Patch Tuesday du mois de septembre : 59 CVE avec des correctifs pour presque tout le monde

Microsoft vient de publier des correctifs pour 59 vulnérabilités, dont 5 problèmes de gravité ‘Critique’ dans Azure, .Net/Visual Studio et Windows. Le plus grand nombre de vulnérabilités corrigées concerne Windows, avec 21 CVE, mais exceptionnellement, ce volume représente moins de la moitié du nombre total de correctifs. Windows est suivi par Visual Studio, avec 3 correctifs propres et 5 autres partagés avec .NET. 3D Builder et Office suivent avec 7 correctifs chacun. .NET en possède 6 dont 5 qu’il partage avec Visual Studio. Exchange en possède 5, dont 4 qui ont été effectivement publiés en août (nous en reparlerons dans une seconde) ; Azure en a 4 ; Dynamics en a 3. Defender, Microsoft Identity Linux Broker et SharePoint complètent la série avec un correctif chacun. Il n’y a aucun avis Microsoft dans le Patch Tuesday de ce mois-ci.

Le Patch Tuesday de septembre comprend également des informations, publiées plus tôt ce mois-ci, sur un correctif pour Adobe Acrobat Reader et quatre failles de gravité ‘Élevée’ dans Edge/Chromium. L’entreprise propose également des informations sur deux correctifs supplémentaires provenant de sociétés extérieures (Autodesk, Electron) qui affectent respectivement 3D Viewer et Visual Studio.

Au moment de la sortie de ce Patch Tuesday, deux problèmes sont connus pour être exploités sur le terrain. CVE-2023-36761 est une vulnérabilité de divulgation d’informations de classe ‘Importante’ dans Word accessible via le volet de visualisation ; CVE-2023-36802 est une faille d’élévation de privilèges de classe ‘Importante‘ dans Windows (en particulier dans le composant Microsoft Streaming Service Proxy). Selon l’entreprise, 12 vulnérabilités supplémentaires dans Windows et Exchange sont plus susceptibles d’être exploitées dans les 30 prochains jours suivant la publication de ce Patch Tuesday.

Exchange est dans une situation particulièrement sensible ce mois-ci, puisque quatre des correctifs concernant des problèmes du Patch Tuesday de septembre ont en fait été publiés en août mais, pour une raison inconnue, n’ont pas été mentionnés à ce moment-là. Étant donné que les correctifs étaient en fait disponibles pour une utilisation hostile depuis un mois déjà, Microsoft considère qu’ils sont plus susceptibles d’être exploités à un moment donné. Trois d’entre eux peuvent conduire à l’exécution de code à distance, tandis qu’un autre peut entraîner la divulgation d’informations ; tous sont de classe ‘Importante’. Les administrateurs Exchange doivent veiller à donner la priorité à ces correctifs.

Au sujet des versions antérieures, nous rappelons aux lecteurs qu’il s’agit de l’avant-dernier mois pour les correctifs Windows Server 2012/2012 R2 ; la vénérable version du système d’exploitation atteint la fin du support en octobre, et Microsoft a publié des conseils sur ce que les clients pouvaient faire ensuite. Soulignons également pas moins de neuf CVE ce mois-ci applicables sur Server 2008. Il existe également un correctif Office de gravité ‘Modérée’ couvrant les versions 2013 RT SP1 et SP1 de ce produit, qui ont toutes deux atteint la fin du support en avril prochain.

Nous inclurons à la fin de cet article trois annexes répertoriant tous les correctifs Microsoft du mois, triés par gravité, exploitation potentielle et famille de produits. Conformément aux conseils de Microsoft, nous traiterons les correctifs et les avis pour Adobe Acrobat Reader, Autodesk, Chromium/Edge et Electron uniquement comme des informations dans les tableaux et chiffres globaux qui vont suivre, sans les inclure donc, bien que nous ayons ajouté un tableau à la fin de cet article qui fournit de informations basiques sur ces éléments.

Quelques chiffres

• Nombre total de CVE Microsoft : 59
• Nombre total d’avis Microsoft : 0
• Nombre total d’avis externes contenus dans la mise à jour : 7
• Divulgation(s) publique(s) : 2
• Exploitation(s) : 2
• Gravité :
  • Critique : 5
  • Importante : 53
  • Modérée : 1
• Impact :
  • Exécution de code à distance : 21
  • Élévation de privilèges : 17
  • Divulgation d’informations : 10
  • Usurpation : 5
  • Déni de service : 3
  • Contournement des fonctionnalités de sécurité : 3

Figure 1 : Les vulnérabilités d’exécution de code à distance sont à nouveau en tête de liste pour ce mois de septembre

Produits

• Windows : 21
• Visual Studio : 8 (dont cinq avec .NET ; n’inclut pas ceux à titre indicatif via Electron)
• 3D Builder : 7
• Office : 7
• .NET : 6 (avec 5 correctifs partagés avec Visual Studio)
• Exchange : 5 (dont quatre correctifs publiés en août 2023)
• Azure : 4
• Dynamics : 3
• 3D Viewer : 1 (à titre indicatif, via Autodesk)
• Defender : 1
• Microsoft Identity Linux Broker : 1

Figure 2 : Les correctifs de septembre par famille de produits ; notez que le correctif de 3D Viewer émis par Autodesk n’est pas inclus dans ce graphique, bien qu’il soit inclus dans la liste des produits ci-dessus. Pour les éléments qui s’appliquent à plusieurs familles de produits (par exemple, les correctifs partagés par Visual Studio et .NET), le graphique représente les correctifs de chaque famille à laquelle ils s’appliquent, donnant ainsi l’impression que la charge de travail est légèrement plus lourde qu’elle ne le sera en pratique.

Mises à jour majeures du mois de septembre

En plus du contexte multi-CVE d’Exchange évoqué ci-dessus, quelques éléments sont intéressants à présenter.

CVE-2023-38146 : Vulnérabilité d’exécution de code à distance dans les Thèmes Windows

Les thèmes ne sont peut-être pas les premières fonctionnalités de Windows qui viennent à l’esprit lorsque l’on pense aux fonctionnalités de base du système, mais de nombreux utilisateurs finaux aiment toujours personnaliser leurs systèmes de cette manière. Cette vulnérabilité d’exécution de code à distance, que Microsoft considère comme ‘Importante’ tout en lui attribuant tout de même un score de base CVSS de 8,8 (‘Élevée’, juste en dessous de ‘Critique’), pourrait être déclenchée par un fichier .theme spécialement conçu. Il est intéressant de noter qu’un fichier de thème malveillant utilisant ce CVE aurait plus de chances de réussir si l’utilisateur le chargeait via une ressource externe (par exemple, via un SMB), plutôt qu’en le téléchargeant et l’exécutant localement. En pratique, cette condition signifie que les utilisateurs de type ‘particulier’ sont moins susceptibles d’être victimes d’une attaque réussie, mais ce n’est pas non plus impossible. Ce problème affecte uniquement Windows 11.

CVE-2023-36805 : Vulnérabilité de contournement des fonctionnalités de sécurité dans Windows MSHTML Platform

Un élément étrange de classe ‘Importante’ avec une particularité pour ceux qui utilisent encore Windows Server 2012 R2 : les clients qui utilisent cette plateforme mais qui ingèrent ‘uniquement les mises à jour de sécurité (Security Only)’ trouveront le correctif pour ce CVE dans les mises à jour cumulatives IE (5030209).

CVE-2023-36762 : Vulnérabilité d’exécution de code à distance dans Microsoft Word

CVE-2023-36766 : Vulnérabilité de divulgation d’informations dans Microsoft Excel

CVE-2023-36767 : Vulnérabilité de contournement des fonctionnalités de sécurité dans Microsoft Office

Toutes les trois sont des problèmes de classe ‘Importante’ ; ces trois éléments s’appliquent toutefois aux versions Windows et Mac des produits. CVE-2023-36767 affecte spécifiquement Outlook, et Microsoft souligne que même si le volet de prévisualisation des emails n’est pas un vecteur d’attaque, le volet de prévisualisation des pièces jointes par contre en est un.

Sept CVE de type ‘Vulnérabilité d’exécution de code à distance dans 3D Viewer’

Les sept correctifs relatifs à 3D Builder sont disponibles via Microsoft Store, tout comme le correctif AutoDesk (CVE-2022-41303) lié à 3D Viewer.

CVE-2023-38147 : Vulnérabilité d’exécution de code à distance dans Windows Miracast Wireless Display

Une vulnérabilité intéressante de classe ‘Importante’ avec un vecteur d’attaque inhabituel : en effet, l’attaquant doit être physiquement suffisamment proche du système cible pour envoyer et recevoir des transmissions radio. Une fois sur place, ils pourraient se projeter sur un système vulnérable via le même réseau sans fil sans authentification, si le système était configuré pour autoriser la “Projection sur ce PC” et marqué comme “Disponible partout“.

Figure 3 : Aux deux tiers de l’année, les problèmes d’exécution de code à distance continuent d’être en tête de peloton.

Les protections de Sophos

* Cette CVE est liée au correctif qui vient d’être publié par Adobe pour Acrobat Reader ; elle est détaillée à l’annexe D ci-dessous. Le numéro d’ID d’apparence inhabituelle provient d’une détection Sophos datant de 2011. 

Comme c’est le cas tous les mois, si vous ne voulez pas attendre que votre système installe lui-même les mises à jour, vous pouvez les télécharger manuellement à partir du site Web Windows Update Catalog. Lancez l’outil winver.exe pour connaître la version de Windows 10 ou 11 que vous utilisez, puis téléchargez le package de mise à jour cumulative pour l’architecture et le numéro de build correspondant à votre système.

Annexe A : Impact et gravité des vulnérabilités

Il s’agit d’une liste des correctifs du mois de septembre triés en fonction de l’impact, puis de la gravité. Chaque liste est ensuite organisée par CVE.

Exécution de code à distance (21 CVE)

Élévation de privilèges (17 CVE)

Divulgation d’informations (10 CVE)

Usurpation (5 CVE)

Déni de service (3 CVE)

Contournement des fonctionnalités de sécurité (3 CVE)

Annexe B : Exploitation potentielle

Il s’agit d’une liste des CVE du mois de septembre, établie par Microsoft, qui regroupe les vulnérabilités étant plus susceptibles d’être exploitées sur le terrain dans les 30 premiers jours suivant la publication du Patch Tuesday, ainsi que celles connues pour être déjà exploitées. Chaque liste est ensuite organisée par CVE.

Annexe C : Produits affectés

Il s’agit d’une liste des correctifs du mois de septembre triés par famille de produits, puis ensuite par gravité. Chaque liste est ensuite organisée par CVE.

Windows (21 CVE)

Visual Studio (8 CVE, dont 5 partagées avec .NET)

3D Builder (7 CVE)

Office (7 CVE)

.NET (6 CVE, dont 5 partagées avec Visual Studio)

Exchange (5 CVE)

Azure (4 CVE)

Dynamics 365 (3 CVE)

Defender (1 CVE)

Microsoft Identity Linux Broker (1 CVE)

SharePoint (1 CVE)

Annexe D : Autres produits

Il s’agit d’une liste d’avis et de correctifs tiers couverts par les correctifs du mois de septembre de Microsoft, triés par groupe de produits.

Adobe Acrobat Reader (1 problème)

Autodesk (1 problème)

Chromium / Edge (4 problèmes)

Electron (1 problème)

Billet inspiré de A 59-CVE Patch Tuesday with something for nearly everyone, sur le Blog Sophos.