En parallèle des correctifs exceptionnellement apportés à Windows XP et Server 2003, Microsoft a livré, ce deuxième mardi de juin, son traditionnel patch tuesday de sécurité désormais rebaptisé « Update Tuesday ». Et le moins qu’on puisse dire est qu’il est chargé. Pas moins de 94 brèches sont ainsi comblées. Dont 27 vulnérabilités autorisent des attaques menant au contrôle distant des machines par les assaillants. Soit plus du double environ des bulletins de sécurité publiés ces derniers mois.
Ceux qui appliquent la mise à jour automatique n’ont rien à faire pour protéger leurs environnements. Les administrateurs qui appliquent manuellement les correctifs vont devoir prioriser leurs mises à jour. L’éditeur de sécurité Qualys recommande de se concentrer sur la CVE-2017-8543 qui, selon Microsoft, est actuellement exploitée. « Les attaquants peuvent prendre le contrôle total de l’ordinateur victime en envoyant une demande SMB au service de recherche Windows », prévient Amol Sarwate, directeur du laboratoire des vulnérabilités chez Qualys. Sont visés les Windows Server 2016, 2012, 2012 R2, 2008, 2008 R2 (et 2003) tout comme les versions de bureau Windows 10, 7 et 8.1 (ainsi que XP).
Une autre vulnérabilité, la CVE-2017-8464 est également exploitée actuellement. Les attaquants peuvent, là aussi, prendre le contrôle des machines ciblées en s’appuyant sur une faille Windows LNK. La encore, l’ensemble des plates-formes Windows, serveurs et desktop, aujourd’hui supportées est concerné par la vulnérabilité. Des failles qu’il convient donc de combler au plus vite.
Moins urgentes mais non négligeables pour autant, les vulnérabilités CVE-2017-8527, CVE-2017-8528 et CVE-2017-0283 exploitent des défauts du moteur de rendu des fontes de Windows pour accéder à sa prise de contrôle. Il faut néanmoins réussir à amener l’utilisateur à visiter une page web spécifiquement infectieuse ou ouvrir un texte Unicode spécialement encodé pour exploiter ces failles.
Les entreprises utilisant Outlook comme client de messagerie sont avisées de l’existence de la CVE-2017-8507 qui ouvre la voie à la prise de contrôle complète du système à l’ouverture d’un e-mail « contagieux ». Ce même procédé de déclencher une attaque à l’ouverture d’un document Office se retrouve dans les CVE-2017-0260 et CVE-2017-8506. « Office est un vecteur d’exploitation relativement trivial pour les attaques par ingénierie sociale », rappelle Amol Sarwate.
Les navigateurs Edge et Internet Explorer ne sont pas épargnés par ce déluge de correctifs (que l’on retrouvera sur cette page). Ils sont notamment affectés par trois vulnérabilités, les CVE-2017-8498, CVE-2017-8530 et CVE-2017-8523, qui ouvrent la possibilité d’exécuter du code à distance. Elles sont d’autant plus prioritaires qu’elles sont aujourd’hui publiques même si aucune attaque n’a été signalée par Microsoft à ce jour. Notons enfin que les correctifs des CVE-2017-0291 et CVE-2017-0292 comblent des failles du PDF Windows, là encore pour éviter de l’exécution de code à distance.
Lire également
Microsoft rajoute une option à son Update Tuesday pour les admins
Patch Tuesday de Microsoft : zero days et antivirus corrigés
Plus de vulnérabilités pour Windows 10 que Windows 7 en 2016
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…