Patch Tuesday de février : ce qu’il faut retenir selon Ivanti

Chris Goettl

Le Patch Tuesday de février 2023 inclut des correctifs Microsoft pour 76 CVE, qui affectent Microsoft Windows, .NET Framework, Microsoft Office, SQL Server, Exchange Server, différents services Azure, HoloLens et d’autres produits.

Pour les lecteurs de Solution-Numériques, voici l’analyse de Chris Goettl, Vice President of Product Management chez Ivanti.

9 CVE sont de niveau Critique, 67 de niveau Important et 3 CVE correspondent à des exploitations connues sur le terrain. Les 3 vulnérabilités Zero Day sont toutes classées Important, avec un score CVSS de 7,8 ou moins. Nous conseillons aux entreprises d’étendre la priorisation au-delà des scores de gravité fournisseur et CVSS, car de nombreuses vulnérabilités exploitées sont au-dessous du niveau Critique et ont un score CVSS inférieur à 8. Cela montre à quel point il est urgent de faire appel à des méthodes de priorisation basées sur les risques dans votre programme de gestion des vulnérabilités.

Microsoft résout une vulnérabilité d’exécution de code à distance dans le composant Windows Graphics (CVE- 2023-21823), dont l’exploitation sur le terrain a été confirmée. Cette CVE est classée Important, et affecte Windows 10 et Server 2008, et éditions Windows plus récentes. Cette vulnérabilité affecte également Microsoft Office pour iOS, Android et Universel. Si elle est exploitée dans l’OS Windows, cette vulnérabilité peut permettre à un pirate d’obtenir des privilèges SYSTSEM. Pour les applis, l’exploitation peut mener à une attaque RCE (Exécution de code à distance). C’est pourquoi les clients Windows sont instamment priés de mettre leur OS à jour vers la version la plus récente. Concernant les mises à jour d’appli, Microsoft inclut des notes supplémentaires expliquant comment effectuer la mise à jour via le Microsoft Store ou le Play Store.

Microsoft résout une vulnérabilité de contournement des fonctions de sécurité dans Microsoft Publisher (CVE-2023-21715). Cette CVE est classée Important. Elle concerne Microsoft 365 Apps for Enterprise et a été exploitée sur le terrain. Microsoft signale aussi que « l’attaque proprement dite est exécutée en local par un utilisateur authentifié sur le système cible. Un pirate authentifié peut exploiter la vulnérabilité en convainquant sa victime, via l’ingénierie sociale, de télécharger et d’ouvrir depuis un site Web un fichier spécialement conçu à cet effet, capable de lancer une attaque en local sur l’ordinateur de la victime. » Cette exploitation est à même de contourner les stratégies de macro Office utilisées pour bloquer les fichiers malveillants ou non marqués “de confiance”.

Microsoft résout une vulnérabilité d’élévation de privilèges du pilote de système commun de journalisation Windows (CVE-2023-23376), qui a été exploitée sur le terrain. Cette CVE est classée Important, et affecte Windows 10 et Server 2008, et éditions Windows plus récentes. En l’exploitant, un pirate peut obtenir des privilèges SYSTEM. Ce type de vulnérabilité d’élévation de privilèges est généralement utilisée avec d’autres vulnérabilités dans une chaîne d’attaques.

La mise à jour Microsoft SQL Server résout 6 CVE, dont une classée Critique. Depuis plusieurs années, c’est la première fois qu’autant de correctifs de sécurité SQL Server sont publiés lors d’une même mise à jour.

La mise à jour Microsoft Exchange Server résout 4 CVE, toutes classées Important. Pour le moment, cette mise à jour n’inclut aucune divulgation publique ou exploitation connue, mais cela fait quelques années qu’Exchange est ciblé par des pirates sophistiqués. Ces quatre vulnérabilités sont de type RCE (Exécution de code à distance). Il faut vous en occuper rapidement.

Résumé des mises à jour tierces

-Mozilla publie des mises à jour pour Firefox et Firefox ESR, pour résoudre respectivement 19 et 14 CVE.

-Google Chrome a publié le 7 février des mises à jour pour ses versions Windows et MacOS, pour résoudre 10 CVE.

-Microsoft Edge (Chromium) a été mis à jour le 9 février pour résoudre 11 CVE.

-Apple a publié fin janvier des mises à jour pour MacOS BigSur (8 CVE), Monterey (18 CVE) et Safari (3 CVE).

-La mise à jour CPU trimestrielle d’Oracle est sortie le 17 janvier et incluait une mise à jour pour Java (4 CVE). Cette publication déclenche la sortie de mises à jour pour de nombreux frameworks Java en une rapide succession. Des mises à jour ont été publiées pour Corretto, Azul Zulu, Node.JS et d’autres frameworks Java depuis la dernière mise à jour CPU.