Microsoft Patch Tuesday, édition novembre 2023 – Krebs sur la sécurité

Microsoft a publié aujourd’hui des mises à jour pour corriger plus de cinq douzaines de failles de sécurité dans son les fenêtres systèmes d’exploitation et logiciels associés, y compris trois vulnérabilités « jour zéro » qui, selon Microsoft, sont déjà exploitées dans des attaques actives.

Les menaces du jour zéro ciblant Microsoft ce mois-ci incluent CVE-2023-36025, une faiblesse qui permet au contenu malveillant de contourner la fonctionnalité de sécurité Windows SmartScreen. SmartScreen est un composant Windows intégré qui tente de détecter et de bloquer les sites Web et fichiers malveillants. L’avis de sécurité de Microsoft concernant cette faille indique que les attaquants pourraient l’exploiter en amenant un utilisateur Windows à cliquer sur un lien piégé vers un fichier de raccourci.

Kévin Breendirecteur principal de la recherche sur les menaces chez Laboratoires immersifsa déclaré que les e-mails contenant des pièces jointes .url ou les journaux avec des processus générés à partir de fichiers .url “devraient être une priorité élevée pour les chasseurs de menaces étant donné l’exploitation active de cette vulnérabilité dans la nature”.

Le deuxième jour zéro de ce mois est CVE-2023-36033, qui est une vulnérabilité de la « DWM Core Library » de Microsoft Windows qui a été exploitée de manière sauvage comme un jour zéro et divulguée publiquement avant que les correctifs ne soient disponibles. Cela affecte Microsoft Windows 10 et versions ultérieures, ainsi que Microsoft Windows Server 2019 et versions ultérieures.

“Cette vulnérabilité peut être exploitée localement, avec une faible complexité et sans nécessiter de privilèges de haut niveau ni d’interaction utilisateur”, a déclaré Mike Waltersprésident et co-fondateur de la société de sécurité Action1. “Les attaquants exploitant cette faille pourraient obtenir les privilèges SYSTEM, ce qui en ferait une méthode efficace pour augmenter les privilèges, en particulier après un premier accès via des méthodes telles que le phishing.”

Le dernier jour zéro du Patch Tuesday de ce mois-ci est un problème dans le « pilote de mini-filtre Windows Cloud Files » suivi comme CVE-2023-36036 cela affecte Windows 10 et versions ultérieures, ainsi que Windows Server 2008 et versions ultérieures. Microsoft affirme qu’il est relativement simple pour les attaquants d’exploiter CVE-2023-36036 comme moyen d’élever leurs privilèges sur un PC compromis.

Au-delà des failles du jour zéro, Breen a déclaré que les organisations qui gèrent Serveur Microsoft Exchange devrait donner la priorité à plusieurs nouveaux correctifs Exchange, notamment CVE-2023-36439, qui est un bug qui permettrait à des attaquants d’installer des logiciels malveillants sur un serveur Exchange. Cette faiblesse nécessite techniquement que l’attaquant soit authentifié sur le réseau local de la cible, mais Breen note qu’une paire d’informations d’identification Exchange hameçonnées fournira cet accès.

« Ceci est généralement réalisé par le biais d’attaques d’ingénierie sociale avec spear phishing pour obtenir un premier accès à un hôte avant de rechercher d’autres cibles internes vulnérables – ce n’est pas parce que votre serveur Exchange ne dispose pas d’une authentification sur Internet qu’il est protégé », a déclaré Breen. .

Breen a déclaré que cette vulnérabilité va de pair avec trois autres bogues Exchange que Microsoft a désignés comme « une exploitation plus probable » : CVE-2023-36050, CVE-2023-36039 et CVE-2023-36035.

Finalement, le Centre de tempête Internet SANS pointe vers deux bogues supplémentaires corrigés par Microsoft ce mois-ci qui ne montrent pas encore de signes d’exploitation active mais qui ont été rendus publics avant aujourd’hui et méritent donc une priorité. Ceux-ci incluent : CVE-2023-36038une vulnérabilité de déni de service dans Noyau ASP.NET, avec un score CVSS de 8,2 ; et CVE-2023-36413: UN Microsoft Office contournement des fonctionnalités de sécurité. L’exploitation de cette vulnérabilité contournera le mode protégé lors de l’ouverture d’un fichier reçu via le Web.

Utilisateurs Windows, veuillez envisager de sauvegarder vos données et/ou de créer une image de votre système avant d’appliquer des mises à jour. Et n’hésitez pas à vous exprimer dans les commentaires si vous rencontrez des difficultés suite à ces correctifs.