Après un break en avril dernier, les vulnérabilités zero-day sont de retour avec une petite bombe de la part de Microsoft dans le Patch Tuesday du mois de mai.
Parmi la plus marquante, on trouve une vulnérabilité zero-day concernant l’exécution de code à distance dans Windows VBScript Engine, affectant toutes les versions de l’OS, dont l’exploitation, par des cybercriminels d’Etat-Nation, a été repérée il y a trois semaines par l’entreprise de sécurité chinoise Qihoo 360.
Surnommée “Double Kill” (CVE-2018-8174), elle peut être déployée de plusieurs façons, notamment en attirant un utilisateur Internet Explorer vers un site web malveillant avec un VBScript incorporé, et en utilisant un contrôle ActiveX labellisé “safe for initialization“, ou encore via un fichier RTF malveillant dans un document Office.
Selon Microsoft, chacun de ces scénarios donne aux cybercriminels le contrôle de l’ordinateur de la victime, permettant ainsi de voler des données, d’écouter clandestinement ou de déployer des ransomwares, d’où la nécessité d’installer un correctif de toute urgence.
Une autre vulnérabilité zero-day (CVE-2018-8120) concerne l’élévation de privilèges dans le sous-système Win32k de Windows 7 32/64-bit et Windows Server 2008 R2.
Un cybercriminel doit déjà être connecté à la cible afin de pouvoir exploiter la faille, c’est pourquoi elle est répertoriée comme «importante» plutôt que critique.
Microsoft n’a pas dit comment elle pouvait être exploitée, mais disposer de ce genre de vulnérabilité zero-day est une véritable aubaine pour les cybercriminels, et c’est pourquoi elle devrait également figurer sur la liste des correctifs à installer immédiatement pour tous ceux qui utilisent Windows 7.
Deux autres qui méritent d’être mentionnées sont : CVE-2018-8141, une vulnérabilité de divulgation d’informations au niveau du noyau, et qui affecte Windows 10 1709 et CVE-2018-8170, une vulnérabilité d’élévation de privilèges dans Windows 1709 et 1703 32 bits.
Les deux sont considérées comme importantes plutôt que critiques, mais d’après certaines informations les concernant, elles semblent être dans le domaine public sans que des exploits aient été détectés.
Le meilleur pour la fin
Le nombre de vulnérabilités CVE de Microsoft pour le seul mois de mai a atteint 68, dont 21 sont critiques, 45 importantes et seulement deux à impact faible.
Parmi les autres considérées comme “critiques”, un thème fort concernant les navigateurs ressort nettement, avec une douzaine de défauts du navigateur au niveau d’une corruption de mémoire du moteur de script, affectant Edge et Internet Explorer, auxquels s’ajoutent quatre autres affectant le moteur JavaScript Chakra Edge.
Hyper-V est également corrigé vis-à-vis de CVE-2018-0959 et CVE-2018-0961, tandis que CVE-2018-0961 prend en charge le RCE dans Windows Shim Host Compute Service Shim.
Le site de Microsoft offre beaucoup de détails sur ces vulnérabilités, par plateforme et par produit, mais voici un résumé plus digeste.
Encore des correctifs pour Flash
Microsoft n’est pas le seul à émettre des correctifs, Adobe a aussi corrigé cinq CVEs.
Il convient de souligner qu’il s’agit d’un correctif critique pour Flash Player (CVE-2018-4944) affectant toutes les plateformes, y compris Windows 10 (Edge) et 8.1 et Server 2012/R2 (IE). La version vulnérable est 29.0.0.140, laquelle nécessite une mise à jour vers la version 29.0.0.171.
Flash est sur le point de disparaître, mais il est probable que beaucoup de systèmes le possèdent toujours et qu’il fonctionne pour une raison ou une autre, c’est pourquoi nous le signalons afin d’attirer votre attention sur ce point particulier.
Billet inspiré de Patch now! Microsoft and Adobe release critical security updates, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.