Patch Tuesday du mois de mai : aucune situation d’urgence n’a été signalée

Le déluge de correctifs d’avril dernier s’est considérablement calmé en mai, puisque Microsoft a publié 59 correctifs touchant 11 familles de produits. Windows, comme d’habitude, se taille la part du lion au niveau des correctifs avec 48, le reste étant réparti entre .NET, 365 Apps for Enterprise, Azure, Bing Search pour iOS, Dynamics 365, Intune, Office, Power BI, SharePoint et Visual Studio. Il n’existe qu’un seul problème de gravité critique affectant SharePoint.

Au moment de la publication de ce Patch Tuesday, deux problèmes, de gravité importante, affectant Windows, sont connus pour être activement exploités sur le terrain. Selon l’estimation de l’entreprise, dix vulnérabilités additionnelles de gravité plus importante dans Windows et SharePoint sont plus susceptibles d’être exploitées au cours des 30 prochains jours. Huit d’entre elles sont détectables par les protections Sophos, des informations sur ces dernières vous seront présentées dans le tableau ci-dessous.

En plus de ces correctifs, cette dernière édition du Patch Tuesday comprend des informations consultatives sur six correctifs liés au navigateur Edge ; deux liés à Visual Studio mais gérés par GitHub et non par Microsoft ; et quatre provenant d’Adobe. Nous n’incluons pas d’avertissements dans les décomptes et les graphiques CVE ci-dessous, mais nous fournissons des informations sur chacun d’eux dans une annexe à la fin de l’article. Nous incluons comme d’habitude à la fin de cet article trois autres annexes répertoriant tous les correctifs de Microsoft, triés par gravité, par exploitabilité potentielle et par famille de produits.

Quelques chiffres

• Nombre total de CVE Microsoft : 59
• Total des avis/problèmes Edge/Chrome traités dans la mise à jour : 6
• Total des avis/problèmes Visual Studio non-Microsoft traités dans la mise à jour : 2
• Nombre total des problèmes Adobe traités dans la mise à jour : 4
• Divulgation(s) publique(s) : 2
• Exploitation(s) : 2
• Gravité :
  • Critique : 1
  • Importante : 57
  • Modérée : 1
• Impact :
  • Exécution de code à distance (RCE) : 25
  • Élévation de privilèges : 17
  • Divulgation d’informations : 7
  • Usurpation : 4
  • Déni de service : 3
  • Contournement des fonctionnalités de sécurité : 2
  • Altération : 1

Figure 1 : Le mois de mai continue de mettre l’accent, comme le mois précédent, sur les problèmes RCE, bien que les sept catégories d’impact habituelles de Microsoft fassent leur apparition.

Produits

• Windows : 48
• Dynamics 365 : 2
• SharePoint : 2
• Visual Studio: 2 (dont un partagé avec .NET ; en plus, deux problèmes concernent VS)
• .NET : 1 (partagé avec Visual Studio)
• 365 Apps for Enterprise : 1 (partagé avec Office)
• Azure : 1
• Bing Search pour iOS : 1
• Intune : 1
• Office : 1 (partagé avec 365 Apps for Enterprise)
• Power BI : 1

Figure 2 : Windows est concerné par la grande majorité des correctifs du mois de mai, seul SharePoint a un problème de gravité critique à gérer

Mises à jour et thématiques majeures de ce mois de mai

Outre les questions évoquées ci-dessus, quelques éléments spécifiques méritent une attention particulière.

CVE-2024-4559 / Chrome : CVE-2024-4671 / Use after free dans Visuals

Devons-nous vraiment faire figurer cet avis en premier ce mois-ci dans cette section ? La réponse est OUI, bien sûr. Ce bug dans Chrome a été techniquement corrigé (un jour après son signalement à Google par un chercheur anonyme), et il est mentionné dans la publication du Patch Tuesday de Microsoft simplement pour indiquer aux utilisateurs Edge que la dernière version traite ce problème de gravité élevée. Ainsi, Edge, et tous les navigateurs utilisant Chromium OSS, doivent immédiatement être mis à jour avec le correctif, car ce problème a déjà été observé en train d’être exploité sur le terrain. Donc, ne perdez pas de temps.

CVE-2024-30040 : Vulnérabilité de contournement des fonctionnalités de sécurité dans la plateforme Windows MSHTML
CVE-2024-30051 : Vulnérabilité d’élévation de privilèges dans Windows DWM Core Library

Deux problèmes supplémentaires ont été détectés en cours d’exploitation sur le terrain. Le problème MSHTML a une valeur CVSS de 8,8 ; le bug contourne une fonctionnalité de Microsoft 365 appelée OLE Auto-Activation Block, qui permet aux administrateurs d’empêcher les abus ciblant OLE/COM. Un attaquant pourrait abuser de ce bug en envoyant à l’utilisateur ciblé un fichier malveillant, puis en l’incitant, pour citer le bulletin, “à manipuler le fichier spécialement conçu, mais pas nécessairement en cliquant ou en ouvrant le fichier malveillant”. Le problème ciblant DWM Core Library a un score CVSS inférieur à 7,8 et partage le devant de la scène avec trois autres correctifs traitant de ce même composant : notons que la liste des chercheurs crédités est plutôt variée et surprenante, notamment des chercheurs de Kaspersky, Google Threat Analysis Group, Google Mandiant et DBAPPSecurity WeBin Lab.

CVE-2024-30050 : Vulnérabilité de contournement des fonctionnalités de sécurité dans Windows Mark of the Web

Le déluge de correctifs d’avril est peut-être terminé, mais le rythme constant des problèmes de Mark of the Web continue. Ce problème particulier a un impact modéré et une portée limitée : une attaque réussie entraînerait des pertes limitées en matière d’intégrité et de disponibilité des fonctionnalités de sécurité qui reposent sur MotW, notamment le mode protégé (Protected Mode) dans Office. Néanmoins, Microsoft estime que celui-ci est plus susceptible d’être exploité dans les 30 prochains jours, et l’exploitation potentielle d’une vulnérabilité comme celle-ci dans une attaque en chaîne doit bien rester présente à l’esprit. Sophos a développé des protections Intercept X/Endpoint IPS et XGS Firewall pour lutter contre ce problème, comme indiqué dans le tableau ci-dessous.

CVE-2024-30044 : Vulnérabilité d’exécution de code à distance dans Microsoft SharePoint Server

La seule vulnérabilité de gravité critique du mois de mai affecte SharePoint et Microsoft estime qu’elle est plus susceptible d’être exploitée dans les 30 prochains jours. Une fois de plus, Sophos a développé des protections Intercept X/Endpoint IPS et XGS Firewall pour lutter contre ce problème, comme indiqué dans le tableau ci-dessous.

Figure 3 : Les problèmes RCE continuent de dépasser tous les autres types de vulnérabilité en 2024

Les protections de Sophos

Comme c’est le cas tous les mois, si vous ne voulez pas attendre que votre système installe lui-même les mises à jour, vous pouvez les télécharger manuellement à partir du site Web Windows Update Catalog. Lancez l’outil winver.exe pour connaître la version de Windows 10 ou 11 que vous utilisez, puis téléchargez le package de mise à jour cumulative pour l’architecture et le numéro de build correspondant à votre système.

Annexe A : Impact et gravité des vulnérabilités

Il s’agit d’une liste des correctifs du mois de mai triés en fonction de l’impact, puis de la gravité. Chaque liste est ensuite organisée par CVE.

Exécution de code à distance (25 CVE)

Élévation de privilèges (17 CVE)

Divulgation d’informations (7 CVE)

Usurpation (4 CVE)

Déni de service (3 CVE)

Contournement des fonctionnalités de sécurité (2 CVE)

Altération (1 CVE)

Annexe B : Exploitation potentielle

Il s’agit d’une liste des CVE du mois de mai, établie par Microsoft, qui regroupe les vulnérabilités étant plus susceptibles d’être exploitées sur le terrain dans les 30 premiers jours suivant la publication du Patch Tuesday. Chaque liste est ensuite organisée par CVE.

Annexe C : Produits affectés

Il s’agit d’une liste des correctifs du mois de mai triés par famille de produits, puis ensuite par gravité. Chaque liste est ensuite organisée par CVE. Les correctifs partagés entre plusieurs familles de produit sont répertoriés plusieurs fois, une fois pour chaque famille.

Windows (48 CVE)

Dynamics 365 (2 CVE)

SharePoint (2 CVE)

Visual Studio (2* CVE)

* De plus, cette version inclut des informations sur deux avis émis par GitHub affectant Visual Studio ; veuillez consulter l’annexe D pour obtenir plus de détails.

.NET (1 CVE)

365 Apps for Enterprise (1 CVE)

Azure (1 CVE)

Bing Search pour iOS (1 CVE)

Intune (1 CVE)

Office (1 CVE)

Power BI (1 CVE)

Annexe D : Avis et autres produits

Il s’agit d’une liste d’avis et d’informations concernant d’autres CVE pertinentes dans le Patch Tuesday du mois de mai de Microsoft, triés par produits.

Publications pertinentes pour Edge / Chromium (6 CVE)

Publications pertinentes pour Visual Studio (CVE non-Microsoft) (2 CVE)

Publications pertinentes pour Adobe (publications non-Microsoft) (4 CVE)

Billet inspiré de No mayday call necessary for the year’s fifth Patch Tuesday, sur le Blog Sophos.