Nouvelles
Microsoft corrige les défauts du jour zéro dans la publication du correctif de sécurité de mars
Microsoft a publié des correctifs de sécurité sur "update Tuesday" afin de résoudre 64 vulnérabilités et expositions communes (CVE), généralement associées à des produits tels que Windows, les services Office et les navigateurs de Microsoft.
Le paquet de sécurité de mars comprenait 17 CVE notés «Critical» et 45 notés «Important», selon le décompte Zero Day Initiative (ZDI) de Trend Micro. Il y avait aussi un bulletin classé «Modéré» et un autre classé «Faible» en priorité.
Exploits actifs et publics
Selon l'analyse de Chris Goettl, directeur de la gestion des produits et de la sécurité chez Ivanti, deux des CVE ont été vus dans des exploits actifs, tandis que quatre ont été rendus publics, augmentant ainsi leur valeur pour les attaques potentielles. Ivanti envisage d'organiser une discussion sur les correctifs de mars de Microsoft le 13 mars, accessible via le portail "Patch Tuesday" d'Ivanti (avec enregistrement).
Les exploits actifs et les divulgations publiques sont des considérations plus importantes que les cotes de gravité lors de la détermination des priorités de correction, selon Goettl:
Nous conseillons aux clients Ivanti de ne pas compter uniquement sur la gravité du fournisseur ou même sur le score CVSS, car ils ne déclenchent que ce qui doit être déployé dans votre environnement. Les vulnérabilités exploitées, divulguées publiquement et ciblées sur les utilisateurs devraient également être prises en compte.
CVE 2019-0797 est une vulnérabilité qui a été "détectée dans la nature" ou qui est activement exploitée, mais elle n’est classée que "Important". Il s'agit d'un problème d'élévation des privilèges affectant Windows 8.1, Windows 10, Windows Server 2012 et Windows Server 2012 R2, ainsi que les versions «Server 1709, 1803, 2016 et 2019». Cette vulnérabilité a été utilisée dans l'attaque du jour zéro de Google Chrome rapportée la semaine dernière.
"Ce [CVE 2019-0797 bulletin] concerne Google Chrome CVE-2019-5786 qui exploitait cette vulnérabilité du système d’exploitation pour échapper au sandbox de sécurité destiné à empêcher les sessions du navigateur d’interagir avec le système d’exploitation ", a expliqué Goettl par courrier électronique.
CVE-2019-0808, un autre correctif pour l’élévation des privilèges qui a également été "détecté à l’état sauvage", est également lié au problème du jour zéro de Google Chrome. Il est également classé "Important" et concerne Windows 7, Windows Server 2008 et Windows Server 2008 R2.
Parmi les autres vulnérabilités révélées publiquement et traitées dans le lot de correctifs de ce mois-ci, on peut citer CVE-2019-0809, une faille d’exécution de code à distance dans Visual Studio; CVE-2019-0683, une faille d'élévation de privilège dans Active Directory; CVE-2019-0757, une faille de falsification du gestionnaire de paquets NuGet; et CVE-2019-0754, une faille de déni de service de Windows, selon Goettl.
Autres éléments notables
ZDI de Trend Micro a également cité quelques autres points à noter ce mois-ci. Par exemple, CVE-2019-0603 est une vulnérabilité d'exécution de code à distance du serveur TFTP (Trivial File Transfer Protocol) Windows Deployment Services, notée "Critique", qui "a été signalée à l'origine par le biais du programme ZDI". Il peut être implémenté en envoyant une requête à un serveur non corrigé. "Si vous utilisez WDS dans votre environnement, placez-le certainement en haut de votre liste de tests et de déploiements", a indiqué ZDI.
Un autre problème "critique" notable, selon ZDI, est une vulnérabilité d'exécution de code à distance du client DHCP (Dynamic Host Configuration Protocol) de Windows. Trois vulnérabilités DHCP ont été corrigées concernant ce problème, à savoir CVE-2019-0697, CVE-2019-0698 et CVE-2019-0726. L'exploit consiste à envoyer une réponse particulière à un client et nécessiterait probablement une attaque de type "homme du milieu", "mais un exploit réussi aurait de vastes conséquences", a indiqué ZDI.
Les chercheurs en sécurité de Talos de Cisco proposent également une analyse sous forme de liste des correctifs de ce mois-ci dans cet article de blog.
Monde de l'ordinateur L'écrivain Woody Leonhard a commenté dans un article de blog qu'il ne voyait pas grand chose qui nécessitait un correctif immédiat dans le paquet de mars de Microsoft jusqu'à présent.
Un élément non jugé digne d'un correctif par Microsoft est une attaque de validation de concept. Un attaquant peut modifier les messages de la boîte de dialogue Windows qui apparaissent après la modification du registre. Le problème est décrit dans cette histoire de Threatpost de Kaspersky Lab.
Comme d'habitude, Microsoft conserve une liste exhaustive des correctifs du mois dans sa page Guide de mise à jour de sécurité, qui répertorie 1 455 éléments sur 73 pages. Les mises à jour pour des produits spécifiques sont répertoriées dans cette page. Il existe également des notes de mise à jour, qui indiquent que trois avis de sécurité ont été publiés ce mois-ci.
Un des avis (ADV990001) répertorie les dernières mises à jour de la pile de maintenance. Une autre (ADV190008) répertorie les mises à jour de sécurité Adobe Flash. Le troisième avis (ADV190010) indique aux professionnels de l’informatique de ne plus utiliser un compte partagé pour les connexions Windows de différents utilisateurs, car cela constituerait un risque pour la sécurité. Les conseils semblent s’appliquer aux organisations utilisant des sessions des services Bureau à distance pour connecter les utilisateurs finaux.
Il y a aussi l'avis de sécurité ADV190009 publié ce mois-ci. Cet avis décrit la "publication par Microsoft de la prise en charge de la signalisation de code SHA-2 pour Windows 7 SP1 et Windows Server 2008 R2 SP1", ainsi que de Windows Server Update Services (WSUS). D'ici juillet 2019, Microsoft exigera que ces anciens systèmes d'exploitation prennent en charge la signature de code SHA-2 pour continuer à obtenir les mises à jour de Windows, selon le document de synthèse de Microsoft. Microsoft prévoit de déployer progressivement le support de SHA-2 dans ces systèmes d'exploitation, comme décrit dans le document.
Commentaires
Laisser un commentaire