Pourquoi est-ce important: “Patch Tuesday” est le terme non officiel utilisé par Microsoft pour sa publication mensuelle de corrections de bogues pour Windows et d’autres produits logiciels. Comme tous les deux mois depuis octobre 2003, Microsoft a corrigé de nombreuses failles en février qui pourraient faciliter les tâches malveillantes des pirates.
Hier, la Saint-Valentin était une journée pour les amoureux, les martyrs et les administrateurs système, car Microsoft a publié son lot mensuel de mises à jour de sécurité pour Windows et d’autres produits. Le Patch Tuesday de février 2023 a apporté des correctifs pour un nombre remarquable de bogues, dont trois failles zero-day dangereuses qui sont déjà exploitées par des pirates et des cybercriminels inconnus.
Selon le bulletin officiel de Microsoft, le Mises à jour de sécurité de février 2023 incluent des corrections de bogues pour plusieurs composants Windows, l’IDE Visual Studio, les composants Azure, .NET Framework, les applications Microsoft Office (Word, Publisher, OneNote, SharePoint), SQL Server et bien plus encore. Tout bien considéré, le nouveau Patch Tuesday devrait corriger 77 failles de sécurité individuelles.
Neuf des 77 failles ont été classées avec un niveau de gravité “critique”, car elles peuvent être exploitées pour permettre l’exécution de code à distance sur des systèmes vulnérables. Compte tenu du type de failles et des effets qu’elles pourraient avoir sur Windows et les autres logiciels concernés, Microsoft a classé les vulnérabilités comme suit : 12 vulnérabilités d’élévation des privilèges, 2 vulnérabilités de contournement des fonctionnalités de sécurité, 38 vulnérabilités d’exécution de code à distance, 8 vulnérabilités de divulgation d’informations, 10 Vulnérabilités de déni de service, 8 vulnérabilités d’usurpation d’identité. Un rapport complet sur tous les bogues résolus et les avis connexes a été publié par Bleeping Computer et est disponible ici.
Les failles de sécurité corrigées le 14 février n’incluent pas trois vulnérabilités dans le navigateur Edge, que Microsoft a déjà corrigées au début du mois. Les bogues les plus intéressants – et les plus dangereux – corrigés dans le Patch Tuesday de février incluent trois failles zero-day, dont deux ont été découvertes dans les composants Windows et la dernière dans Microsoft Publisher.
Connu comme CVE-2023-21823, le premier bogue zero-day est une “vulnérabilité d’exécution de code à distance du composant graphique Windows”, qui pourrait fournir des capacités d’exécution de code à distance avec les privilèges SYSTEM. Contrairement aux autres correctifs, le correctif CVE-2023-21823 est distribué via le Microsoft Store plutôt que via les canaux habituels de Windows Update. Les utilisateurs qui ont désactivé les mises à jour automatiques pour le Store recevront également cette mise à jour particulière.
Le deuxième bug zero-day est suivi comme CVE-2023-23376, et il s’agit d’une “vulnérabilité d’élévation des privilèges du pilote Windows Common Log File System” qu’un attaquant pourrait exploiter pour obtenir les privilèges SYSTEM. Enfin, le troisième bogue zero-day a été découvert dans Microsoft Publisher (CVE-2023-21715), et il pourrait être exploité par un document conçu de manière malveillante pour contourner les stratégies de macro Office et exécuter du code sans avertissement de l’utilisateur.
Les mises à jour de sécurité Windows pour février 2023 sont déjà distribuées via le service officiel Windows Update, les systèmes de gestion des mises à jour tels que WSUS, le Microsoft Store et en téléchargement direct à partir du catalogue Microsoft Update. Parmi les autres éditeurs de logiciels qui publient leurs mises à jour de sécurité en synchronisation avec le correctif de février de Microsoft, citons Adobe, Apple, Atlassian, Cisco, Google, Fortra et SAP.