Pour le Patch Tuesday d’avril, Microsoft publie des mises à jour qui résolvent 98 nouvelles CVE et 5 CVE plus anciennes. Ce mois-ci, sept CVE sont marquées Critique. Les mises à jour concernent l’OS Windows, Microsoft Office et 365 Apps, .Net Core, Visual Studio, Azure Machine Learning et le connecteur de services, ainsi que SQL Server, Microsoft ODBC et OLE DB.
Comme chaque mois pour les lecteurs de Solutions-Numériques, voici l’analyse de Chris Goettl, Vice President of Product Management chez Ivanti.
La nouvelle mise à jour de l’OS Windows résout ce mois-ci une nouvelle vulnérabilité dont l’exploitation a été confirmée (CVE-2023-28252) et Microsoft a mis à jour la liste des produits concernés par CVE-2013-3900, une vulnérabilité déjà résolue par le passé, dont l’exploitation a été confirmée.
Microsoft a mis à jour la liste des produits concernés par la vulnérabilité de validation de signature WinVerifyTrust (CVE-2013-3900). Cette vulnérabilité a été publiquement divulguée et l’on a confirmé son exploitation sur le terrain. Aucun changement n’a été apporté aux conseils de Microsoft. La mise à jour d’avril ajoute simplement les éditions Server Core à la liste des produits concernés.
Microsoft résout une vulnérabilité d’élévation de privilèges du pilote de système commun de journalisation Windows (CVE-2023-28252) dont l’exploitation pourrait permettre à un pirate d’obtenir des privilèges SYSTEM. L’exploitation de cette vulnérabilité sur le terrain a été confirmée. Cette vulnérabilité est marquée Important et concerne toutes les versions actuellement prises en charge de l’OS Windows.
Microsoft résout une vulnérabilité SQL Server qui pourrait permettre l’exécution de code à distance (CVE-2023-23384). Cette vulnérabilité est classée Important et son score CVSS v3.1 est de 7,3. Le plantage nécessaire pour exploiter cette vulnérabilité n’est pas facile à obtenir, mais il est possible de tenter l’attaque sur le réseau en tant qu’utilisateur authentifié.
2 vulnérabilités Azure
Microsoft résout 2 vulnérabilités Azure ce mois-ci. Selon votre configuration, vous pouvez être contraint de réaliser des opérations manuelles pour résoudre ces vulnérabilités.
La première est une vulnérabilité de contournement des fonctions de sécurité du connecteur de services Azure (CVE-2023-28300). Pour obtenir un accès non autorisé à l’environnement cible, le pirate doit disposer du rôle Lecteur RBAC Reader ou supérieur, et doit chaîner des vulnérabilités supplémentaires. Le connecteur de services Azure est mis à jour lorsque vous mettez l’interface de ligne de commande Azure vers la dernière version. Si vous avez activé les mises à jour automatiques (non activées par défaut), aucune action n’est nécessaire. Si vous préférez effectuer une mise à jour manuelle, lisez l’article sur la mise à jour de la ligne de commande (CLI) publié par Microsoft.
La deuxième est une vulnérabilité de divulgation d’informations dans Azure Machine Learning (CVE-2023-28312). Cette vulnérabilité peut permettre à un pirate de divulguer les journaux système, mais il ne pourra pas modifier les données ni rendre le service indisponible. Pour mettre à jour l’instance de calcul Azure Machine Learning, référez-vous aux consignes de Microsoft. S’il existe déjà une instance de calcul, elle est écrasée lors de l’application de la commande de mise à jour (update).
Microsoft résout une vulnérabilité d’exécution de code à distance dans le code de Raw Image Extension (CVE-2023-28291), une appli Microsoft Store. L’appli Store devrait se mettre à jour automatiquement. Cependant, si vous exécutez un environnement hors connexion, la mise à jour automatique de l’appli ne se fait pas.
Mises à jour tierces
- Apple publie des mises à jour pour résoudre deux vulnérabilités Zero Day exploitées (CVE-2023-28205 et CVE-2023-28206). Ces vulnérabilités concernent macOS, iOS et iPad OS. Apple a commencé à publier des mises à jour le 7 avril 2023. Vous trouverez des détails supplémentaires sur les pages suivantes concernant les mises à jour : MacOS 13.3.1, iOS 16.4.1 et iPad OS 16.4.1, macOS 6.5 et 11.7.6, iOS/iPad 15.7.5 et Safari 16.4.1. Une directive CISA du 7 avril vous avertit de l’exploitation active des deux CVE Apple et de trois CVE 2021 supplémentaires pour Veritas Backup Exec.
- Des mises à jour Mozilla Firefox 112 et Firefox ESR 102.10 ont été publiées pour résoudre 22 vulnérabilités uniques, dont 8 de gravité élevée.
- Adobe publie une mise à jour pour Acrobat et Reader (APSB23-24). Cette mise à jour est marquée Priorité 3 et résout 16 CVE, dont 14 sont marquées Critique.
- La mise à jour CPU Oracle sortira le 18 avril. Elle portera sur de nombreuses solutions Oracle, notamment Java. Après cette publication Oracle Java, une série de mises à jour supplémentaires sera publiée. RedHat OpenJDK, Amazon Corretto, Azul Zulu, Eclipse Adoptium, Adopt OpenJDK et autres frameworks Java vont tous commencer à se mettre à jour une fois la mise à jour Oracle Java publiée. Ne l’oubliez pas en lançant votre cycle de maintenance du mois.
Conseils de priorisation
- La mise à jour de l’OS Windows doit être la première de vos mises à jour Microsoft prioritaires ce mois-ci, afin de résoudre l’exploitation Zero Day (CVE-2023-28252).
- Les mises à jour Apple pour macOS, iPad OS, iOS et Safari doivent aussi être en tête de vos priorités, pour répondre aux deux exploitations Zero Day (CVE-2023-28205 et CVE-2023-28206)
- Les mises à jour Microsoft Office, Mozilla Firefox, et Adobe Acrobat et Reader doivent arriver ensuite. À l’heure qu’il est, aucune exploitation active ni divulgation publique n’a été signalée, mais ces applications sont très souvent ciblées et, en général, leur mise à jour a peu de risques d’impacter les utilisateurs.