Microsoft a publié sa première mise à jour “Patch Tuesday” de 2019. Pour certains utilisateurs, ces correctifs sont toujours en cours de déploiement. Ces mises à jour inclut des correctifs pour 48 vulnérabilités de sécurité trouvées dans Windows ainsi que d’autres produits Microsoft.
Aucune des vulnérabilités corrigées n’aurait été exploitée pour l’instant.
Parmi celles-ci, 13 sont des vulnérabilités d’exécution de code à distance affectant les applications Office (Word, Visual Studio et le moteur de base de données Jet utilisé dans les applications de la suite Office).
Un total de 10 vulnérabilités corrigées auraient permis une élévation de privilèges, une classe de vulnérabilité qui permet à un attaquant, disposant au préalable d’un accès à un système, de prendre davantage le contrôle de celui-ci.
Cinq autres vulnérabilités d’exécution de code à distance affectent les deux navigateurs web de Microsoft, Edge et Internet Explorer.
Il convient de rappeler aux lecteurs que la disponibilité des correctifs ne signifie pas pour autant que votre ordinateur les a installés. Pour trouver et télécharger vous-même le correctif de la mise à jour cumulative de ce mois-ci, recherchez le terme “2019-01” sur le site Web Catalogue Microsoft Update.
Voici quelques détails supplémentaires sur quelques-unes des vulnérabilités les plus notables :
Le Client DHCP Windows
Microsoft a corrigé un bug critique d’exécution de code à distance, désigné par CVE-2019-0547.
Celui-ci a été trouvé par les chasseurs de bugs internes de Microsoft : aucun détail spécifique n’a été fourni, mais cette vulnérabilité est notable car les clients DHCP se trouvent sur tous les ordinateurs Windows et fonctionnent en tant que services réseau sans interface utilisateur. Microsoft a dû le penser aussi, car il lui a attribué un score de base CVSS élevé : 9.8, le qualifiant ainsi de suffisamment sévère pour qu’il mérite toute votre attention.
On peut supposer qu’une vulnérabilité de client DHCP peut potentiellement compromettre le système lorsque la victime se connecte à un réseau non autorisé (un WiFi public potentiellement malveillant) ou, éventuellement, si une machine infectée agit en tant que serveur DHCP malveillant. Une telle attaque risque fort de se produire sans qu’elle ne soit visible par l’utilisateur ou qu’elle ne nécessite une quelconque action de la part de ce dernier.
Le navigateur web Edge
Les mises à jour importantes apportées à Edge incluent des correctifs pour quatre bugs critiques. Trois de ces vulnérabilités (CVE-2019-0539, CVE-2019-0567, CVE-2019-0568) affectent le moteur JavaScript Edge Chakra, et une autre (CVE-2019-0565) affecte le moteur de mise en page EdgeHTML. Un attaquant distant, utilisant un site web malveillant, pourrait exploiter l’une de ces vulnérabilités pour prendre le contrôle d’une machine Windows qui malheureusement y aurait eu accès.
Le moteur MSHTML d’Internet Explorer
La société a corrigé un bug, noté “Important” (CVE-2019-0541), qui permettait aux attaquants d’exécuter du code à distance sur la machine de la victime. Cet exploit tire parti d’un composant Microsoft Office intégré à Internet Explorer à condition que deux conditions soient remplies : tout d’abord que la victime visite un site web malveillant et ensuite que la victime interagisse avec la barre de menus du navigateur. Si ce bug ressemble à d’autres exploits d’Office, l’interaction peut consister à fermer ou à désactiver une boite de dialogue d’avertissement de sécurité, mais nous ne le savons pas précisément.
Hyper-V
La société a corrigé deux bugs critiques (CVE-2019-0550 et CVE-2019-0551) pouvant entraîner une “évasion” de la machine virtuelle, où le code d’une machine virtuelle invitée peut alors se retrouvé sur la machine hôte sur laquelle il est exécuté.
Les machines virtuelles sont souvent utilisées pour créer des environnements virtuels distincts dans lesquels des programmes non sécurisés peuvent être exécutés sans risque d’affecter l’ordinateur hôte. Une telle possibilité est donc inquiétante pour ceux qui utilisent Hyper-V à cette fin. La société de sécurité chinoise 360 Qihoo a revendiqué être à l’origine du signalement de ce bug d’évasion Hyper-V à Microsoft, ayant rapporté au chercheur une prime bug bounty de 200 000$ (environ 175 000€). Pas mal n’est-ce pas ! Le programme Bug Bounty de Microsoft offre, pour les bugs Hyper-V, des récompenses parmi les plus élevées distribuées par l’entreprise.
Comment Sophos traite ces menaces ?
Sophos a publié les détections suivantes pour traiter les vulnérabilités mentionnées ci-dessus. Veuillez noter que des vulnérabilités additionnelles et la détection correspondante pourraient être publiées ultérieurement.
N/V = Non Validé. Le code de la preuve-de-concept fourni avec les avertissements MAPP n’inclut pas les exploits actifs et n’est donc pas applicable aux tests Intercept X. La capacité de l’IX à bloquer l’exploit dépend de l’approche actuelle en matière de charge malveillante associée à l’exploit, que nous ne pouvons pas cibler tant que nous ne le détectons pas dans le monde réel. Les détections SAV et IPS développées pour les PoC ne garantissent pas l’interception d’attaques sur le terrain.
TBA = à ajouter.
Combien de temps faut-il pour que la détection Sophos soit en place ?
Notre objectif est d’ajouter la détection aux problèmes critiques en fonction du type et de la nature des vulnérabilités et ce dès que possible. Veuillez noter que certaines détections peuvent ne pas être disponibles en raison de la disponibilité des données.
Il est généralement difficile de tester avec Intercept-X en raison de la nature des données que nous recevons.
Billet inspiré de DHCP, Edge, Office, Hyper-V Receive Critical New Year Updates, du Blog Sophos.
Qu’en pensez-vous ? Laissez un commentaire.