patch tuesday
Recherche sur les menaces

Patch Tuesday du mois de juillet : une très bonne récolte

Plus d'une centaine de correctifs Windows, un avis à fort impact et l’apparition d’un invité surprise… Internet Explorer ?!

Version 2 [Mise à jour 1] publiée à 18h25 UTC, le 14 juillet 2023, ajoutant des informations sur CVE-2023-36884 et mettant à jour les chiffres de manière globale.

Publié initialement à 18h38 UTC le 11 juillet 2023]

Microsoft vient de publier des correctifs pour 130 vulnérabilités dont 8 problèmes de gravité ‘Critique’ dans Windows et deux autres dans SharePoint. Comme d’habitude, le plus grand nombre de vulnérabilités traitées dans ce Patch Tuesday concerne Windows avec 105 CVE, dont deux qui affectent également Azure et une (CVE-2023-36884) qui affecte également Office. Office reçoit 10 correctifs, dont trois qu’il partage avec Outlook, un qu’il partage avec Windows comme indiqué ci-dessus et un autre qu’il partage avec Access. SharePoint en reçoit cinq. Azure en reçoit quatre, bien que deux d’entre eux soient partagés avec Windows, comme indiqué ci-dessus. Microsoft Dynamics en reçoit deux. Visual Studio et .NET partagent un correctif et chacun en reçoit un autre.

Microsoft publie également trois avis qui méritent d’être examinés de plus près. ADV230001, “Conseils concernant les pilotes signés Microsoft utilisés à des fins malveillantes/Guidance on Microsoft Signed Drivers Being Used Maliciously“, traite un problème d’exploit actif présent dans plusieurs produits. Pour un examen approfondi de la situation, notamment le rôle de Sophos X-Ops dans cette découverte, veuillez consulter l’article ci-joint ; Microsoft a également publié un article Knowledge Base à ce sujet. ADV230002, “Conseils de Microsoft pour traiter le contournement de la fonctionnalité de sécurité dans les modules Trend Micro EFI/Microsoft Guidance for Addressing Security Feature Bypass in Trend Micro EFI Modules“, est également inclus ce mois-ci, tout comme ADV990001, couvrant les dernières mises à jour de Servicing Stack.

En plus du problème détaillé dans ADV230001, Microsoft signale cinq CVE corrigées, toutes de gravité ‘Importante‘, comme étant exploitées activement sur le terrain. Deux d’entre elles (CVE-2023-32049, CVE-2023-35311) sont des problèmes de contournement de sécurité. Dans le premier cas, un attaquant utilisant CVE-2023-32049 pourrait envoyer à une cible une URL spécialement conçue qui, en cliquant dessus, pourrait contourner l’invite habituelle ‘Ouvrir un fichier’ et son avertissement de sécurité ; de même, dans ce dernier cas, une URL spécialement conçue pourrait entraîner le contournement de l’invite de l’avis de sécurité d’Outlook. CVE-2023-63884 fait également l’objet d’une exploitation active dans le cadre de ce que l’on appelle actuellement “l’attaque Storm-0978” contre le gouvernement américain (vous trouverez ci-dessous plus d’informations sur CVE-2023-36884, notamment les protections Sophos mises en œuvre). Les deux autres problèmes exploités activement sont des problèmes d’élévation de privilèges touchant MSHTML et le service Windows Error Reporting.

De plus, Microsoft prévient que trois des problèmes Windows et deux des problèmes SharePoint traités sont plus susceptibles d’être exploités dans les versions les plus récentes ou antérieures du produit concerné (c’est-à-dire dans les 30 prochains jours).

Au-delà de cette mise à jour, Microsoft a également fourni des informations sur trois CVE Adobe (CVE-2023-29298, CVE-2023-29300, CVE-2023-29301) corrigées aujourd’hui dans le Bulletin APSB23-40. Toutes les trois touchent ColdFusion et affectent CF2018 update 16, CF2021 update 6, CF2023 GA Release (2023.0.0) et versions antérieures, et Adobe déclare que les trois sont moins susceptibles d’être exploitées au cours des 30 prochains jours. Aucune des trois n’a été divulguée jusque là.

Nous inclurons à la fin de cet article trois annexes répertoriant tous les correctifs Microsoft du mois, triés par gravité, exploitation potentielle et famille de produits.

Quelques chiffres

  • Nombre total de CVE Microsoft : 130
  • Nombre total d’avis contenus dans la mise à jour : 3
  • Divulgation(s) publique(s) : 0
  • Exploitation(s) : 6 (y compris ADV230001)
  • Gravité :
    • Critique : 9
    • Importante : 121
  • Impact :
    • Élévation de privilèges : 35
    • Exécution de code à distance (RCE) : 36
    • Déni de service : 22
    • Divulgation d’informations : 19
    • Contournement de la fonctionnalité de sécurité : 12
    • Usurpation : 6

patch tuesday

Figure 1 : Un nombre identique de problèmes RCE et EoP ce mois-ci sont rejoints par une récolte exceptionnelle en matière de contournement de la fonctionnalité de sécurité, dont un de classe ‘Critique’.

Produits

  • Windows (avec 2 correctifs partagés avec Azure et un partagé avec Office) : 105
  • Office (avec un correctif partagé avec Access, un partagé avec Windows et 3 partagés avec Outlook) : 10
  • SharePoint : 5
  • Azure : 3
  • Outlook : 3
  • .NET (avec un correctif partagé avec Visual Studio) : 2
  • Dynamics 365 : 2
  • Visual Studio (avec un correctif partagé avec .NET) : 2
  • Access (correctif partagé avec Office) : 1
  • common_utils.py : 1
  • Defender : 1
  • Mono : 1
  • VP9 Video Extensions : 1

patch tuesday

Figure 2 : De nombreuses familles de produit font leur apparition dans le Patch Tuesday de juillet, mais Windows continue de faire la course en tête (pour les correctifs partagés par plusieurs familles, les nombres ci-dessus reflètent une instance pour chaque famille affectée : par exemple, Visual Studio et .NET ont chacun un correctif et partagent un correctif, donc dans ce tableau, chacun se retrouve associé à deux correctifs)

Mises à jour majeures du mois de juillet

ADV230001 : Conseils concernant les pilotes signés Microsoft utilisés à des fins malveillantes/ Guidance on Microsoft Signed Drivers Being Used Maliciously

La découverte de pilotes certifiés par le MWHDP (Microsoft Window Hardware Developer Program) qui étaient utilisés de manière malveillante dans des activités de post-exploitation, selon le texte de l’avis émis par Microsoft, permettra de développer “des solutions à long terme pour lutter contre ces pratiques trompeuses et empêcher de futures impacts sur les clients”. En attendant, veuillez consulter “Microsoft révoque les pilotes malveillants suite au dernier Patch Tuesday” pour obtenir des informations détaillées sur nos découvertes.

CVE-2023-36884 : Vulnérabilité d’exécution de code à distance dans Office et Windows HTML

Cette vulnérabilité est une RCE affectant à la fois Windows et Office. Pour l’exploiter avec succès, un attaquant doit créer un document Office malveillant et convaincre la victime de l’ouvrir. Le problème réside dans une clé de registre non documentée liée à MSHTML (le moteur Internet Explorer hébergé par diverses applications Microsoft), c’est pourquoi Windows et Office sont concernés. Il s’agit de la vulnérabilité actuellement connue pour être liée aux attaques Storm-0978 contre le gouvernement américain ; Microsoft attribue à celle-ci son deuxième niveau de gravité le plus élevé, ‘Important’, et a donné un certain nombre de conseils spécifiques, et fait des observations concernant l’attaque elle-même.

Sur la base de notre analyse des informations disponibles, les clients Sophos disposent déjà de plusieurs couches de protection contre les techniques utilisées dans l’attaque signalée et ses composants, comme indiqué ci-dessous :

  • Document malveillant présent dans un email de phishing : une détection Sophos disponible depuis 2018 protège contre ce type d’attaque.
  • Iframe, composants CHM et outil d’attaque Impacket : d’autres détections antimalware Sophos protègent contre ces derniers.
  • Activité post-exploitation, notamment le vol d’identifiants et le déplacement latéral : plusieurs détections Sophos des comportements au runtime protègent contre ces attaques.
  • Charge virale de ransomware signalée dans l’attaque RomCom : CryptoGuard protège contre cette attaque.

Enfin, certains rapports publics indiquent que MSDT.EXE fait partie de la chaîne d’attaque. Bien que nous n’ayons pas validé s’il faisait vraiment partie de cette chaîne, MSDT.EXE est bloqué par le verrouillage de HitMan Pro, une contre-mesure que nous avons introduite en réponse aux attaques de Follina de mai 2022.

CVE-2023-35352 : Vulnérabilité de contournement de la fonctionnalité de sécurité dans Windows Remote Desktop

Ce problème côté serveur est le seul correctif de classe ‘Critique‘ non-RCE du mois de juillet, et Microsoft estime qu’il est plus susceptible d’être exploité dans les 30 prochains jours. Un attaquant qui parviendrait à exploiter CVE-2023-35352 pourrait contourner l’authentification par certificat ou par clé privée lors de l’établissement d’une session RDP (Remote Desktop Protocol).

CVE-2023-35308 : Vulnérabilité de contournement de la fonctionnalité de sécurité dans la plateforme Windows MSHTML

CVE-2023-35336 : Vulnérabilité de contournement de la fonctionnalité de sécurité dans la plateforme Windows MSHTML

Voici donc des vulnérabilités que vous ne vous attendiez probablement pas à voir aujourd’hui : à savoir des correctifs pour Internet Explorer. Nous avons abordé CVE-2023-36884 plus haut, qui comme ces dernières est un problème au niveau de MSHTML. Bien qu’IE et même Edge Legacy soient obsolètes, MSHTML, EdgeHTML et les programmes de scripting qui les sous-tendent sont toujours très présents dans Windows. Microsoft indique donc que toutes les versions de Windows à l’exception de Server 2008, Server 2008 R2 et Server 2012 sont concernées, et que les clients qui ont installé uniquement les mises à jour de sécurité doivent aussi installer les mises à jour cumulatives IE pour résoudre ce problème. Ce ne sont pas les seules vulnérabilités MSHTML du Patch Tuesday de ce mois-ci, ni les plus préoccupantes : CVE-2023-32046, un problème d’élévation de privilèges de classe ‘Importante‘, est exploité activement sur le terrain, mais il est vraiment étrange de voir le fantôme de sérieuses vulnérabilités Internet Explorer continuer de hanter, encore et toujours, le Patch Tuesday en 2023.

CVE-2023-35333 : Vulnérabilité d’exécution de code à distance dans MediaWiki PandocUpload Extension

CVE-2023-35373 : Vulnérabilité d’usurpation dans Mono Authenticode Validation

Ces deux éléments sont issus de familles de produit un peu moins connues des habitués du Patch Tuesday. Les extensions MediaWiki sont développées par Microsoft pour un usage interne, mais sont accessibles au public via le GitHub de Microsoft ; Mono est le vénérable framework logiciel open source compatible avec .NET. Les deux vulnérabilités sont jugées par Microsoft comme moins susceptibles d’être exploitées dans les 30 prochains jours, aucune n’est censée être exploitée sur le terrain, et les deux ont été divulguées en coopération à Microsoft.

patch tuesday

Figure 3 : Au cours de l’année, les failles d’exécution de code à distance continuent de dominer l’ensemble du Patch Tuesday

Les protections de Sophos

CVE Sophos Intercept X / Endpoint IPS Sophos XGS Firewall
CVE-2023-33157 2308554 2308554
CVE-2023-35311 2308549 2308549
CVE-2023-36874 Exp/2336874-A

Comme c’est le cas tous les mois, si vous ne voulez pas attendre que votre système installe lui-même les mises à jour, vous pouvez les télécharger manuellement à partir du site Web Windows Update Catalog. Lancez l’outil winver.exe pour connaître la version de Windows 10 ou 11 que vous utilisez, puis téléchargez le package de mise à jour cumulative pour l’architecture et le numéro de build correspondant à votre système.

Annexe A : Impact et gravité des vulnérabilités

Il s’agit d’une liste des correctifs du mois de juillet triés en fonction de l’impact, puis de la gravité. Chaque liste est ensuite organisée par CVE.

Exécution de code à distance (36 CVE)

Gravité critique
CVE-2023-32057 Vulnérabilité d’exécution de code à distance dans Microsoft Message Queuing
CVE-2023-33157 Vulnérabilité d’exécution de code à distance dans Microsoft SharePoint
CVE-2023-33160 Vulnérabilité d’exécution de code à distance dans Microsoft SharePoint Server
CVE-2023-35297 Vulnérabilité d’exécution de code à distance dans Windows Pragmatic General Multicast (PGM)
CVE-2023-35315 Vulnérabilité d’exécution de code à distance dans Windows Hyper-V
CVE-2023-35365 Vulnérabilité d’exécution de code à distance dans Windows Routing and Remote Access Service (RRAS)
CVE-2023-35366 Vulnérabilité d’exécution de code à distance dans Windows Routing and Remote Access Service (RRAS)
CVE-2023-35367 Vulnérabilité d’exécution de code à distance dans Windows Routing and Remote Access Service (RRAS)
Gravité importante
CVE-2023-32033 Vulnérabilité d’exécution de code à distance dans Microsoft Cluster Server Service
CVE-2023-32038 Vulnérabilité d’exécution de code à distance dans Microsoft ODBC Driver
CVE-2023-32047 Vulnérabilité d’exécution de code à distance dans Paint 3D
CVE-2023-32051 Vulnérabilité d’exécution de code à distance dans Raw Image Extension
CVE-2023-33134 Vulnérabilité d’exécution de code à distance dans Microsoft SharePoint Server
CVE-2023-33149 Vulnérabilité d’exécution de code à distance dans Microsoft Office
CVE-2023-33152 Vulnérabilité d’exécution de code à distance dans Microsoft Access
CVE-2023-33153 Vulnérabilité d’exécution de code à distance dans Microsoft Outlook
CVE-2023-33158 Vulnérabilité d’exécution de code à distance dans Microsoft Excel
CVE-2023-33161 Vulnérabilité d’exécution de code à distance dans Microsoft Excel
CVE-2023-33163 Vulnérabilité d’exécution de code à distance dans Windows Network Load Balancing
CVE-2023-35300 Vulnérabilité d’exécution de code à distance dans Remote Procedure Call Runtime
CVE-2023-35302 Vulnérabilité d’exécution de code à distance dans Microsoft PostScript et PCL6 Class Printer Driver
CVE-2023-35309 Vulnérabilité d’exécution de code à distance dans Microsoft Message Queuing
CVE-2023-35310 Vulnérabilité d’exécution de code à distance dans Windows DNS
CVE-2023-35313 Vulnérabilité d’exécution de code à distance dans Windows Online Certificate Status Protocol (OCSP) SnapIn
CVE-2023-35322 Vulnérabilité d’exécution de code à distance dans Windows Deployment Services
CVE-2023-35323 Vulnérabilité d’exécution de code à distance dans Windows OLE
CVE-2023-35333 Vulnérabilité d’exécution de code à distance dans  Media-Wiki Extensions
CVE-2023-35343 Vulnérabilité d’exécution de code à distance dans Windows Geolocation Service
CVE-2023-35344 Vulnérabilité d’exécution de code à distance dans Windows DNS
CVE-2023-35345 Vulnérabilité d’exécution de code à distance dans Windows DNS
CVE-2023-35346 Vulnérabilité d’exécution de code à distance dans Windows DNS
CVE-2023-35350 Vulnérabilité d’exécution de code à distance dans Windows Active Directory Certificate Services (AD CS)
CVE-2023-35351 Vulnérabilité d’exécution de code à distance dans Windows Active Directory Certificate Services (AD CS)
CVE-2023-35374 Vulnérabilité d’exécution de code à distance dans Paint 3D
CVE-2023-36867 Vulnérabilité d’exécution de code à distance dans Visual Studio Code GitHub Pull Requests and Issues Extension
CVE-2023-36884 Vulnérabilité d’exécution de code à distance dans Office Windows HTML

Élévation de privilèges (35 CVE)

Gravité importante
CVE-2023-21756 Vulnérabilité d’élévation de privilèges dans Windows Win32k
CVE-2023-32046 Vulnérabilité d’élévation de privilèges dans Windows MSHTML Platform
CVE-2023-32050 Vulnérabilité d’élévation de privilèges dans Windows Installer
CVE-2023-32053 Vulnérabilité d’élévation de privilèges dans Windows Installer
CVE-2023-32054 Vulnérabilité d’élévation de privilèges dans Volume Shadow Copy
CVE-2023-32055 Vulnérabilité d’élévation de privilèges dans Active Template Library
CVE-2023-32056 Vulnérabilité d’élévation de privilèges dans Windows Update Stack
CVE-2023-33127 Vulnérabilité d’élévation de privilèges dans .NET et Visual Studio
CVE-2023-33148 Vulnérabilité d’élévation de privilèges dans Microsoft Office
CVE-2023-33154 Vulnérabilité d’élévation de privilèges dans Windows Partition Management Driver
CVE-2023-33155 Vulnérabilité d’élévation de privilèges dans Windows Cloud Files Mini Filter Driver
CVE-2023-33156 Vulnérabilité d’élévation de privilèges dans Microsoft Defender
CVE-2023-35299 Vulnérabilité d’élévation de privilèges dans Windows Common Log File System Driver
CVE-2023-35303 Vulnérabilité d’exécution de code à distance dans USB Audio Class System Driver
CVE-2023-35304 Vulnérabilité d’élévation de privilèges dans Windows Kernel
CVE-2023-35305 Vulnérabilité d’élévation de privilèges dans Windows Kernel
CVE-2023-35312 Vulnérabilité d’élévation de privilèges dans Microsoft VOLSNAP.SYS
CVE-2023-35317 Vulnérabilité d’élévation de privilèges dans Windows Update Stack
CVE-2023-35320 Vulnérabilité d’élévation de privilèges dans Connected User Experiences and Telemetry
CVE-2023-35328 Vulnérabilité d’élévation de privilèges dans Windows Transaction Manager
CVE-2023-35337 Vulnérabilité d’élévation de privilèges dans Win32k
CVE-2023-35340 Vulnérabilité d’élévation de privilèges dans Windows CNG Key Isolation Service
CVE-2023-35342 Vulnérabilité d’élévation de privilèges dans Windows Image Acquisition
CVE-2023-35347 Vulnérabilité d’élévation de privilèges dans Microsoft Store Install Service
CVE-2023-35353 Vulnérabilité d’élévation de privilèges dans Connected User Experiences and Telemetry
CVE-2023-35355 Vulnérabilité d’élévation de privilèges dans Windows Cloud Files Mini Filter Driver
CVE-2023-35356 Vulnérabilité d’élévation de privilèges dans Windows Kernel
CVE-2023-35357 Vulnérabilité d’élévation de privilèges dans Windows Kernel
CVE-2023-35358 Vulnérabilité d’élévation de privilèges dans Windows Kernel
CVE-2023-35360 Vulnérabilité d’élévation de privilèges dans Windows Kernel
CVE-2023-35361 Vulnérabilité d’élévation de privilèges dans Windows Kernel
CVE-2023-35362 Vulnérabilité d’élévation de privilèges dans Windows Clip Service
CVE-2023-35363 Vulnérabilité d’élévation de privilèges dans Windows Kernel
CVE-2023-35364 Vulnérabilité d’élévation de privilèges dans Windows Kernel
CVE-2023-36874 Vulnérabilité d’élévation de privilèges dans Windows Error Reporting Service

Déni de service (22 CVE)

Gravité importante
CVE-2023-32034 Vulnérabilité de déni de service dans Remote Procedure Call Runtime
CVE-2023-32035 Vulnérabilité de déni de service dans Remote Procedure Call Runtime
CVE-2023-32044 Vulnérabilité de déni de service dans Microsoft Message Queuing
CVE-2023-32045 Vulnérabilité de déni de service dans Microsoft Message Queuing
CVE-2023-32084 Vulnérabilité de déni de service dans HTTP.sys
CVE-2023-33164 Vulnérabilité de déni de service dans Remote Procedure Call Runtime
CVE-2023-33166 Vulnérabilité de déni de service dans Remote Procedure Call Runtime
CVE-2023-33167 Vulnérabilité de déni de service dans Remote Procedure Call Runtime
CVE-2023-33168 Vulnérabilité de déni de service dans Remote Procedure Call Runtime
CVE-2023-33169 Vulnérabilité de déni de service dans Remote Procedure Call Runtime
CVE-2023-33172 Vulnérabilité de déni de service dans Remote Procedure Call Runtime
CVE-2023-33173 Vulnérabilité de déni de service dans Remote Procedure Call Runtime
CVE-2023-35298 Vulnérabilité de déni de service dans HTTP.sys
CVE-2023-35314 Vulnérabilité de déni de service dans Remote Procedure Call Runtime
CVE-2023-35318 Vulnérabilité de déni de service dans Remote Procedure Call Runtime
CVE-2023-35319 Vulnérabilité de déni de service dans Remote Procedure Call Runtime
CVE-2023-35321 Vulnérabilité de déni de service dans Windows Deployment Services
CVE-2023-35329 Vulnérabilité de déni de service dans Windows Authentication
CVE-2023-35330 Vulnérabilité de déni de service dans Windows Extended Negotiation
CVE-2023-35331 Vulnérabilité de déni de service dans Windows Local Security Authority (LSA)
CVE-2023-35338 Vulnérabilité de déni de service dans Windows Peer Name Resolution Protocol
CVE-2023-35339 Vulnérabilité de déni de service dans Windows CryptoAPI

Divulgation d’informations (19 CVE)

Gravité importante
CVE-2023-21526 Vulnérabilité de divulgation d’informations dans Windows Netlogon
CVE-2023-32037 Vulnérabilité de divulgation d’informations dans Windows Layer 2 Tunneling Protocol (L2TP)
CVE-2023-32039 Vulnérabilité de divulgation d’informations dans Microsoft PostScript et PCL6 Class Printer Driver
CVE-2023-32040 Vulnérabilité de divulgation d’informations dans Microsoft PostScript et PCL6 Class Printer Driver
CVE-2023-32041 Vulnérabilité de divulgation des informations dans Windows Update Orchestrator Service
CVE-2023-32042 Vulnérabilité de divulgation d’informations dans OLE Automation
CVE-2023-32083 Vulnérabilité de divulgation d’informations dans Windows Failover Cluster
CVE-2023-32085 Vulnérabilité de divulgation d’informations dans Microsoft PostScript et PCL6 Class Printer Driver
CVE-2023-33162 Vulnérabilité de divulgation d’informations dans Microsoft Excel
CVE-2023-33174 Vulnérabilité de divulgation d’informations dans Windows Kernel
CVE-2023-35296 Vulnérabilité de divulgation d’informations dans Microsoft PostScript et PCL6 Class Printer Driver
CVE-2023-35306 Vulnérabilité de divulgation d’informations dans Microsoft PostScript et PCL6 Class Printer Driver
CVE-2023-35316 Vulnérabilité de divulgation d’informations dans Remote Procedure Call Runtime
CVE-2023-35324 Vulnérabilité de divulgation d’informations dans Microsoft PostScript et PCL6 Class Printer Driver
CVE-2023-35325 Vulnérabilité de divulgation d’informations dans Windows Print Spooler
CVE-2023-35326 Vulnérabilité de divulgation d’informations dans Windows CDP User Components
CVE-2023-35341 Vulnérabilité de divulgation d’informations dans Windows Media
CVE-2023-36868 Vulnérabilité de divulgation d’informations dans Service Fabric sous Windows
CVE-2023-36872 Vulnérabilité de divulgation d’informations dans VP9 Video Extensions

Contournement de la fonctionnalité de sécurité (12 CVE)

Gravité critique
CVE-2023-35352 Vulnérabilité de contournement de la fonctionnalité de sécurité dans Windows Remote Desktop
Gravité importante
CVE-2023-32043 Vulnérabilité de contournement de la fonctionnalité de sécurité dans Windows Remote Desktop
CVE-2023-32049 Vulnérabilité de contournement de la fonctionnalité de sécurité dans Windows SmartScreen
CVE-2023-33150 Vulnérabilité de contournement de la fonctionnalité de sécurité dans Microsoft Office
CVE-2023-33165 Vulnérabilité de contournement de la fonctionnalité de sécurité dans Microsoft SharePoint Server
CVE-2023-33170 Vulnérabilité de contournement de la fonctionnalité de sécurité dans ASP.NET Core
CVE-2023-35308 Vulnérabilité de contournement de la fonctionnalité de sécurité dans Windows MSHTML Platform
CVE-2023-35311 Vulnérabilité de contournement de la fonctionnalité de sécurité dans Microsoft Outlook
CVE-2023-35332 Contournement de la fonctionnalité de sécurité dans Windows Remote Desktop Protocol
CVE-2023-35336 Vulnérabilité de contournement de la fonctionnalité de sécurité dans Windows MSHTML Platform
CVE-2023-35348 Vulnérabilité de contournement de la fonctionnalité de sécurité dans Azure Active Directory
CVE-2023-36871 Vulnérabilité de contournement de la fonctionnalité de sécurité dans Azure Active Directory

Usurpation (6 CVE)

Gravité importante
CVE-2023-29347 Vulnérabilité d’usurpation dans Windows Admin Center
CVE-2023-32052 Vulnérabilité d’usurpation dans Microsoft Power Apps
CVE-2023-33151 Vulnérabilité d’usurpation dans Microsoft Outlook
CVE-2023-33159 Vulnérabilité d’usurpation dans Microsoft SharePoint Server
CVE-2023-33171 Vulnérabilité Cross-site Scripting dans Microsoft Dynamics 365 (sur-site)
CVE-2023-35373 Vulnérabilité d’élévation de privilèges dans Mono Authenticode Validation

Annexe B : Exploitation potentielle

Il s’agit d’une liste des CVE du mois de juillet, établie par Microsoft, qui regroupe les vulnérabilités étant plus susceptibles d’être exploitées sur le terrain dans les 30 premiers jours suivant la publication du Patch Tuesday, ainsi que celles connues pour être déjà exploitées. Chaque liste est ensuite organisée par CVE.

Détection d’une exploitation
ADV230001 Conseils sur les pilotes signés Microsoft utilisés à des fins malveillantes
CVE-2023-32046 Vulnérabilité d’élévation de privilèges dans Windows MSHTML Platform
CVE-2023-32049 Vulnérabilité de contournement de la fonctionnalité de sécurité dans Windows SmartScreen
CVE-2023-35311 Vulnérabilité de contournement de la fonctionnalité de sécurité dans Microsoft Outlook
CVE-2023-36874 Vulnérabilité d’élévation de privilèges dans Windows Error Reporting Service
CVE-2023-36884 Vulnérabilité d’exécution de code à distance dans Office et Windows HTML
Exploitation probable
CVE-2023-21526 Vulnérabilité de divulgation d’informations dans Windows Netlogon
CVE-2023-33134 Vulnérabilité d’exécution de code à distance dans Microsoft SharePoint Server
CVE-2023-33157 Vulnérabilité d’exécution de code à distance dans Microsoft SharePoint
CVE-2023-35312 Vulnérabilité d’élévation de privilèges dans Microsoft VOLSNAP.SYS
CVE-2023-35352 Vulnérabilité de contournement de la fonctionnalité de sécurité dans Windows Remote Desktop

Annexe C : Produits affectés

Il s’agit d’une liste des correctifs du mois de juillet triés par famille de produits, puis ensuite par gravité. Chaque liste est ensuite organisée par CVE.

Windows (102 CVE)

Gravité critique
CVE-2023-32057 Vulnérabilité d’exécution de code à distance dans Microsoft Message Queuing
CVE-2023-35297 Vulnérabilité d’exécution de code à distance dans Windows Pragmatic General Multicast (PGM)
CVE-2023-35315 Vulnérabilité d’exécution de code à distance dans Windows Hyper-V
CVE-2023-35352 Vulnérabilité de contournement de la fonctionnalité de sécurité dans Windows Remote Desktop
CVE-2023-35365 Vulnérabilité d’exécution de code à distance dans Windows Routing and Remote Access Service (RRAS)
CVE-2023-35366 Vulnérabilité d’exécution de code à distance dans Windows Routing and Remote Access Service (RRAS)
CVE-2023-35367 Vulnérabilité d’exécution de code à distance dans Windows Routing and Remote Access Service (RRAS)
Gravité importante
CVE-2023-21526 Vulnérabilité de divulgation d’informations dans Windows Netlogon
CVE-2023-21756 Vulnérabilité d’élévation de privilèges dans Windows Win32k
CVE-2023-29347 Vulnérabilité d’usurpation dans Windows Admin Center
CVE-2023-32033 Vulnérabilité d’exécution de code à distance dans Microsoft Cluster Server Service
CVE-2023-32034 Vulnérabilité de déni de service dans Remote Procedure Call Runtime
CVE-2023-32035 Vulnérabilité de déni de service dans Remote Procedure Call Runtime
CVE-2023-32037 Vulnérabilité de divulgation d’informations dans Windows Layer 2 Tunneling Protocol (L2TP)
CVE-2023-32038 Vulnérabilité d’exécution de code à distance dans Microsoft ODBC Driver
CVE-2023-32039 Vulnérabilité de divulgation d’informations dans Microsoft PostScript et PCL6 Class Printer Driver
CVE-2023-32040 Vulnérabilité de divulgation d’informations dans Microsoft PostScript et PCL6 Class Printer Driver
CVE-2023-32041 Vulnérabilité de divulgation des informations dans Windows Update Orchestrator Service
CVE-2023-32042 Vulnérabilité de divulgation d’informations dans OLE Automation
CVE-2023-32043 Vulnérabilité de contournement de la fonctionnalité de sécurité dans Windows Remote Desktop
CVE-2023-32044 Vulnérabilité de déni de service dans Microsoft Message Queuing
CVE-2023-32045 Vulnérabilité de déni de service dans Microsoft Message Queuing
CVE-2023-32046 Vulnérabilité d’élévation de privilèges dans Windows MSHTML Platform
CVE-2023-32047 Vulnérabilité d’exécution de code à distance dans Paint 3D
CVE-2023-32049 Vulnérabilité de contournement de la fonctionnalité de sécurité dans Windows SmartScreen
CVE-2023-32050 Vulnérabilité d’élévation de privilèges dans Windows Installer
CVE-2023-32051 Vulnérabilité d’exécution de code à distance dans Raw Image Extension
CVE-2023-32053 Vulnérabilité d’élévation de privilèges dans Windows Installer
CVE-2023-32054 Vulnérabilité d’élévation de privilèges dans Volume Shadow Copy
CVE-2023-32055 Vulnérabilité d’élévation de privilèges dans Active Template Library
CVE-2023-32056 Vulnérabilité d’élévation de privilèges dans Windows Update Stack
CVE-2023-32083 Vulnérabilité de divulgation d’informations dans Windows Failover Cluster
CVE-2023-32084 Vulnérabilité de déni de service dans HTTP.sys
CVE-2023-32085 Vulnérabilité de divulgation d’informations dans Microsoft PostScript et PCL6 Class Printer Driver
CVE-2023-33154 Vulnérabilité d’élévation de privilèges dans Windows Partition Management Driver
CVE-2023-33155 Vulnérabilité d’élévation de privilèges dans Windows Cloud Files Mini Filter Driver
CVE-2023-33163 Vulnérabilité d’exécution de code à distance dans Windows Network Load Balancing
CVE-2023-33164 Vulnérabilité de déni de service dans Remote Procedure Call Runtime
CVE-2023-33166 Vulnérabilité de déni de service dans Remote Procedure Call Runtime
CVE-2023-33167 Vulnérabilité de déni de service dans Remote Procedure Call Runtime
CVE-2023-33168 Vulnérabilité de déni de service dans Remote Procedure Call Runtime
CVE-2023-33169 Vulnérabilité de déni de service dans Remote Procedure Call Runtime
CVE-2023-33172 Vulnérabilité de déni de service dans Remote Procedure Call Runtime
CVE-2023-33173 Vulnérabilité de déni de service dans Remote Procedure Call Runtime
CVE-2023-33174 Vulnérabilité de divulgation d’informations dans Windows Kernel
CVE-2023-35296 Vulnérabilité de divulgation d’informations dans Microsoft PostScript et PCL6 Class Printer Driver
CVE-2023-35298 Vulnérabilité de déni de service dans HTTP.sys
CVE-2023-35299 Vulnérabilité d’élévation de privilèges dans Windows Common Log File System Driver
CVE-2023-35300 Vulnérabilité d’exécution de code à distance dans Remote Procedure Call Runtime
CVE-2023-35302 Vulnérabilité d’exécution de code à distance dans Microsoft PostScript et PCL6 Class Printer Driver
CVE-2023-35303 Vulnérabilité d’exécution de code à distance dans USB Audio Class System Driver
CVE-2023-35304 Vulnérabilité d’élévation de privilèges dans Windows Kernel
CVE-2023-35305 Vulnérabilité d’élévation de privilèges dans Windows Kernel
CVE-2023-35306 Vulnérabilité de divulgation d’informations dans Microsoft PostScript et PCL6 Class Printer Driver
CVE-2023-35308 Vulnérabilité de contournement de la fonctionnalité de sécurité dans Windows MSHTML Platform
CVE-2023-35309 Vulnérabilité d’exécution de code à distance dans Microsoft Message Queuing
CVE-2023-35310 Vulnérabilité d’exécution de code à distance dans Windows DNS
CVE-2023-35312 Vulnérabilité d’élévation de privilèges dans Microsoft VOLSNAP.SYS
CVE-2023-35313 Vulnérabilité d’exécution de code à distance dans Windows Online Certificate Status Protocol (OCSP) SnapIn
CVE-2023-35314 Vulnérabilité de déni de service dans Remote Procedure Call Runtime
CVE-2023-35316 Vulnérabilité de divulgation d’informations dans Remote Procedure Call Runtime
CVE-2023-35317 Vulnérabilité d’élévation de privilèges dans Windows Update Stack
CVE-2023-35318 Vulnérabilité de déni de service dans Remote Procedure Call Runtime
CVE-2023-35319 Vulnérabilité de déni de service dans Remote Procedure Call Runtime
CVE-2023-35320 Vulnérabilité d’élévation de privilèges dans Connected User Experiences and Telemetry
CVE-2023-35321 Vulnérabilité de déni de service dans Windows Deployment Services
CVE-2023-35322 Vulnérabilité d’exécution de code à distance dans Windows Deployment Services
CVE-2023-35323 Vulnérabilité d’exécution de code à distance dans Windows OLE
CVE-2023-35324 Vulnérabilité de divulgation d’informations dans Microsoft PostScript et PCL6 Class Printer Driver
CVE-2023-35325 Vulnérabilité de divulgation d’informations dans Windows Print Spooler
CVE-2023-35326 Vulnérabilité de divulgation d’informations dans Windows CDP User Components
CVE-2023-35328 Vulnérabilité d’élévation de privilèges dans Windows Transaction Manager
CVE-2023-35329 Vulnérabilité de déni de service dans Windows Authentication
CVE-2023-35330 Vulnérabilité de déni de service dans Windows Extended Negotiation
CVE-2023-35331 Vulnérabilité de déni de service dans Windows Local Security Authority (LSA)
CVE-2023-35332 Contournement de la fonctionnalité de sécurité dans Windows Remote Desktop Protocol
CVE-2023-35336 Vulnérabilité de contournement de la fonctionnalité de sécurité dans Windows MSHTML Platform
CVE-2023-35337 Vulnérabilité d’élévation de privilèges dans Win32k
CVE-2023-35338 Vulnérabilité de déni de service dans Windows Peer Name Resolution Protocol
CVE-2023-35339 Vulnérabilité de déni de service dans Windows CryptoAPI
CVE-2023-35340 Vulnérabilité d’élévation de privilèges dans Windows CNG Key Isolation Service
CVE-2023-35341 Vulnérabilité de divulgation d’informations dans Windows Media
CVE-2023-35342 Vulnérabilité d’élévation de privilèges dans Windows Image Acquisition
CVE-2023-35343 Vulnérabilité d’exécution de code à distance dans Windows Geolocation Service
CVE-2023-35344 Vulnérabilité d’exécution de code à distance dans Windows DNS
CVE-2023-35345 Vulnérabilité d’exécution de code à distance dans Windows DNS
CVE-2023-35346 Vulnérabilité d’exécution de code à distance dans Windows DNS
CVE-2023-35347 Vulnérabilité d’élévation de privilèges dans Microsoft Store Install Service
CVE-2023-35348 Vulnérabilité de contournement de la fonctionnalité de sécurité dans Azure Active Directory (partagée avec Azure)
CVE-2023-35350 Vulnérabilité d’exécution de code à distance dans Windows Active Directory Certificate Services (AD CS)
CVE-2023-35351 Vulnérabilité d’exécution de code à distance dans Windows Active Directory Certificate Services (AD CS)
CVE-2023-35353 Vulnérabilité d’élévation de privilèges dans Connected User Experiences and Telemetry
CVE-2023-35355 Vulnérabilité d’élévation de privilèges dans Windows Cloud Files Mini Filter Driver
CVE-2023-35356 Vulnérabilité d’élévation de privilèges dans Windows Kernel
CVE-2023-35357 Vulnérabilité d’élévation de privilèges dans Windows Kernel
CVE-2023-35358 Vulnérabilité d’élévation de privilèges dans Windows Kernel
CVE-2023-35360 Vulnérabilité d’élévation de privilèges dans Windows Kernel
CVE-2023-35361 Vulnérabilité d’élévation de privilèges dans Windows Kernel
CVE-2023-35362 Vulnérabilité d’élévation de privilèges dans Windows Clip Service
CVE-2023-35363 Vulnérabilité d’élévation de privilèges dans Windows Kernel
CVE-2023-35364 Vulnérabilité d’élévation de privilèges dans Windows Kernel
CVE-2023-35374 Vulnérabilité d’exécution de code à distance dans Paint 3D
CVE-2023-36871 Vulnérabilité de contournement de la fonctionnalité de sécurité dans Azure Active Directory (partagée avec Azure)
CVE-2023-36874 Vulnérabilité d’élévation de privilèges dans Windows Error Reporting Service
CVE-2023-36884 Vulnérabilité d’exécution de code à distance dans Office et Windows HTML

Office (10 CVE)

Gravité importante
CVE-2023-33148 Vulnérabilité d’élévation de privilèges dans Microsoft Office
CVE-2023-33149 Vulnérabilité d’exécution de code à distance dans Microsoft Office
CVE-2023-33150 Vulnérabilité de contournement de la fonctionnalité de sécurité dans Microsoft Office
CVE-2023-33151 Vulnérabilité d’usurpation dans Microsoft Outlook (partagée avec Outlook)
CVE-2023-33152 Vulnérabilité d’exécution de code à distance dans Microsoft Access (partagée avec Access)
CVE-2023-33153 Vulnérabilité d’exécution de code à distance dans Microsoft Outlook partagée avec)
CVE-2023-33158 Vulnérabilité d’exécution de code à distance dans Microsoft Excel
CVE-2023-33161 Vulnérabilité d’exécution de code à distance dans Microsoft Excel
CVE-2023-33162 Vulnérabilité de divulgation d’informations dans Microsoft Excel
CVE-2023-35311 Vulnérabilité de contournement de la fonctionnalité de sécurité dans Microsoft Outlook (partagée avec Outlook)
CVE-2023-36884 Vulnérabilité d’exécution de code à distance dans Office et Windows HTML

SharePoint (5 CVE)

Gravité importante
CVE-2023-33157 Vulnérabilité d’exécution de code à distance dans Microsoft SharePoint
CVE-2023-33160 Vulnérabilité d’exécution de code à distance dans Microsoft SharePoint Server
CVE-2023-33134 Vulnérabilité d’exécution de code à distance dans Microsoft SharePoint Server
CVE-2023-33159 Vulnérabilité d’usurpation dans Microsoft SharePoint Server
CVE-2023-33165 Vulnérabilité de contournement de la fonctionnalité de sécurité de Microsoft SharePoint Server

Azure (3 CVE)

Gravité importante
CVE-2023-36868 Vulnérabilité de divulgation d’informations dans Service Fabric sous Windows
CVE-2023-35348 Vulnérabilité de contournement de la fonctionnalité de sécurité dans Azure Active Directory (partagée avec Windows)
CVE-2023-36871 Vulnérabilité de contournement de la fonctionnalité de sécurité dans Azure Active Directory (partagée avec Windows)

Outlook (3 CVE)

Gravité importante
CVE-2023-33151 Vulnérabilité d’usurpation dans Microsoft Outlook (partagée avec Office)
CVE-2023-33153 Vulnérabilité d’exécution de code à distance dans Microsoft Outlook (partagée avec Office)
CVE-2023-35311 Vulnérabilité de contournement de la fonctionnalité de sécurité dans Microsoft Outlook (partagée avec Office)

.NET (2 CVE)

Gravité importante
CVE-2023-33170 Vulnérabilité de contournement de la fonctionnalité de sécurité dans ASP.NET Core
CVE-2023-33127 Vulnérabilité d’élévation de privilèges dans .NET et Visual Studio

Dynamics 365 (2 CVE)

Gravité importante
CVE-2023-32052 Vulnérabilité d’usurpation dans Microsoft Power Apps
CVE-2023-33171 Vulnérabilité Cross-site Scripting dans Microsoft Dynamics 365 (sur-site)

Visual Studio (.NET exclus) (2 CVE)

Gravité importante
CVE-2023-33127 Vulnérabilité d’élévation de privilèges dans .NET et Visual Studio (partagée avec .NET)
CVE-2023-36867

 

Vulnérabilité d’exécution de code à distance dans Visual Studio Code GitHub Pull Requests and Issues Extension

Access (1 CVE)

Gravité importante
CVE-2023-33152 Vulnérabilité d’exécution de code à distance Microsoft Access (partagée avec Office)

common_utils.py (1 CVE)

Gravité importante
CVE-2023-35333 Vulnérabilité d’exécution de code à distance dans  Media-Wiki Extensions

Defender (1 CVE)

Gravité importante
CVE-2023-33156 Vulnérabilité d’élévation de privilèges dans Microsoft Defender

Mono (1 CVE)

Gravité importante
CVE-2023-35373 Vulnérabilité d’élévation de privilèges dans Mono Authenticode Validation

VP9 Video Extensions (1 CVE)

Gravité importante
CVE-2023-36872 Vulnérabilité de divulgation d’informations dans VP9 Video Extensions

Billet inspiré de Update 1: July’s Patch Tuesday: A rich harvest, sur le Blog Sophos.