Accueil Windows 10 Patch Tuesday de juillet : des vulnérabilités de type élévation des privilèges...

Patch Tuesday de juillet : des vulnérabilités de type élévation des privilèges affectent la majorité des OS Windows

Microsoft a publié ce mois-ci 14 mises à jour, qui résolvent 55 vulnérabilités distinctes, dont 3 vulnérabilités à divulgation publique. Microsoft a également mis à jour ADV180002 et ADV180012 concernant des variantes de Meltdown et Spectre. Voici le compte-rendu et les conseils d’Ivanti pour les lecteurs de Solutions Numériques.

 

Variantes de Meltdown et Spectre

ADV180002 semble avoir subi un grand nettoyage ; si bien que, pour les variantes 1 (CVE-2017-5753), 2 (CVE-2017-5715) et 3 (CVE-2017-5754), il n’y a pas de mise à jour en dehors du nettoyage de la documentation. ADV180012 a été mis à jour vers un état qui permet la mise à jour de variante 4 (CVE-2018-3639) pour Speculative Store Bypass sur tous les systèmes Windows pris en charge pour les processeurs Intel, et le fonctionnement de Microsoft avec AMD pour fermer la boucle qui provoquait une exposition du processeur AMD à la variante 4.

Au 10 juillet 2018, des mises à jour sont disponibles pour tous les systèmes dotés de processeurs Intel. Microsoft collabore avec AMD pour évaluer la disponibilité et la préparation de SSBD dans les versions de Windows prises en charge. Reportez-vous à la section « Actions recommandées » pour en savoir plus sur les mises à jour et les étapes à appliquer à SSBD.

3 vulnérabilités à divulgation publique

Il existe deux vulnérabilités à divulgation publique pour l’OS Windows ce mois-ci. CVE-2018-8313 et CVE-2018-8314 sont des vulnérabilités de type élévation des privilèges, qui affectent la majorité des OS Windows. 8313 affecte toutes les versions sauf Win 7 et 8314, toutes les versions sauf Server 2016.

Une 3e divulgation publique est une vulnérabilité de type hameçonnage qui porte sur le navigateur Edge et la façon dont il gère du contenu HTML spécifique. Elle peut permettre à un pirate de se faire passer pour un site Web légitime et de tromper l’utilisateur pour lui faire croire qu’il s’agit du site légitime.

Ivanti définit les priorités suivantes :

Mises à jour d’OS Microsoft : entre les deux divulgations publiques, CVE-2018-8282 (Elevation of Privilege, élévation des privilèges) qui permet à un pirate d’exécuter un code arbitraire en code noyau (kernel), et les vulnérabilités comme CVE-2018-8287, CVE-2018-8288 et CVE-2018-8296, qui permettent à un pirate de se faire passer pour un contrôle ActiveX marqué « sûr pour initialisation » dans un document Office hébergeant le moteur de rendu du navigateur ou bien de l’héberger dans un site Web infecté, il faut vraiment prévoir de mettre à jour l’OS et IE ce mois-ci. Outre les vulnérabilités Elevation of Privilege, plusieurs autres vulnérabilités pourraient être résolues en attribuant des droits plus restreints que les droits Admin complets.

Vulnérabilités Microsoft juillet 2018

Autres vulnérabilités

Autre vulnérabilité intéressante du mois : CVE-2018-8327, qui permet à un pirate d’exécuter du code malveillant dans un processus de services d’éditeur PowerShell. Ce type de vulnérabilité donne au créateur de la menace une très grande souplesse pour infecter encore plus le système à l’aide d’une attaque sans fichier.

.Net Framework a reçu ce jour une mise à jour résolvant plusieurs CVE importantes. Bien que ces vulnérabilités soient un peu plus difficiles à exploiter, un pirate pourrait contourner la validation de certificat, ce qui permettrait au système d’accepter des certificats expirés et de présenter des composants non autorisés aux applications .Net. Le pirate pourrait également prendre le contrôle d’un système infecté en transmettant certaines entrées à une méthode .Net sensible. Bien qu’il ne s’agisse pas d’une urgence absolue, il faut tester la mise à jour .Net et la déployer rapidement.

Hors mises à jour Microsoft, un certain nombre de mises à jour tierces exigent l’attention

La mise à jour Adobe Flash résout 2 vulnérabilités, dont une de type critique. Les mises à jour Adobe Acrobat et Reader, également publiées ce jour, résolvent plus de 104 vulnérabilités. Au moins la moitié sont de type critique. Oui, bien sûr, il faut appliquer ces correctifs ! Flash est toujours l’une des applications les plus souvent ciblées et présente un vrai risque pour votre environnement. Vous devez vraiment appliquer son correctif le plus tôt possible après sa publication, ou carrément supprimer l’application de votre environnement. Adobe Reader et Acrobat sont également des cibles de choix, et cela représente un grand nombre de vulnérabilités. Notre recommandation : déployez ces deux mises à jour très rapidement.

Apple a publié des mises à jour pour iTunes et iCloud, qui résolvent chacune plus de 10 vulnérabilités.

Vulnérabilités Adobe et Apple
Vulnérabilités Adobe et Apple – juillet 2018

Oracle va publier sa mise à jour CPU trimestrielle de juillet mardi 17, alors attendez-vous à toute une série de mises à jour Oracle y compris pour Java ! Ainsi, la mise à jour Java d’avril résolvait 14 vulnérabilités, dont 12 exploitables à distance sur le réseau. 3 d’entre elles étaient marquées comme étant de niveau CVSS 8.3. Java ne subit peut-être pas autant d’attaques « Zero Day » que par le passé, mais il reste une cible de choix parce que les pirates savent que, souvent, aucun correctif ne lui est appliqué. Si vous ne pouvez pas lui appliquer de correctifs, il faut verrouiller le système à l’aide d’autres méthodes. Interdisez l’accès direct à Internet, limitez l’accès aux seuls utilisateurs autorisés, et ajoutez à votre système des niveaux de protection supplémentaires, ainsi que des stratégies plus strictes pour protéger ce qui est désormais particulièrement tentant pour les pirates.