Ce mois-ci, Microsoft a annoncé avoir corrigé un total de 73 vulnérabilités sur l’ensemble de sa gamme de produits. Treize de ces correctifs développés résolvent des problèmes désignés par Microsoft comme ‘Critiques’, à savoir le type de problème à traiter urgemment. L’entreprise a désigné 59 autres bugs supplémentaires comme étant ‘Importants’.
Les bugs découverts dans l’hyperviseur Hyper-V étaient les plus nombreux dans le Patch Tuesday de ce mois-ci. Microsoft a corrigé 9 vulnérabilités Hyper-V, dont cinq auraient pu être exploitées lors d’une attaque pour exécuter du code à distance. Les autres correctifs visent un groupe de composants qui font l’objet régulièrement de mises à jour de sécurité : le moteur de base de données Jet, la suite Microsoft Office360, divers moteurs de script (VBScript et Chakra) ainsi que le noyau Windows (Win32k, GDI, WSL).
Les correctifs concernant ces autres composants couvrent également toute la gamme de produits, et traitent des problèmes allant de la fuite de données sans grand intérêt à l’élévation de privilège, en passant par une potentielle exécution de code à distance.
Comme cela a été le cas récemment, Adobe a synchronisé la publication de sa mise à jour de sécurité ADV190026 (Critique) relative à Flash Player avec la sortie de ce Patch Tuesday. Les mises à jour des produits Adobe proviennent d’Adobe et peuvent ne pas être mises à jour dans le cadre du processus Windows Update.
Les SophosLabs ont détaillé les éléments les plus critiques du Patch Tuesday du mois de Novembre :
Hyper-V
(CVE-2019-0712, -0719, -0721, -1309, -1310, -1389, -1397, -1398, -1399)
Bien que les correctifs concernant le RDP aient dominé ces derniers mois, la mise à jour de ce mois-ci contient un nombre sensiblement élevé de correctifs Hyper-V. Quelques-unes des vulnérabilités corrigées (CVE-2019-0719, -0721) traitaient un problème lié à Hyper-V VmSwitch, qui aurait pu permettre à un attaquant d’exécuter du code sur le système d’exploitation hôte.
Ce que Microsoft désigne comme une “incapacité à valider correctement l’entrée d’un utilisateur authentifié au niveau d’un système d’exploitation invité” est plus communément qualifié par nous autres d’évasion d’une machine virtuelle, où le code malveillant s’exécutant sur cette dernière peut sortir de l’environnement virtuel de la machine hôte. Il s’agit d’un problème sérieux facilement résolu par une mise à jour.
Le noyau Windows
(CVE-2019-1393, -1394, -1395, -1396, -1408, -1434, -1436, -1440, -1441)
Microsoft a détecté et corrigé plusieurs vulnérabilités de corruption de mémoire dans les composants du noyau Win32k et GDI. Bien que ces vulnérabilités varient par leur nature (par exemple elles peuvent être de type use-after-free ou bien il peut s’agir de débordement de mémoire tampon), une exploitation réussie aurait permis à un attaquant d’élever localement ses privilèges, ou dans le cas d’un scénario à distance (et associé, au moins, à un exploit de navigateur), de telles vulnérabilités auraient pu être déclenchées à distance et permettre une évasion de la sandbox du navigateur, donnant ainsi à l’attaquant le plein contrôle de l’ordinateur affecté.
Les sous-systèmes Windows pour Linux
(CVE-2019-1416)
Bien que l’entreprise ne nous ait pas fourni d’informations détaillées sur cette vulnérabilité, Microsoft a jugé cette vulnérabilité dans le composant WSL (Windows Subsystem for Linux) de Windows suffisamment sérieuse pour la désigner comme “Importante” et lui consacrer un correctif.
La vulnérabilité elle-même est une situation de compétition (race condition) critique dans le sous-système Windows pour Linux, qui (en cas de succès) aurait pu permettre à un attaquant authentifié localement d’exécuter du code privilégié.
Les moteurs de script
(CVE-2019-1390, -1426, -1427, -1428, -1429)
Comme d’habitude, divers composants des moteurs de navigateur web de Microsoft (Internet Explorer / Edge / Chakra / VBScript) n’ont pas été épargnés par les mises à jour. Plusieurs vulnérabilités ont été trouvées, dont certaines auraient pu permettre l’exécution de code en visitant tout simplement une page.
Le guide Sophos des détections
Les produits Sophos de protection des systèmes endpoint et des réseaux ont émis les signatures suivantes, développées afin de détecter les tentatives d’exploitation qui cibleraient les vulnérabilités répertoriées ci-dessous :
CVE | SAV | IPS |
CVE-2019-1390 | Exp/20191390-A | 2301155 |
CVE-2019-1429 | Exp/20191429-A | 2301156 |
Combien de temps faut-il pour que la détection Sophos soit en place ?
Notre objectif est d’ajouter la détection au niveau des problèmes critiques en fonction du type et de la nature des vulnérabilités, et ce dès que possible. Dans de nombreux cas, les détections existantes intercepteront les tentatives d’exploitation sans avoir besoin de mises à jour.
Que faire si la vulnérabilité/0-day que vous recherchez n’est pas répertoriée ?
Si nous ne publions pas de mise à jour pour un exploit spécifique, la raison la plus probable est que nous n’avons pas reçu les données indiquant le fonctionnement de cet exploit dans le monde réel. Comme de nombreux exploits ce mois-ci ont été réalisés dans un laboratoire et n’ont pas été observés sur le terrain, personne ne dispose (encore) de suffisamment d’informations sur la manière dont les cybercriminels pourraient exploiter une vulnérabilité en particulier. Si ou quand nous recevrons des informations concernant de véritables attaques, nous créerons de nouvelles détections, si nécessaire.
Billet inspiré de Patch Tuesday targets Hyper-V virtual machines in November, 2019 updates, sur le Blog Sophos.