patch tuesday
Recherche sur les menaces

Le Patch Tuesday du mois de mai cible six familles de produits

Un mois relativement léger au niveau des chiffres, néanmoins plusieurs correctifs nécessitent de lancer des actions spécifiques pour être correctement déployés.

[Mise à jour, 10/05/2023 : Informations supplémentaires ajoutées concernant CVE-2023-24932]

Microsoft vient de publier des correctifs pour 38 vulnérabilités dans six familles de produits, dont 6 concernant des problèmes de gravité ‘Critique’ dans Windows et une autre vulnérabilité liée à un problème dans SharePoint. Comme d’habitude, le plus grand nombre de vulnérabilités traitées concerne Windows, avec 27 CVE. Office suit avec 4 CVE, puis SharePoint (3), AV1 Video Extension (2) et Teams et Visual Studio (une chacun).

Au moment de la publication de ce Patch Tuesday, seuls deux des problèmes de ce mois-ci (CVE-2023-29325 et CVE-2023-24932, tous deux concernant Windows) ont été divulgués publiquement. Les conseils de Microsoft au niveau des mises à jour pour la vulnérabilité ‘-24932’ (à savoir celle dénommée ‘Secure Boot Security Feature Bypass’) indiquent que ce bug a été exploité sur le terrain par un malware appelé “bootkit BlackLotus UEFI”. Microsoft a également publié des mesures supplémentaires de mitigation des exploits concernant ‘Secure Boot’ (démarrage sécurisé) que certains administrateurs système peuvent choisir d’adopter pour protéger des systèmes spécifiques contre BlackLotus. Les mitigations, une fois activées, ne sont pas réversibles : Selon Microsoft, “Même le reformatage du disque ne supprimera pas les révocations si elles ont déjà été appliquées“. Ces mitigations ont également un impact majeur sur les images de récupération ou les supports externes de démarrage. “Après la mise en œuvre de ces révocations, les appareils deviendront intentionnellement incapables de démarrer en utilisant un support de récupération ou d’installation, à moins que ce support n’ait été corrigé avec les mises à jour de sécurité publiées le 9 mai 2023 ou après cette date. Selon Microsoft, il est question à la fois des supports de démarrage, tels que les disques, les lecteurs externes, la récupération de démarrage réseau et les images de restauration”.

Pour le reste, une seule autre vulnérabilité a été détectée en cours d’exploitation sur le terrain : à savoir CVE-2023-29336, un problème d’élévation de privilège de gravité ‘Importante’ dans Windows. Cependant, Microsoft prévient que huit des problèmes résolus sont plus susceptibles d’être exploités dans les versions les plus récentes ou les versions antérieures du produit concerné (c’est-à-dire dans les 30 prochains jours). Fait intéressant, Microsoft n’a proposé ce mois-ci aucune vue d’ensemble sur la probabilité d’exploitation dans les versions antérieures par rapport aux dernières versions pour l’ensemble des 38 correctifs, bien que certains d’entre eux ne soient concernés que par l’un ou l’autre de ces deux cas de figure.

À la demande générale, nous inclurons à la fin de cet article trois annexes répertoriant tous les correctifs du mois, triés par gravité, exploitation potentielle et famille de produits.

Quelques chiffres :

  • Nombre total de CVE Microsoft : 38
  • Nombre total d’avis contenus dans la mise à jour : 0
  • Divulgation(s) publique(s) : 2
  • Exploitation(s) : 1
  • Gravité :
    • Critique : 7
    • Importante : 31
  • Impact :
    • Exécution de code à distance (RCE) : 12
    • Élévation de privilège : 10
    • Divulgation d’information : 8
    • Déni de service : 5
    • Contournement des fonctionnalités de sécurité : 3

patch tuesday

Figure 1 : Les problèmes d’exécution de code à distance représentent à nouveau la grande majorité des correctifs Microsoft de ce mois de mai 2023, mais le contournement des fonctionnalités de sécurité fait une apparition plus remarquée que d’habitude avec trois correctifs

Les six familles de produits concernées par le Patch Tuesday du mois de mai :

  • Windows : 27
  • Office : 4
  • SharePoint : 3
  • AV1 Video Extension : 2
  • Teams : 1
  • Visual Studio : 1

Microsoft a également identifié trois CVE liées à Chromium et cinq CVE liées à GitHub dans la publication de correctifs de ce mois-ci. Les trois problèmes liés à Chromium (CVE-2023-29334, CVE-2023-29350, CVE-2023-29354) ont été corrigés avant la publication de l’actuel Patch Tuesday, tandis que les cinq problèmes liés à GitHub (CVE-2023-25652, CVE-2023- 25815, CVE-2023-29007, CVE-2023-29011, CVE-2023-29012), qui affectent tous Visual Studio, viennent juste d’être corrigés.

patch tuesday

Figure 2 : Les correctifs Windows représentent les deux tiers de l’activité du mois de mai 2023, avec notamment six problèmes de classe ‘Critique’, sur sept au total

Mises à jour majeures du mois de mai

CVE-2023-24941 : Vulnérabilité d’exécution de code à distance dans le NFS (Network File System) de Windows

CVE-2023-29325 : Vulnérabilité d’exécution de code à distance dans Windows OLE

On pense que ces deux correctifs RCE de classe ‘Critique’ sont plus susceptibles d’être exploités activement dans les 30 prochains jours; pire, les deux ont été publiés avec des exigences d’installation assez détaillées. Les administrateurs système sont priés de lire très attentivement les instructions et, dans le cas du correctif pour NFS, de s’assurer qu’un correctif adressant CVE-2022-26937 (publié en mai 2022) soit déjà installé.

CVE-2023-24932 : Vulnérabilité de contournement des fonctionnalités de sécurité au niveau du démarrage sécurisé (Secure Boot)

Comme pour les deux correctifs précédents, celui-ci comporte des étapes supplémentaires : Le correctif met à jour le gestionnaire de démarrage (Boot Manager) de Windows, mais il n’est pas activé par défaut, donc des étapes supplémentaires à mettre en œuvre par l’administrateur système seront indispensables. Ce correctif est lié aux tentatives en cours pour corriger une vulnérabilité utilisée par bootkit BlackLotus. Microsoft a détaillé l’état de ses avancées dans un  article indépendant.

CVE-2023-24881 : Vulnérabilité de divulgation d’information dans Microsoft Teams

Toujours concernant les mises à jour majeures de ce mois-ci, ce problème de divulgation d’information de classe ‘Importante’ mérite un peu plus d’attention que d’habitude. Tout d’abord, les administrateurs système doivent effectuer une mise à niveau vers la dernière bibliothèque ‘Teams JavaScript SDK’ ; deuxièmement, les administrateurs système ne doivent faire référence à aucun domaine hors de leur contrôle et doivent éviter tout domaine générique. Il est fortement conseillé aux administrateurs système de consulter les conseils de Microsoft concernant ce correctif avant de continuer.

CVE-2023-29340 : Vulnérabilité d’exécution de code à distance dans AV1 Video Extension

Enfin, ce RCE de classe ‘Importante’, l’un des deux concernant AV1 ce mois-ci, n’affecte que les utilisateurs qui ont installé leur extension via Microsoft Store et n’ont pas activé les mises à jour automatiques.

patch tuesday

Figure 3 : Au cours de cette année, les failles d’exécution de code à distance représentent globalement le plus grand nombre de correctifs ainsi que le plus grand volume de correctifs de gravité ‘Critique’ à ce jour

Les protections de Sophos

Ce tableau sera mis à jour au fur et à mesure que les signatures individuelles seront finalisées.

CVE Sophos Intercept X / Endpoint IPS Sophos XGS Firewall
CVE-2023-24902 Exp/2324902-A
CVE-2023-24941 2308380 2308380
CVE-2023-24950 2308385 2308385
CVE-2023-29325 2308384 2308384

 

Comme c’est le cas tous les mois, si vous ne voulez pas attendre que votre système installe lui-même les mises à jour, vous pouvez les télécharger manuellement à partir du site Web Windows Update Catalog. Lancez l’outil winver.exe pour connaître la version de Windows 10 ou 11 que vous utilisez, puis téléchargez le package de mise à jour cumulative pour l’architecture et le numéro de build correspondant à votre système.

Annexe A : Impact et gravité des vulnérabilités

Il s’agit d’une liste des correctifs du mois de mai triés en fonction de l’impact, puis de la gravité. Chaque liste est ensuite organisée par CVE.

Exécution de code à distance (12 CVE)

Gravité critique
CVE-2023-24903 Vulnérabilité d’exécution de code à distance au niveau du SSTP (Secure Socket Tunneling Protocol) de Windows
CVE-2023-24941 Vulnérabilité d’exécution de code à distance dans le NFS (Network File System) de Windows
CVE-2023-24943 Vulnérabilité d’exécution de code à distance dans le PGM (Pragmatic General Multicast) de Windows
CVE-2023-24955 Vulnérabilité d’exécution de code à distance dans le SharePoint Server de Microsoft
CVE-2023-28283 Vulnérabilité d’exécution de code à distance au niveau du LDAP (Lightweight Directory Access Protocol) de Windows
CVE-2023-29325 Vulnérabilité d’exécution de code à distance dans Windows OLE
Gravité importante
CVE-2023-24905 Vulnérabilité d’exécution de code à distance dans le Client Remote Desktop
CVE-2023-24947 Vulnérabilité d’exécution de code à distance dans le pilote Bluetooth de Windows
CVE-2023-24953 Vulnérabilité d’exécution de code à distance dans Microsoft Excel
CVE-2023-29340 Vulnérabilité d’exécution de code à distance dans AV1 Video Extension
CVE-2023-29341 Vulnérabilité d’exécution de code à distance dans AV1 Video Extension
CVE-2023-29344 Vulnérabilité d’exécution de code à distance dans Microsoft Office

 

Élévation de privilège (10 CVE)

Gravité critique
CVE-2023-29324 Vulnérabilité d’élévation de privilège dans la plateforme MSHTML de Windows
Gravité importante
CVE-2023-24899 Vulnérabilité d’élévation de privilège dans le composant graphique (Graphics Component) de Windows
CVE-2023-24902 Vulnérabilité d’élévation de privilège dans Win32k
CVE-2023-24904 Vulnérabilité d’élévation de privilège dans le programme d’installation (Installer) de Windows
CVE-2023-24946 Vulnérabilité d’élévation de privilège dans le service de sauvegarde (Backup Service) Windows
CVE-2023-24948 Vulnérabilité d’élévation de privilège dans le pilote Bluetooth de Windows
CVE-2023-24949 Vulnérabilité d’élévation de privilège dans le noyau (Kernel) Windows
CVE-2023-24950 Vulnérabilité de contournement des fonctionnalités de sécurité dans le SharePoint Server de Microsoft
CVE-2023-29336 Vulnérabilité d’élévation de privilège dans Win32k
CVE-2023-29343 Vulnérabilité d’élévation de privilège dans SysInternals Sysmon pour Windows

 

Divulgation d’information (8 CVE)

Gravité importante
CVE-2023-24881 Vulnérabilité de divulgation d’information dans Microsoft Teams
CVE-2023-24900 Vulnérabilité de divulgation d’information au niveau du fournisseur de support sécurité NTLM de Windows
CVE-2023-24901 Vulnérabilité de divulgation d’information dans le NFS Portmapper de Windows
CVE-2023-24944 Vulnérabilité de divulgation d’information dans le pilote Bluetooth de Windows
CVE-2023-24945 Vulnérabilité de divulgation des information au niveau du service Target iSCSI de Windows
CVE-2023-24954 Vulnérabilité de divulgation d’information dans le SharePoint Server de Microsoft
CVE-2023-28290 Vulnérabilité de divulgation d’information dans le Client Remote Desktop Protocol
CVE-2023-29338 Vulnérabilité de divulgation d’information dans le code Visual Studio

 

Déni de service (5 CVE)

Gravité importante
CVE-2023-24898 Vulnérabilité de déni de service dans Windows SMB
CVE-2023-24939 Vulnérabilité de déni de service dans ‘Server for NFS’
CVE-2023-24940 Vulnérabilité de déni de service dans le PGM (Pragmatic General Multicast) de Windows
CVE-2023-24942 Vulnérabilité de déni de service dans le Remote Procedure Call Runtime
CVE-2023-29333 Vulnérabilité de déni de service dans Microsoft Access

 

Contournement des fonctionnalités de sécurité (3 CVE)

Gravité importante
CVE-2023-24932 Vulnérabilité de contournement des fonctionnalités de sécurité au niveau du démarrage sécurisé (Secure Boot)
CVE-2023-28251 Vulnérabilité de contournement des fonctionnalités de sécurité au niveau de la liste de révocation des pilotes Windows
CVE-2023-29335 Vulnérabilité de contournement des fonctionnalités de sécurité dans Microsoft Word

 

Annexe B : Exploitation potentielle

Il s’agit d’une liste des CVE du mois de mai, établie par Microsoft, qui regroupe les vulnérabilités étant plus susceptibles d’être exploitées sur le terrain dans les 30 premiers jours suivant la publication du Patch Tuesday, ainsi que celles déjà connues pour être exploitées. Chaque liste est ensuite organisée par CVE.

Détection d’une exploitation
CVE-2023-29336 Vulnérabilité d’élévation de privilège dans Win32k
Exploitation probable
CVE-2023-24902 Vulnérabilité d’élévation de privilège dans Win32k
CVE-2023-24941 Vulnérabilité d’exécution de code à distance dans le NFS (Network File System) de Windows
CVE-2023-24949 Vulnérabilité d’élévation de privilège dans le noyau (Kernel) Windows
CVE-2023-24950 Vulnérabilité de contournement des fonctionnalités de sécurité dans le SharePoint Server de Microsoft
CVE-2023-24954 Vulnérabilité de divulgation d’information dans le SharePoint Server de Microsoft
CVE-2023-24955 Vulnérabilité d’exécution de code à distance dans le SharePoint Server de Microsoft
CVE-2023-29324 Vulnérabilité d’élévation de privilège dans la plateforme MSHTML de Windows

 

Annexe C : Produits affectés

Il s’agit d’une liste des correctifs du mois de mai triés par famille de produits, puis ensuite par gravité. Chaque liste est ensuite organisée par CVE.

Windows (27 CVE)

Gravité critique
CVE-2023-24903 Vulnérabilité d’exécution de code à distance au niveau du SSTP (Secure Socket Tunneling Protocol) de Windows
CVE-2023-24941 Vulnérabilité d’exécution de code à distance dans le NFS (Network File System) de Windows
CVE-2023-24943 Vulnérabilité d’exécution de code à distance dans le PGM (Pragmatic General Multicast) de Windows
CVE-2023-28283 Vulnérabilités d’exécution de code à distance au niveau du LDAP (Lightweight Directory Access Protocol) de Windows
CVE-2023-29324 Vulnérabilité d’élévation de privilège dans la plateforme MSHTML de Windows
CVE-2023-29325 Vulnérabilité d’exécution de code à distance dans Windows OLE
Gravité importante
CVE-2023-24898 Vulnérabilité de déni de service dans Windows SMB
CVE-2023-24899 Vulnérabilité d’élévation de privilège dans le composant graphique (Graphics Component) de Windows
CVE-2023-24900 Vulnérabilité de divulgation d’information au niveau du fournisseur de support sécurité NTLM de Windows
CVE-2023-24901 Vulnérabilité de divulgation d’information dans le NFS Portmapper de Windows
CVE-2023-24902 Vulnérabilité d’élévation de privilège dans Win32k
CVE-2023-24904 Vulnérabilité d’élévation de privilège dans le programme d’installation (Installer) de Windows
CVE-2023-24905 Vulnérabilité d’exécution de code à distance dans le Client Remote Desktop
CVE-2023-24932 Vulnérabilité de contournement des fonctionnalités de sécurité au niveau du démarrage sécurisé (Secure Boot)
CVE-2023-24939 Vulnérabilité de déni de service dans ‘Server for NFS’
CVE-2023-24940 Vulnérabilité de déni de service dans le PGM (Pragmatic General Multicast) de Windows
CVE-2023-24942 Vulnérabilité de déni de service dans le Remote Procedure Call Runtime
CVE-2023-24944 Vulnérabilité de divulgation d’information dans le pilote Bluetooth de Windows
CVE-2023-24945 Vulnérabilité de divulgation d’information au niveau du service Target iSCSI de Windows
CVE-2023-24946 Vulnérabilité d’élévation de privilège dans le service de sauvegarde (Backup Service) Windows
CVE-2023-24947 Vulnérabilité d’exécution de code à distance dans le pilote Bluetooth de Windows
CVE-2023-24948 Vulnérabilité d’élévation de privilège dans le pilote Bluetooth de Windows
CVE-2023-24949 Vulnérabilité d’élévation de privilège dans le noyau (Kernel) Windows
CVE-2023-28251 Vulnérabilité de contournement des fonctionnalités de sécurité au niveau de la liste de révocation des pilotes Windows
CVE-2023-28290 Vulnérabilité de divulgation d’information dans le Client Remote Desktop Protocol
CVE-2023-29336 Vulnérabilité d’élévation de privilège dans Win32k
CVE-2023-29343 Vulnérabilité d’élévation de privilège dans SysInternals Sysmon pour Windows

 

Office (4 CVE)

Gravité importante
CVE-2023-24953 Vulnérabilité d’exécution de code à distance dans Microsoft Excel
CVE-2023-29333 Vulnérabilité de déni de service dans Microsoft Access
CVE-2023-29335 Vulnérabilité de contournement des fonctionnalités de sécurité dans Microsoft Word
CVE-2023-29344 Vulnérabilité d’exécution de code à distance dans Microsoft Office

 

SharePoint (3 CVE)

Gravité critique
CVE-2023-24955 Vulnérabilité d’exécution de code à distance dans le SharePoint Server de Microsoft
Gravité importante
CVE-2023-24950 Vulnérabilité de contournement des fonctionnalités de sécurité dans le SharePoint Server de Microsoft
CVE-2023-24954 Vulnérabilité de divulgation d’information dans le SharePoint Server de Microsoft

 

AV1 (2 CVE)

Gravité importante
CVE-2023-29340 Vulnérabilité d’exécution de code à distance dans AV1 Video Extension
CVE-2023-29341 Vulnérabilité d’exécution de code à distance dans AV1 Video Extension

 

Teams (une CVE)

Gravité importante
CVE-2023-24881 Vulnérabilité de divulgation d’information dans Microsoft Teams

 

Visual Studio (une CVE)

Gravité importante
CVE-2023-29338 Vulnérabilité de divulgation d’information dans le code Visual Studio

 

Billet inspiré de May’s Patch Tuesday haul touches a six-pack of product families, sur le Blog Sophos.