Microsoft corrige trois failles zero-day dans son Patch Tuesday de février

Microsoft corrige trois failles zero-day dans son Patch Tuesday de février


Le Patch Tuesday de février de Microsoft apporte aussi des correctifs pour 75 failles. Les trois failles zero-day affectent Microsoft Publisher, le pilote du système de fichiers de log commun de Windows (Windows Common Log File System Driver) et le composant graphique de Windows (Windows Graphics Component).

La faille qui touche Microsoft Publisher, CVE-2023-21715, est une vulnérabilité de contournement de la fonctionnalité de sécurité avec une note de gravité « importante » de Microsoft. Les politiques de macro d’Office utilisées pour bloquer les fichiers non fiables ou malveillants peuvent être contournées par un attaquant. Normalement, Office avertit les utilisateurs qu’un fichier n’est pas fiable avant d’autoriser son exécution.

Un attaquant peut ainsi inciter sa cible à ouvrir un fichier spécialement conçu à partir d’un site web. Toutefois, Microsoft note que « l’attaque elle-même est exécutée localement par un utilisateur disposant d’une authentification sur le système ciblé ». Ce problème affecte Publisher livré avec Microsoft 365 Apps for Enterprise. Le problème a été signalé par Hidetake Jo, de Microsoft.

Elévation de privilèges

Le pilote Windows Common Log File System est affecté par une vulnérabilité d’élévation de privilèges, CVE-2023-23376. Microsoft la considère comme « importante » et note qu’elle peut donner à un attaquant des privilèges au niveau du système. Elle a été signalée par le Microsoft Threat Intelligence Center (MSTIC) et le Microsoft Security Response Center (MSRC).

La faille du composant graphique de Windows, CVE-2023-21823, est une vulnérabilité d’exécution de code à distance (RCE). Elle n’est classée que comme « importante », malgré le fait qu’il s’agisse d’une RCE et l’existence d’un code d’exploitation mature.

L’exploiter permettrait à un attaquant d’obtenir des privilèges au niveau du système. Microsoft ne dit pas comment elle peut être exploitée et, bien qu’elle affecte l’OS, la société note que les applications Windows seront mises à jour via le Microsoft Store et que OneNote pour Android peut être mis à jour via Google Play. La vulnérabilité a été signalée par les chercheurs de Mandiant Dhanesh Kizhakkinan et Genwei Jiang.

9 failles critiques et 67 de gravité moyenne

Neuf failles critiques ont été corrigées ce mois-ci. Elles sont toutes des failles d’exécution de code à distance, selon le décompte de la Zero Day Initiative. Elles affectent .NET et Visual Studio, Microsoft Protected Extensible Authentication Protocol, Microsoft SQL ODBC Driver, Microsoft Word et Windows iSCSI Discovery Service.

66 failles de gravité moyenne et une faille de gravité moyenne qui a affecté plusieurs dispositifs Wi-Fi avec un correctif en cours d’intégration dans les produits Microsoft ont également été corrigées.

L’entreprise de sécurité Rapid7 note que Microsoft a commencé à inclure dans son Patch Tuesday des informations sur les failles affectant CBL-Mariner, la distribution Linux OS de Microsoft pour Azure. Mariner est utilisé par Microsoft en interne et est en production avec Xbox, Playful, Minecraft, et plus de 100 services Azure, dont Azure Kubernetes Service.

Premier Patch Tuesday depuis la fin des mises à jour étendues de Windows 8.1

En janvier, Microsoft a annoncé qu’elle partageait les CVE de CBL-Mariner dans le guide de mise à jour de sécurité.

Les administrateurs qui utilisent encore Windows 8.1 devraient également prendre note de ce Patch Tuesday, car il s’agit du premier depuis la fin du programme de mises à jour de sécurité étendues de Windows 8.1.

« Les administrateurs responsables des instances de Windows Server 2008 doivent noter que l’ESU pour Windows Server 2008 n’est désormais disponible que pour les instances hébergées dans Azure ou les instances sur site hébergées via Azure Stack. Les instances de Windows Server 2008 hébergées dans un contexte non Azure ne recevront plus de mises à jour de sécurité, et resteront donc à jamais vulnérables à toute nouvelle vulnérabilité, y compris les deux zero-days couvertes ci-dessus », met en garde Adam Barnett de Rapid7.

Source : ZDNet.com





Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.