Qu’est-ce qui vient de se passer? Depuis 2003, Microsoft utilise “Patch Tuesday” comme définition non officielle de la publication mensuelle de correctifs de sécurité pour Windows et d’autres produits logiciels. Pour mars 2023, Redmond a corrigé deux vilaines failles zero-day que les cybercriminels parrainés par l’État et les opérations de ransomware ont déjà exploitées dans la nature.
Cette semaine, Microsoft a publié sa dernière collection de correctifs de sécurité. Par rapport à février 2023, le dernier lot de correctifs traite un nombre croissant de vulnérabilités, y compris quelques failles déjà exploitées.
Le bulletin de sécurité de Microsoft, mars, indique cette version comprend correctifs pour de nombreux composants et fonctionnalités de sécurité Windows, la technologie de virtualisation Hyper-V, Visual Studio, les programmes Office, etc. La mise à jour devrait corriger 83 failles de sécurité pour Windows et d’autres produits logiciels Microsoft.
Neuf des 83 faiblesses ont été classées comme “critiques”, ce qui signifie que les pirates pourraient les utiliser pour diverses attaques. Compte tenu du type de bogue et de son effet sur Windows et les autres logiciels concernés, les vulnérabilités appartiennent aux catégories suivantes : 21 vulnérabilités d’élévation de privilèges, 2 vulnérabilités de contournement des fonctionnalités de sécurité, 27 vulnérabilités d’exécution de code à distance, 15 vulnérabilités de divulgation d’informations, 4 déni de vulnérabilités de service, 10 vulnérabilités d’usurpation d’identité, 1 vulnérabilité Edge – Chromium.
Cette liste n’inclut pas les 21 vulnérabilités déjà corrigées par Microsoft dans le navigateur Edge avant la mise à jour Patch Tuesday. Ordinateur qui bipe publié un rapport complet répertoriant tous les bogues fermés et les avis associés. Le correctif de mars comprenait deux corrections de bogues zero-day, que Microsoft a confirmé que les pirates avaient activement exploités.
Le premier bogue zero-day est “Microsoft Outlook Elevation of Privilege Vulnerability (CVE-2023-23397).” Si elle est exploitée avec succès, la faille permet d’accéder au hachage Net-NTLMv2 d’un utilisateur, qu’un pirate peut utiliser “comme base d’une attaque de relais NTLM contre un autre service pour s’authentifier en tant qu’utilisateur”. Il n’est pas nécessaire de lire ou prévisualiser un e-mail, car le serveur déclencherait automatiquement la faille lors du traitement du message.
La deuxième faille zero-day est la “Vulnérabilité de contournement de la fonctionnalité de sécurité Windows SmartScreen (CVE-2023-24880).” Microsoft explique qu’un attaquant peut exploiter ce bogue en créant un fichier malveillant qui échapperait aux défenses Mark of the Web (MOTW) dans la fonction d’affichage protégé de Microsoft Office. Les chercheurs de Google ont découvert CVE-2023-24880, affirmant que les pirates l’avaient exploité. en utilisant le rançongiciel Magniber, notant qu’il est lié à un bogue précédent de type “zero-day” (CVE-2022-44698) corrigé par Microsoft en décembre.
Microsoft a distribué ses dernières mises à jour via le service officiel Windows Update, des systèmes de gestion des mises à jour tels que WSUS et des téléchargements directs (quoique massifs) via le catalogue Microsoft Update. Parmi les autres éditeurs de logiciels qui publient des mises à jour de sécurité synchronisées avec le Patch Tuesday de Microsoft, citons Apple, Cisco, Google, Fortinet, SAP et le géant de la sauvegarde Veeam.
