“Six CVE ont fait l’objet d’une divulgation publique, ce qui signifie que les pirates ont pris un temps d’avance et ont pu développer un outil pour les exploiter. Pour plus de sécurité, je vous conseille de considérer que, ce mois-ci, ces CVE présentent un risque élevé“, indique Par Todd Schell, Senior Product Manager, Security chez Ivanti qui analyse pour les lecteurs de Solutions Numériques ce patch tuesday d’octobre.
Microsoft a présenté son nouveau guide des mises à jour. Il comprend plusieurs améliorations intéressantes. Un accès rapide à davantage d’informations concernant les risques est disponible dans la vue des vulnérabilités. Des colonnes, comme “Exploité et Divulgué publiquement”, vous permettent de rapidement trier les données et de voir si certains éléments présentent plus de risques que d’autres. Notamment nos six CVE du mois qui ont été divulguées publiquement.
La divulgation publique sous-entend plusieurs choses. Cela peut vouloir dire qu’une démonstration d’exploitation a été présentée lors d’un événement ou par un chercheur. Cela peut aussi signifier que du code POC (Proof of Concept – Démonstration de faisabilité) est désormais disponible. Dans tous les cas, la divulgation publique implique que les pirates sont prévenus à l’avance de l’existence d’une vulnérabilité, ce qui leur donne un avantage. Le délai moyen avant exploitation d’une vulnérabilité est de 22 jours, selon une étude de l’Institut RAND. Si un pirate est ainsi averti d’une vulnérabilité, il dispose d’une avance de plusieurs jours, voire de plusieurs semaines, et l’exploitation de cette vulnérabilité n’est pas bien loin. C’est un indicateur de risque qui aide les entreprises à définir les menaces à traiter en priorité.
Ce mois-ci, cinq des CVE divulguées publiquement concernent Windows 10 et les éditions Server correspondantes (CVE-2020-16908, CVE-2020-16909, CVE-2020-16901, CVE-2020-16885, CVE-2020-16938). La sixième concerne .Net Framework (CVE-2020-16937).
Ce qui est étonnant ce mois-ci, c’est qu’aucune vulnérabilité de navigateur n’est résolue. Lors de la publication, Microsoft n’avait reçu aucun signalement de CVE pour IE ou Edge, et sa liste n’inclut aucun navigateur parmi les produits affectés ce mois-ci. D’aussi loin que je m’en souvienne, c’est la première fois que cela se produit.
Deux CVE auxquelles il faut prêter attention
CVE-2020-16947 est une vulnérabilité de Microsoft Outlook qui peut permettre l’exécution de code à distance. Les versions d’Outlook affectées peuvent être infectées simplement par l’affichage d’un e-mail spécialement conçu à cet effet. Dans ce cas, le volet Aperçu est le vecteur d’attaque. Vous n’avez donc même pas besoin d’ouvrir l’e-mail pour être impacté. Il s’agit d’une faille dans l’analyse du contenu HTML des e-mails. Appliquez ce correctif le plus tôt possible. C’est une cible attrayante pour les pirates.
CVE-2020-16891 est une vulnérabilité de Windows Hyper-V qui peut permettre l’exécution de code à distance. Ce correctif supprime un bug qui permet à un pirate d’exécuter un programme spécialement conçu dans un OS Invité infecté, afin d’exécuter du code arbitraire dans l’OS hôte. Une porte dérobée d’OS Invité telle que celle-ci attire également fortement les pirates.