes HTTP et le débordement de tampon de pile SOCKS5, afin d’inclure une version mise à jour de curl 8.4.0 pour traiter ces vulnérabilités. Les entreprises qui ont appliqué les mesures d’atténuation fournies le 19 octobre 2023 doivent suivre les instructions de la documentation suivante : « Remove Windows Defender Application Control (WDAC) policies » (Suppression des stratégies WDAC).
-Vulnérabilités Microsoft Exchange à noter
Certaines de ces vulnérabilités Exchange ont récemment fait les gros titres, début novembre, parce que le calendrier de divulgation du chercheur ne correspondait pas aux critères de publication Microsoft. Certains chercheurs ont des délais très serrés entre la notification envoyée au fournisseur et la communication des détails au grand public. Si les vulnérabilités ne répondent pas aux critères de publication en « numéro spécial », elles sont repoussées au cycle de publication suivant. Apparemment, c’était le cas pour certaines de ces CVE Exchange. Aucune exploitation ni divulgation n’a été signalée pour ces cinq CVE Exchanges.
- CVE-2023-36035 – Vulnérabilité d’usurpation Microsoft Exchange Server
- CVE-2023-36039 – Vulnérabilité d’usurpation Microsoft Exchange Server
- CVE-2023-36050 – Vulnérabilité d’usurpation Microsoft Exchange Server
- CVE-2023-36439 – Vulnérabilité d’exécution de code à distance (RCE) Microsoft Exchange Server
- CVE-2021-1730 – Vulnérabilité d’usurpation Microsoft Exchange Server (le changement impacte uniquement les informations)
-Mises à jour tierces
Adobe publie des mises à jour pour 14 produits, dont Adobe Acrobat et Acrobat Reader. Adobe résout 76 CVE avec ces mises à jour de produit, dont 40 CVE critiques. Aucune exploitation ni divulgation publique n’a été signalée. D’après le classement Adobe, il s’agirait de vulnérabilités Priorité 3, car la plupart des produits ont peu de risques d’être ciblés (comme ColdFusion, InCopy, etc.). Adobe Acrobat et Acrobat Reader sont les plus susceptibles d’être ciblés, car ils sont très souvent installés sur les systèmes. Nous vous recommandons de prioriser APSB23-54 : Mise à jour de sécurité disponible pour Adobe Acrobat et Reader pour la remédiation, pour plus de sécurité.
Google Chrome est passé à un rythme de publication hebdomadaire pour ses mises à jour de sécurité. Le canal stable Chrome a été mis à jour vers 119.0.6045.159 pour Mac et Linux, et vers 119.0.6045.159/.160 pour Windows. Il comprend 4 CVE. Attendez-vous à recevoir très bientôt une mise à jour pour les navigateurs reposant sur Chromium.