Patch Tuesday du mois d’août : une belle série de correctifs pour Microsoft

Microsoft vient de publier des correctifs pour 73 vulnérabilités dont 3 problèmes de gravité ‘Critique’, 2 dans Teams et un dans Office. Comme d’habitude, le plus grand nombre de vulnérabilités traitées concerne Windows, avec 35 CVE. Office vient ensuite avec 9 problèmes dont un partagé avec Visual Studio, suivi d’Azure (7) ; Exchange (6); .NET (6, dont trois partagés avec Visual Studio et .ASP) ; SharePoint (4); Dynamics 365 et Teams (2 chacun) ; Defender, Extensions Video HEVC et SQL Server (un chacun). Il y a trois avis dans le Patch Tuesday de ce mois-ci, et il inclut également des informations sur 30 correctifs pour Adobe Acrobat Reader, 12 failles dans Edge/Chromium et une dans GitHub. De plus, des informations sur CVE-2023-20569 sont disponibles, à savoir un problème de canal latéral qui vient d’être annoncé par AMD et qui affecte plusieurs processeurs de ce fabricant.

Au moment de la sortie de ce Patch Tuesday, deux problèmes sont connus pour être exploités sur le terrain. Le premier, CVE-2023-38180, concerne une vulnérabilité de déni de service affectant .NET, Visual Studio et .ASP ; elle ne nécessite ni privilèges ni interaction avec l’utilisateur. L’autre est abordé dans un avis de type Defense in Depth (défense en profondeur), ADV230003 ; cette mise à jour bloque la chaîne d’attaque menant à la vulnérabilité CVE-2023-36884 corrigée le mois dernier. Selon l’entreprise, 8 vulnérabilités supplémentaires dans Windows, .NET, Visual Studio et Exchange sont plus susceptibles d’être exploitées dans les 30 jours suivant la publication de ce Patch Tuesday. Quatre de ces 8 problèmes concernent des vulnérabilités au niveau du noyau (kernel).

Microsoft, une fois de plus ce mois-ci, n’a proposé aucune vue d’ensemble sur la probabilité d’exploitation dans les versions antérieures par rapport aux dernières versions, et ce pour l’ensemble de ses correctifs.

Le correctif AMD est intéressant, car bien que la faille concerne du matériel AMD, sa correction nécessite une mise à jour de Windows. Microsoft inclut des informations à ce sujet afin que les sysadmins sachent que les dernières versions de Windows permettent une mitigation. De plus, l’entreprise fournit des liens vers les propres articles KB de Microsoft concernant les utilisateurs du Client et du serveur/Azure Stack HCI, et vers des informations Microsoft pour ceux qui utilisent des machines virtuelles dans Azure. Les informations disponibles à ce jour indiquent que le problème ne fait pas l’objet d’attaques actives et qu’il est possible qu’il ne soit pas exploitable à distance.

Nous inclurons à la fin de cet article trois annexes répertoriant tous les correctifs Microsoft du mois, triés par gravité, exploitation potentielle et famille de produits. Conformément aux conseils de Microsoft, nous traiterons les correctifs et les avis pour Adobe Acrobat Reader, AMD, Chromium/Edge et GitHub uniquement comme des informations dans les tableaux et chiffres globaux qui vont suivre, bien que nous ayons ajouté un tableau à la fin de cet article qui fournit de informations basiques sur les 44 éléments concernés.

Quelques chiffres

• Nombre total de CVE Microsoft : 73
• Nombre total d’avis contenus dans la mise à jour : 3
• Divulgation(s) publique(s) : 2
• Exploitation(s) : 2
• Gravité :
  • Critique : 6
  • Importante : 67
• Impact :
  • Exécution de code à distance : 23
  • Élévation de privilèges : 18
  • Usurpation : 12
  • Divulgation d’informations : 9
  • Déni de service : 8
  • Contournement de la fonctionnalité de sécurité : 3

Figure 1 : Les problèmes d’exécution de code à distance sont à nouveau en tête des classements en août, mais les problèmes d’usurpation dans Azure et d’autres produits ont un impact important au niveau des chiffres

Produits

• Windows : 35
• Office : 8 (avec un correctif partagé avec Visual Studio)
• Azure : 7
• .NET : 6 (dont deux partagés avec .ASP et trois partagés avec Visual Studio)
• Exchange : 6
• SharePoint : 4
• Visual Studio : 4 (deux partagés avec .NET, un partagé avec .NET et .ASP, un partagé avec Office)
• .ASP: 2 (partagés avec .NET)
• Dynamics 365 : 2
• Teams: 2
• Defender : 1
• Extensions Video HEVC : 1
• Serveur SQL : 1

Figure 2 : Windows représente un peu moins de la moitié des correctifs de ce mois-ci, avec 13 familles représentées

Mises à jour majeures du mois d’août

En plus du patch AMD évoqué ci-dessus, quelques éléments sont intéressants à présenter.

ADV230003 : Microsoft Office Defense in Depth Update

ADV230004 : Memory Integrity System Readiness Scan Tool

ADV990001 : Latest Servicing Stack Updates

Il y a trois avis ce mois-ci, et Microsoft les décrit comme des problèmes de type ‘défense en profondeur’ (defense-in-depth) de gravité ‘Modérée‘, comme c’est la coutume. Cependant, les deux premiers de la liste (ADV230003, ADV230004) concernent des problèmes divulgués publiquement, avec ADV230003 sous exploitation active sur le terrain, comme indiqué ci-dessus. L’autre affecte l’outil ‘Memory Integrity System Readiness Scan’ de Microsoft, qui vérifie la compatibilité du code de l’hyperviseur pour les processeurs ARM64 et AMD64 et est également parfois appelé HVCI. Le troisième est bien sûr la pile de maintenance (servicing stack) régulièrement mise à jour, qui est toujours un bon choix pour une installation prioritaire.

CVE-2023-38180 : Vulnérabilité de déni de service dans .NET et Visual Studio

Plus d’informations concernant .NET/VS/.ASP : ce bug affecte les versions 17.2, 17.4 et 17.6 de VS 2022 ainsi que les versions 6.0 et 7.0 de .NET Core. Malgré l’intitulé de la CVE, .ASP.NET Core 2 est également affecté. Comme indiqué ci-dessus, il a récemment été découvert qu’elle était sous exploitation active.

CVE-2023-36895 : Vulnérabilité d’exécution de code à distance dans Microsoft Outlook

CVE-2023-36896 : Vulnérabilité d’exécution de code à distance dans Microsoft Excel

CVE-2023-35371 : Vulnérabilité d’exécution de code à distance dans Microsoft Office

Pour tous ces problèmes : le bug Outlook de classe ‘Critique’, le bug Office de classe ‘Importante’, affectent les utilisateurs Mac, mais les versions de ces correctifs n’ont pas été mises à disposition immédiatement. Les administrateurs des systèmes concernés sont fortement invités à surveiller les prochains messages de Microsoft concernant les mises à jour individuelles des CVE (CVE-2023-36895, CVE-2023-36896, CVE-2023-35371).

CVE-2023-36876 : Vulnérabilité d’élévation de privilèges dans Reliability Analysis Metrics Calculation (RacTask)

CVE-2023-35379 : Vulnérabilité d’élévation de privilèges dans Reliability Analysis Metrics Calculation Engine (RACEng)

Vous utilisez Windows Server 2008 R2 x64 pack 1, un package plutôt assez ancien ? Ces deux mises à jour sont spécifiquement pour vous (et pour aucune autre version de Windows). Les deux CVE sont identifiées comme des problèmes d’élévation de privilèges de classe ‘Importante’, bien que le libellé des informations sur le premier (“un attaquant qui exploite avec succès cette vulnérabilité ne peut pas accéder aux fichiers existants mais peut écrire ou écraser le contenu des fichiers, ce qui peut potentiellement rendre le système indisponible”) ressemble en quelque sorte à un DoS.

CVE-2023-35380 : Vulnérabilité d’élévation de privilèges dans le noyau Windows

CVE-2023-35382 : Vulnérabilité d’élévation de privilèges dans le noyau Windows

Ces deux problèmes d’élévation de privilèges partagent le même nom et le même avertissement indiquant qu’ils sont plus susceptibles d’être exploités dans les 30 jours suivant la publication de ce Patch Tuesday. Cependant, une lecture de ces informations fait apparaître un avantage plutôt modeste : les deux nécessitent un accès local à la machine ciblée (en utilisant le clavier, cependant, l’agresseur potentiel pourrait l’exploiter en créant des dossiers et en utilisant la fonction ‘Performance Trace’, 2 actions qui nécessitent des privilèges que les utilisateurs ont par défaut. Nous vous avions bien dit que l’avantage était modeste).

Figure 3 : Total cumulé de l’année 2023 jusqu’au Patch Tuesday de ce mois d’août. Vous avez peut-être l’impression du contraire, mais 2023 à ce jour est une année beaucoup plus légère que 2022 selon nos chiffres. À ce stade en 2022, Microsoft avait publié 690 correctifs, dont 52 correctifs de classe ‘Critique’. L’élévation de privilèges était en tête de liste avec 274 correctifs. En comparaison, le volume total de correctifs de cette année a été de 491 correctifs, dont 60 de classe ‘Critique’ ; Les problèmes d’exécution de contrôle à distance sont en tête du peloton avec 234 correctifs.

Les protections de Sophos

Comme c’est le cas tous les mois, si vous ne voulez pas attendre que votre système installe lui-même les mises à jour, vous pouvez les télécharger manuellement à partir du site Web Windows Update Catalog. Lancez l’outil winver.exe pour connaître la version de Windows 10 ou 11 que vous utilisez, puis téléchargez le package de mise à jour cumulative pour l’architecture et le numéro de build correspondant à votre système.

Annexe A : Impact et gravité des vulnérabilités

Il s’agit d’une liste des correctifs du mois d’août triés en fonction de l’impact, puis de la gravité. Chaque liste est ensuite organisée par CVE.

Exécution de code à distance (23 CVE)

Élévation de privilèges (18 CVE)

Usurpation (12 CVE)

Divulgation d’informations (9 CVE)

Déni de service (8 CVE)

Contournement de la fonctionnalité de sécurité (3 CVE)

Annexe B : Exploitation potentielle

Il s’agit d’une liste des CVE du mois d’août, établie par Microsoft, qui regroupe les vulnérabilités étant plus susceptibles d’être exploitées sur le terrain dans les 30 premiers jours suivant la publication du Patch Tuesday, ainsi que celles connues pour être déjà exploitées. Chaque liste est ensuite organisée par CVE. Rappel : ADV230003, un avis, est également connu pour être exploité activement, comme indiqué ci-dessus.

Annexe C : Produits affectés

Il s’agit d’une liste des correctifs du mois d’août triés par famille de produits, puis ensuite par gravité. Chaque liste est ensuite organisée par CVE.

Windows (35 CVE)

Office (8 CVE)

Azure (7 CVE)

.NET (6 CVE)

Exchange (6 CVE)

SharePoint (4 CVE)

Visual Studio (.NET exclus) (4 CVE)

.NET (2 CVE)

Dynamics 365 (2 CVE)

Teams (2 CVE)

Defender (1 CVE)

Extensions Vidéo HEVC (1 CVE)

SQL Server (1 CVE)

Annexe D : Autres produits

Il s’agit d’une liste d’avis et de correctifs tiers couverts par les correctifs du mois d’août de Microsoft, triés par groupe de produits.

Adobe Acrobat Reader (30 vulnérabilités)

AMD (une vulnérabilité)

Chromium / Edge (12 vulnérabilités)

GitHub (une vulnérabilité)

Billet inspiré de A piñata of patches for Microsoft in August, sur le Blog Sophos.