Patch Tuesday du mois de juillet : un véritable déluge de mises à jour

Alors que les deux plus grandes conférences du secteur de l’infosec (Black Hat Briefings et Def Con) devraient avoir lieu dans moins d’un mois, Microsoft a tout mis en œuvre et, pour ce mois de juillet, a presque triplé le nombre de correctifs publiés en juin, traitant ainsi des problèmes découverts dans Windows, Office et des logiciels fonctionnant sous diverses plateformes Serveur et Cloud.

Le produit le plus concerné par le déluge de correctifs de cet été est Microsoft SQL Server. Le composant Microsoft SQL Server Native Client de la mise à jour de ce mois-ci corrigera 38 bugs d’exécution de code à distance distincts dans le pilote de base de données OLE. Un attaquant pourrait utiliser l’un des bugs du pilote OLE DB en incitant un compte authentifié à se connecter à une base de données SQL Server malveillante. L’exploitation se produit lorsque cette base de données malveillante renvoie des données qui déclenchent l’exécution de code arbitraire au niveau du Client.

Les bugs d’exécution de code à distance représentent la plus grande proportion de correctifs de ce Patch Tuesday, les 59 RCE représentant plus de 43 % du nombre total de problèmes que la mise à jour cumulative de ce mois-ci traitera. Microsoft classe cinq des vulnérabilités RCE au niveau de gravité le plus élevé, “Critique“, notamment les bugs qui affectent SharePoint Server, Windows Remote Desktop Licensing Service et la bibliothèque Windows Codec.

La liste des vulnérabilités de ce mois de juillet en comprend 13 que Microsoft considère comme “potentiellement” plus exploitables que les autres, notamment les bugs critiques de SharePoint Server et de la bibliothèque Windows Codec. Heureusement, Microsoft affirme qu’un seul des bugs corrigés ce mois-ci a été exploité ou rendu public : à savoir, CVE-2024-38080, un exploit d’élévation de privilèges dans l’hyperviseur Windows Hyper-V pour machines virtuelles. Six des bugs de ce mois-ci sont détectables via les règles Sophos IPS dans XGS Firewall. Les informations à ce sujet sont incluses dans un tableau à la fin de cet article.

Bien que la majorité de ces vulnérabilités aient été signalées directement à Microsoft, certains rapports de bug proviennent d’organisations extérieures, qui ont divulgué les informations de manière responsable auprès de Microsoft. Adobe a signalé CVE-2024-34122, une vulnérabilité d’exécution de code à distance encore inexploitée dans la version Chromium du navigateur Edge qui a été corrigée avant la publication de ce Patch Tuesday avec la sortie de la version 126.0.2592.81 le 27 juin. Le CERT/CC de l’Université Carnegie Mellon a signalé CVE-2024-3596, une vulnérabilité de falsification qui affecte la mise en œuvre du protocole RADIUS (RFC 2865) via UDP dans de nombreux systèmes d’exploitation. Enfin, Intel a signalé CVE-2024-37985, un point faible de la famille de processeurs ARM qui, pour les clients Microsoft, n’affecte que les ordinateurs exécutant Windows 11 version 22H2 sur un processeur ARM (ARM64) 64 bits.

Quelques chiffres

• Nombre total de CVE Microsoft : 138
• Total des avis/problèmes Edge/Chrome traités dans la mise à jour : 1
• Total des avis/problèmes non-Microsoft traités dans la mise à jour : 4
• Nombre total des problèmes Adobe traités dans la mise à jour : 1
• Divulgation(s) publique(s) : 1
• Exploitation(s) : 1
• Gravité :
  • Critique : 5
  • Importante : 132
  • Modérée : 1
• Impact :
  • Exécution de code à distance (RCE) : 59
  • Élévation de privilèges : 24
  • Contournement des fonctionnalités de sécurité : 24
  • Déni de service : 17
  • Divulgation d’informations : 8
  • Usurpation : 7

Le Patch Tuesday de ce mois de juillet corrige 138 bugs dans six catégories de vulnérabilité

Produits

• Windows (notamment .NET et ASP.NET) : 87
• Microsoft SQL Server : 38
• Azure : 5
• SharePoint : 4
• Office : 2
• Dynamics 365 : 1
• Microsoft Defender pour IoT : 1

Windows représente près des deux tiers des correctifs de ce mois de juillet

Mises à jour majeures du mois de juillet

Outre les questions évoquées ci-dessus, quelques éléments spécifiques méritent une attention particulière.

Vulnérabilité d’exécution de code à distance dans Microsoft SQL Server Native Client OLE DB Provider

Microsoft a traité 38 CVE ce mois-ci dans le cadre de correctifs apportés à sa famille de bases de données avancée. Il y a trop de numéros CVE pour tous les énumérer ici, mais les correctifs semblent tous répondre à diverses permutations du même processus général d’exploitation : à savoir, si un attaquant incite un utilisateur authentifié d’un serveur de base de données MS-SQL légitime à se connecter à son serveur MS-SQL malveillant, du code arbitraire sur ce serveur malveillant se propagerait alors du serveur vers l’ordinateur client et s’exécuterait sur le client en question.

Cet exploit complexe nécessite que les potentiels attaquants effectuent un travail préalable, en créant un serveur de base de données avec du contenu malveillant dans ses tables. Bien sûr, cette compromission nécessite que l’utilisateur ciblé n’ait pas corrigé son logiciel client SQL Server avec la mise à jour cumulative de ce mois-ci, et que les attaquants identifient et ciblent un administrateur de base de données et réussissent à le duper par ingénierie sociale. Ne tombez donc pas dans ce piège !

CVE-2024-38060 : Vulnérabilité d’exécution de code à distance dans la bibliothèque Microsoft Windows Codecs

En 1986, le monde a découvert deux pilotes de chasse quelque peu cowboys (disons plutôt des pilotes de l’aéronautique navale) dans Top Gun. Moins connu, mais toujours Alive And Kicking (comme la chanson sortie la même année par Simple Minds), le format de fichier image TIFF a également été introduit cette année-là par Aldus Corporation, désormais connue sous le nom d’Adobe.

Cette CVE corrige une vulnérabilité critique et facilement exploitable spécifique à ce format de fichier vieux de 38 ans. Un fichier TIFF malveillant spécialement conçu, uploadé sur un serveur vulnérable, aurait pu inciter le serveur qui reçoit le fichier à exécuter un code malveillant intégré dans le fichier TIFF. Corrigez vos serveurs pour les faire sortir de cette zone de danger.

CVE-2024-38032 : Vulnérabilité d’exécution de code à distance dans Microsoft XBOX

Les utilisateurs de la console de jeu Xbox qui disposent également d’un adaptateur sans fil et qui se connectent sans fil à leur réseau local doivent se méfier des intrus qui se cacheraient au sein de leur réseau et qui pourraient attaquer ces appareils. La menace hypothétique (en tout cas jusqu’à présent) est qu’une personne connectée à votre réseau sans fil puisse envoyer un paquet réseau malveillant vers la Xbox, qui pourrait alors exécuter une commande arbitraire. L’attaquant doit, pour cela, être connecté au même réseau que celui de la Xbox, c’est donc une autre bonne raison pour ne pas inviter d’acteurs malveillants à votre soirée WLAN.

À l’approche de l’été, les bugs RCE représentent près de 40 % du total des bugs corrigés jusqu’à présent au cours de l’année civile 2024

Les protections de Sophos

Comme c’est le cas tous les mois, si vous ne voulez pas attendre que votre système installe lui-même les mises à jour, vous pouvez les télécharger manuellement à partir du site Web Microsoft Update Catalog. Lancez l’outil winver.exe pour connaître la version de Windows que vous utilisez, puis téléchargez le package de mise à jour cumulative pour l’architecture et le numéro de build correspondant à votre système.

Annexe A : Impact et gravité des vulnérabilités

Il s’agit d’une liste des correctifs du mois de juillet triés en fonction de l’impact, puis de la gravité. Chaque liste est ensuite organisée par CVE.

Déni de service (17 CVE)

Élévation de privilèges (24 CVE)

Divulgation d’informations (9 CVE)

Exécution de code à distance (59 CVE)

Contournement des fonctionnalités de sécurité (24 CVE)

Usurpation (7 CVE)

Annexe B : Exploitation potentielle

Il s’agit d’une liste des CVE du mois de juillet, établie par Microsoft, qui regroupe les vulnérabilités étant plus susceptibles d’être exploitées sur le terrain dans les 30 premiers jours suivant la publication du Patch Tuesday. Les mises à jour de ce mois-ci ne corrigent aucune vulnérabilité connue de Microsoft pour être exploitée.

Annexe C : Produits affectés

Il s’agit d’une liste des correctifs du mois de juillet triés par famille de produits, puis ensuite par gravité. Chaque liste est ensuite organisée par CVE. Les correctifs partagés entre plusieurs familles de produit sont répertoriés plusieurs fois, une fois pour chaque famille.

Windows (86 CVE)

SQL Server (38 CVE)

Azure (5 CVE)

SharePoint (4 CVE)

Office 365 (2 CVE)

Microsoft Dynamics 365 (on-prem)

Microsoft Defender pour IoT (1 CVE)

Billet inspiré de July Patch Tuesday Unleashes a Torrent of Updates, sur le Blog Sophos.