Le Patch Tuesday du mois de juin compte 49 correctifs

L’ensemble des correctifs de ce Patch Tuesday facilite la tâche des administrateurs Windows en ce début d’été, alors que Microsoft a publié 49 correctifs touchant 7 familles de produits. Windows, comme d’habitude, se taille la part du lion avec 34 correctifs. Le reste concerne Azure, 365 Apps for Enterprise, Dynamics 365, Office, Visual Studio et SharePoint.

Au moment de la publication de ce Patch Tuesday, aucun des problèmes résolus n’est connu pour être exploité sur le terrain. Selon les estimations faites, onze vulnérabilités Windows sont plus susceptibles d’être exploitées au cours des 30 prochains jours. L’une d’entre elles concerne le seul problème de gravité ‘Critique’ de ce mois de juin, dont nous parlerons en détail ci-dessous. Six des problèmes de ce mois-ci peuvent être détectés par les protections Sophos : nous inclurons des informations sur ces derniers dans le tableau ci-dessous.

En plus de ces correctifs, ce Patch Tuesday comprend des informations consultatives sur sept correctifs liés au navigateur Edge, une liée à GitHub, un élément plutôt intriguant concernant MITRE et qui affecte non seulement Windows mais une grande partie d’Internet, et enfin deux autres concernant Adobe. Nous n’incluons pas d’avis dans les comptages et les graphiques CVE ci-dessous, mais nous fournissons des informations sur chacune d’entre elles dans une annexe à la fin de l’article, et nous approfondirons l’avis MITRE mentionné ci-dessous. Nous incluons comme d’habitude à la fin de cet article trois autres annexes répertoriant tous les correctifs de Microsoft, triés par gravité, par exploitabilité potentielle et par famille de produits.

Quelques chiffres

• Nombre total de CVE Microsoft : 49
• Total des avis/problèmes Edge/Chrome traités dans la mise à jour : 7
• Total des avis/problèmes Microsoft non-Edge traités dans la mise à jour : 2
• Nombre total des problèmes Adobe traités dans la mise à jour : 2
• Divulgation(s) publique(s) : 0*
• Exploitation(s) : 0
• Gravité :
  • Critique : 1
  • Importante : 48
• Impact :
  • Élévation de privilèges : 24
  • Exécution de code à distance (RCE) : 18
  • Déni de service : 4
  • Divulgation d’informations : 3

* Une CVE, à caractère consultatif uniquement, a été rendue publique : voir ci-dessous.

Figure 1 : Seules quatre catégories de vulnérabilité sont représentées dans le Patch Tuesday de juin.

Produits

• Windows : 34
• Azure : 5
• 365 Apps for Enterprise : 4 (dont un partagé avec Office)
• Dynamics 365 : 3
• Office : 3 (partagés avec 365 Apps for Enterprise)
• Visual Studio : 2
• SharePoint : 1

Figure 2 : Windows représente les deux tiers des correctifs de juin, ainsi que le seul problème de niveau ‘Critique’.

Mises à jour majeures du mois de juin

Outre les questions évoquées ci-dessus, quelques éléments spécifiques méritent une attention particulière.

CVE-2024-30080 : Vulnérabilité d’exécution de code à distance dans Microsoft Message Queuing (MSMQ)

Microsoft a considéré que 11 CVE ce mois-ci étaient plus susceptibles d’être exploitées dans les 30 jours suivant la publication du Patch Tuesday. Cette RCE de gravité ‘Critique’, le seul problème avec ce niveau de gravité ce mois-ci, doit être considéré comme une priorité. Ce problème affecte à la fois les clients et les serveurs qui ont activé le service message-queuing de Windows. Une fois ce service activé et à l’écoute (le port par défaut est 1801), un attaquant pourrait envoyer un paquet MSMQ conçu de manière malveillante au serveur et obtenir une RCE (nous confirmons que Sophos dispose bien d’une détection pour ce problème; veuillez consulter le tableau juste en dessous de la figure 3).

CVE-2023-50868 : MITRE / CVE-2023-50868 : NSEC3 Closest Encloser Proof peut impacter le CPU

Il s’agit d’une CVE à caractère purement consultatif, émise par MITRE et qui concerne le secteur dans son ensemble, et pas seulement Microsoft. Elle traite un problème divulgué publiquement avec DNSSEC et explique comment ce dernier permet de prouver la non-existence d’une zone spécifiée (vous ne connaissez pas les détails du DNSSEC, ou bien vous êtes peut-être perplexe quant à la manière avec laquelle un enregistrement NSEC peut prouver un résultat négatif ? Le DNS Institute a sorti un article tout à fait abordable qui vous explique tout). Le bug en question est un problème de déni de service de gravité ‘Importante’ ; on ne pense pas qu’il soit exploité sur le terrain, mais il s’agit du DNS et c’est donc important de s’y intéresser.

CVE-2024-37325 : Vulnérabilité d’élévation de privilèges dans Azure Science Virtual Machine (DSVM)

Il n’y a qu’une seule vulnérabilité ce mois-ci que Microsoft considère comme ‘Critique’ en termes de gravité (CVE-2024-30800, ci-dessus), mais pour ceux qui se fient aux scores CVSS, cette EoP Azure mérite le détour, mais seulement si vous utilisez une version Linux/Ubuntu Data Science Virtual Machines (DSVM) datant d’avant le 24/05/24. Si tel est votre cas, ce bug CVSS 9.8 ne nécessite ni privilèges ni interaction avec l’utilisateur ; il suffit pour l’attaquant d’envoyer une requête spécialement conçue à la machine cible pour accéder aux identifiants des utilisateurs autorisés. Les utilisateurs concernés devraient lire les détails et agir en conséquence.

Figure 3 : Alors que nous avançons dans cette année 2024, les vulnérabilités de divulgation d’informations devancent légèrement les problèmes de contournement des fonctionnalités de sécurité, mais les RCE continuent de se maintenir en tête de peloton.

Les protections de Sophos

Comme c’est le cas tous les mois, si vous ne voulez pas attendre que votre système installe lui-même les mises à jour, vous pouvez les télécharger manuellement à partir du site Web Windows Update Catalog. Lancez l’outil winver.exe pour connaître la version de Windows 10 ou 11 que vous utilisez, puis téléchargez le package de mise à jour cumulative pour l’architecture et le numéro de build correspondant à votre système.

Annexe A : Impact et gravité des vulnérabilités

Il s’agit d’une liste des correctifs du mois de juin triés en fonction de l’impact, puis de la gravité. Chaque liste est ensuite organisée par CVE.

Élévation de privilèges (24 CVE)

Exécution de code à distance (18 CVE)

Déni de service (4 CVE)

Divulgation d’informations (3 CVE)

Annexe B : Exploitation potentielle

Il s’agit d’une liste des CVE du mois de juin, établie par Microsoft, qui regroupe les vulnérabilités étant plus susceptibles d’être exploitées sur le terrain dans les 30 premiers jours suivant la publication du Patch Tuesday. Chaque liste est ensuite organisée par CVE. Ce mois-ci ne traite aucune vulnérabilité déjà exploitée.

Annexe C : Produits affectés

Il s’agit d’une liste des correctifs du mois de juin triés par famille de produits, puis ensuite par gravité. Chaque liste est ensuite organisée par CVE. Les correctifs partagés entre plusieurs familles de produit sont répertoriés plusieurs fois, une fois pour chaque famille.

Windows (34 CVE)

Azure (5 CVE)

365 Apps for Enterprise (4 CVE)

Dynamics 365 (3 CVE)

Office (3 CVE)

Visual Studio (2 CVE)

SharePoint (1 CVE)

Annexe D : Avis et autres produits

Il s’agit d’une liste d’avis et d’informations concernant d’autres CVE pertinentes dans le Patch Tuesday du mois de juin de Microsoft, triés par produits.

Publications pertinentes pour Edge / Chromium (7 CVE)

Publications pertinentes pour GitHub (1 CVE)

Publications pertinentes pour Visual Studio (publication CVE non-Microsoft) (1 CVE)

Publications pertinentes pour Adobe (publication non-Microsoft) (2 CVE)

Billet inspiré de June Patch Tuesday squares up with 49 patches, sur le Blog Sophos.