Patch Tuesday du mois de juillet : une très bonne récolte

Version 2 [Mise à jour 1] publiée à 18h25 UTC, le 14 juillet 2023, ajoutant des informations sur CVE-2023-36884 et mettant à jour les chiffres de manière globale.

Publié initialement à 18h38 UTC le 11 juillet 2023]

Microsoft vient de publier des correctifs pour 130 vulnérabilités dont 8 problèmes de gravité ‘Critique’ dans Windows et deux autres dans SharePoint. Comme d’habitude, le plus grand nombre de vulnérabilités traitées dans ce Patch Tuesday concerne Windows avec 105 CVE, dont deux qui affectent également Azure et une (CVE-2023-36884) qui affecte également Office. Office reçoit 10 correctifs, dont trois qu’il partage avec Outlook, un qu’il partage avec Windows comme indiqué ci-dessus et un autre qu’il partage avec Access. SharePoint en reçoit cinq. Azure en reçoit quatre, bien que deux d’entre eux soient partagés avec Windows, comme indiqué ci-dessus. Microsoft Dynamics en reçoit deux. Visual Studio et .NET partagent un correctif et chacun en reçoit un autre.

Microsoft publie également trois avis qui méritent d’être examinés de plus près. ADV230001, “Conseils concernant les pilotes signés Microsoft utilisés à des fins malveillantes/Guidance on Microsoft Signed Drivers Being Used Maliciously“, traite un problème d’exploit actif présent dans plusieurs produits. Pour un examen approfondi de la situation, notamment le rôle de Sophos X-Ops dans cette découverte, veuillez consulter l’article ci-joint ; Microsoft a également publié un article Knowledge Base à ce sujet. ADV230002, “Conseils de Microsoft pour traiter le contournement de la fonctionnalité de sécurité dans les modules Trend Micro EFI/Microsoft Guidance for Addressing Security Feature Bypass in Trend Micro EFI Modules“, est également inclus ce mois-ci, tout comme ADV990001, couvrant les dernières mises à jour de Servicing Stack.

En plus du problème détaillé dans ADV230001, Microsoft signale cinq CVE corrigées, toutes de gravité ‘Importante‘, comme étant exploitées activement sur le terrain. Deux d’entre elles (CVE-2023-32049, CVE-2023-35311) sont des problèmes de contournement de sécurité. Dans le premier cas, un attaquant utilisant CVE-2023-32049 pourrait envoyer à une cible une URL spécialement conçue qui, en cliquant dessus, pourrait contourner l’invite habituelle ‘Ouvrir un fichier’ et son avertissement de sécurité ; de même, dans ce dernier cas, une URL spécialement conçue pourrait entraîner le contournement de l’invite de l’avis de sécurité d’Outlook. CVE-2023-63884 fait également l’objet d’une exploitation active dans le cadre de ce que l’on appelle actuellement “l’attaque Storm-0978” contre le gouvernement américain (vous trouverez ci-dessous plus d’informations sur CVE-2023-36884, notamment les protections Sophos mises en œuvre). Les deux autres problèmes exploités activement sont des problèmes d’élévation de privilèges touchant MSHTML et le service Windows Error Reporting.

De plus, Microsoft prévient que trois des problèmes Windows et deux des problèmes SharePoint traités sont plus susceptibles d’être exploités dans les versions les plus récentes ou antérieures du produit concerné (c’est-à-dire dans les 30 prochains jours).

Au-delà de cette mise à jour, Microsoft a également fourni des informations sur trois CVE Adobe (CVE-2023-29298, CVE-2023-29300, CVE-2023-29301) corrigées aujourd’hui dans le Bulletin APSB23-40. Toutes les trois touchent ColdFusion et affectent CF2018 update 16, CF2021 update 6, CF2023 GA Release (2023.0.0) et versions antérieures, et Adobe déclare que les trois sont moins susceptibles d’être exploitées au cours des 30 prochains jours. Aucune des trois n’a été divulguée jusque là.

Nous inclurons à la fin de cet article trois annexes répertoriant tous les correctifs Microsoft du mois, triés par gravité, exploitation potentielle et famille de produits.

Quelques chiffres

• Nombre total de CVE Microsoft : 130
• Nombre total d’avis contenus dans la mise à jour : 3
• Divulgation(s) publique(s) : 0
• Exploitation(s) : 6 (y compris ADV230001)
• Gravité :
  • Critique : 9
  • Importante : 121

• Impact :

• • Élévation de privilèges : 35
  • Exécution de code à distance (RCE) : 36
  • Déni de service : 22
  • Divulgation d’informations : 19
  • Contournement de la fonctionnalité de sécurité : 12
  • Usurpation : 6

Figure 1 : Un nombre identique de problèmes RCE et EoP ce mois-ci sont rejoints par une récolte exceptionnelle en matière de contournement de la fonctionnalité de sécurité, dont un de classe ‘Critique’.

Produits

• Windows (avec 2 correctifs partagés avec Azure et un partagé avec Office) : 105
• Office (avec un correctif partagé avec Access, un partagé avec Windows et 3 partagés avec Outlook) : 10
• SharePoint : 5
• Azure : 3
• Outlook : 3
• .NET (avec un correctif partagé avec Visual Studio) : 2
• Dynamics 365 : 2
• Visual Studio (avec un correctif partagé avec .NET) : 2
• Access (correctif partagé avec Office) : 1
• common_utils.py : 1
• Defender : 1
• Mono : 1
• VP9 Video Extensions : 1

Figure 2 : De nombreuses familles de produit font leur apparition dans le Patch Tuesday de juillet, mais Windows continue de faire la course en tête (pour les correctifs partagés par plusieurs familles, les nombres ci-dessus reflètent une instance pour chaque famille affectée : par exemple, Visual Studio et .NET ont chacun un correctif et partagent un correctif, donc dans ce tableau, chacun se retrouve associé à deux correctifs)

Mises à jour majeures du mois de juillet

ADV230001 : Conseils concernant les pilotes signés Microsoft utilisés à des fins malveillantes/ Guidance on Microsoft Signed Drivers Being Used Maliciously

La découverte de pilotes certifiés par le MWHDP (Microsoft Window Hardware Developer Program) qui étaient utilisés de manière malveillante dans des activités de post-exploitation, selon le texte de l’avis émis par Microsoft, permettra de développer “des solutions à long terme pour lutter contre ces pratiques trompeuses et empêcher de futures impacts sur les clients”. En attendant, veuillez consulter “Microsoft révoque les pilotes malveillants suite au dernier Patch Tuesday” pour obtenir des informations détaillées sur nos découvertes.

CVE-2023-36884 : Vulnérabilité d’exécution de code à distance dans Office et Windows HTML

Cette vulnérabilité est une RCE affectant à la fois Windows et Office. Pour l’exploiter avec succès, un attaquant doit créer un document Office malveillant et convaincre la victime de l’ouvrir. Le problème réside dans une clé de registre non documentée liée à MSHTML (le moteur Internet Explorer hébergé par diverses applications Microsoft), c’est pourquoi Windows et Office sont concernés. Il s’agit de la vulnérabilité actuellement connue pour être liée aux attaques Storm-0978 contre le gouvernement américain ; Microsoft attribue à celle-ci son deuxième niveau de gravité le plus élevé, ‘Important’, et a donné un certain nombre de conseils spécifiques, et fait des observations concernant l’attaque elle-même.

Sur la base de notre analyse des informations disponibles, les clients Sophos disposent déjà de plusieurs couches de protection contre les techniques utilisées dans l’attaque signalée et ses composants, comme indiqué ci-dessous :

• Document malveillant présent dans un email de phishing : une détection Sophos disponible depuis 2018 protège contre ce type d’attaque.
• Iframe, composants CHM et outil d’attaque Impacket : d’autres détections antimalware Sophos protègent contre ces derniers.
• Activité post-exploitation, notamment le vol d’identifiants et le déplacement latéral : plusieurs détections Sophos des comportements au runtime protègent contre ces attaques.
• Charge virale de ransomware signalée dans l’attaque RomCom : CryptoGuard protège contre cette attaque.

Enfin, certains rapports publics indiquent que MSDT.EXE fait partie de la chaîne d’attaque. Bien que nous n’ayons pas validé s’il faisait vraiment partie de cette chaîne, MSDT.EXE est bloqué par le verrouillage de HitMan Pro, une contre-mesure que nous avons introduite en réponse aux attaques de Follina de mai 2022.

CVE-2023-35352 : Vulnérabilité de contournement de la fonctionnalité de sécurité dans Windows Remote Desktop

Ce problème côté serveur est le seul correctif de classe ‘Critique‘ non-RCE du mois de juillet, et Microsoft estime qu’il est plus susceptible d’être exploité dans les 30 prochains jours. Un attaquant qui parviendrait à exploiter CVE-2023-35352 pourrait contourner l’authentification par certificat ou par clé privée lors de l’établissement d’une session RDP (Remote Desktop Protocol).

CVE-2023-35308 : Vulnérabilité de contournement de la fonctionnalité de sécurité dans la plateforme Windows MSHTML

CVE-2023-35336 : Vulnérabilité de contournement de la fonctionnalité de sécurité dans la plateforme Windows MSHTML

Voici donc des vulnérabilités que vous ne vous attendiez probablement pas à voir aujourd’hui : à savoir des correctifs pour Internet Explorer. Nous avons abordé CVE-2023-36884 plus haut, qui comme ces dernières est un problème au niveau de MSHTML. Bien qu’IE et même Edge Legacy soient obsolètes, MSHTML, EdgeHTML et les programmes de scripting qui les sous-tendent sont toujours très présents dans Windows. Microsoft indique donc que toutes les versions de Windows à l’exception de Server 2008, Server 2008 R2 et Server 2012 sont concernées, et que les clients qui ont installé uniquement les mises à jour de sécurité doivent aussi installer les mises à jour cumulatives IE pour résoudre ce problème. Ce ne sont pas les seules vulnérabilités MSHTML du Patch Tuesday de ce mois-ci, ni les plus préoccupantes : CVE-2023-32046, un problème d’élévation de privilèges de classe ‘Importante‘, est exploité activement sur le terrain, mais il est vraiment étrange de voir le fantôme de sérieuses vulnérabilités Internet Explorer continuer de hanter, encore et toujours, le Patch Tuesday en 2023.

CVE-2023-35333 : Vulnérabilité d’exécution de code à distance dans MediaWiki PandocUpload Extension

CVE-2023-35373 : Vulnérabilité d’usurpation dans Mono Authenticode Validation

Ces deux éléments sont issus de familles de produit un peu moins connues des habitués du Patch Tuesday. Les extensions MediaWiki sont développées par Microsoft pour un usage interne, mais sont accessibles au public via le GitHub de Microsoft ; Mono est le vénérable framework logiciel open source compatible avec .NET. Les deux vulnérabilités sont jugées par Microsoft comme moins susceptibles d’être exploitées dans les 30 prochains jours, aucune n’est censée être exploitée sur le terrain, et les deux ont été divulguées en coopération à Microsoft.

Figure 3 : Au cours de l’année, les failles d’exécution de code à distance continuent de dominer l’ensemble du Patch Tuesday

Les protections de Sophos

Comme c’est le cas tous les mois, si vous ne voulez pas attendre que votre système installe lui-même les mises à jour, vous pouvez les télécharger manuellement à partir du site Web Windows Update Catalog. Lancez l’outil winver.exe pour connaître la version de Windows 10 ou 11 que vous utilisez, puis téléchargez le package de mise à jour cumulative pour l’architecture et le numéro de build correspondant à votre système.

Annexe A : Impact et gravité des vulnérabilités

Il s’agit d’une liste des correctifs du mois de juillet triés en fonction de l’impact, puis de la gravité. Chaque liste est ensuite organisée par CVE.

Exécution de code à distance (36 CVE)

Élévation de privilèges (35 CVE)

Déni de service (22 CVE)

Divulgation d’informations (19 CVE)

Contournement de la fonctionnalité de sécurité (12 CVE)

Usurpation (6 CVE)

Annexe B : Exploitation potentielle

Il s’agit d’une liste des CVE du mois de juillet, établie par Microsoft, qui regroupe les vulnérabilités étant plus susceptibles d’être exploitées sur le terrain dans les 30 premiers jours suivant la publication du Patch Tuesday, ainsi que celles connues pour être déjà exploitées. Chaque liste est ensuite organisée par CVE.

Annexe C : Produits affectés

Il s’agit d’une liste des correctifs du mois de juillet triés par famille de produits, puis ensuite par gravité. Chaque liste est ensuite organisée par CVE.

Windows (102 CVE)

Office (10 CVE)

SharePoint (5 CVE)

Azure (3 CVE)

Outlook (3 CVE)

.NET (2 CVE)

Dynamics 365 (2 CVE)

Visual Studio (.NET exclus) (2 CVE)

Access (1 CVE)

common_utils.py (1 CVE)

Defender (1 CVE)

Mono (1 CVE)

VP9 Video Extensions (1 CVE)

Billet inspiré de Update 1: July’s Patch Tuesday: A rich harvest, sur le Blog Sophos.