Microsoft amorce le déploiement du Patch Tuesday de novembre pour corriger 53 vulnérabilités
Dont 23 permettent des exécutions de code à distance

Le , par Stéphane le calme, Chroniqueur Actualités
Microsoft a amorcé le déploiement de son traditionnel Patch Tuesday pour le mois de novembre 2017 pour colmater au total 53 vulnérabilités de sécurité, dont pas moins de 23 permettaient l'exécution de code à distance. Il faut noter cependant que la version de ce mois n'a apporté aucune mise à jour critique pour Windows, bien qu'il y ait quatre vulnérabilités différentes qui ont des exploits publics.

Parmi les vulnérabilités importantes qui ont été corrigées figure CVE-2017-11882, une vulnérabilité d’altération de mémoire dans Microsoft Office.

Il existe une vulnérabilité d’exécution de code à distance dans un logiciel Microsoft Office lorsque celui-ci ne parvient pas à traiter correctement les objets en mémoire. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire dans le contexte de l’utilisateur actuel. Si l’utilisateur actuel est connecté avec des privilèges d’administrateur, un attaquant pourrait prendre le contrôle du système affecté. L'attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec moins de droits sur le système pourraient être moins touchés que ceux qui disposent de privilèges d'administrateur.

L’exploitation de cette vulnérabilité nécessite qu’un utilisateur ouvre un fichier spécialement conçu avec une version concernée d’un logiciel Microsoft Office ou de Microsoft WordPad. Dans le cas d’une attaque par courrier électronique, un attaquant pourrait exploiter cette vulnérabilité en envoyant un fichier spécialement conçu à l’utilisateur et en persuadant celui-ci d’ouvrir le fichier. Dans le cas d’une attaque web, l’attaquant pourrait héberger un site web (ou exploiter un site web compromis qui accepte ou héberge du contenu provenant d’utilisateurs) contenant un fichier spécialement conçu pour exploiter cette vulnérabilité. Un attaquant n’aurait aucun moyen de forcer un utilisateur à visiter le site web. Il devrait le convaincre de cliquer sur un lien, généralement par le biais d'une sollicitation envoyée par message électronique ou message instantané, puis l’amener à ouvrir le fichier spécialement conçu.

La mise à jour de sécurité corrige la vulnérabilité en modifiant la façon dont le composant Office concerné traite les objets en mémoire. En un mot comme en cent : les utilisateurs Office sont invités à installer le correctif le plus tôt possible.

Ensuite, figure une vulnérabilité d’altération de mémoire dans le moteur script. Microsoft explique qu’il existe une vulnérabilité d’exécution de code à distance quant à la manière dont le moteur de script traite les objets en mémoire dans Microsoft Edge. Cette vulnérabilité pourrait altérer la mémoire et permettre à un attaquant d’exécuter du code arbitraire dans le contexte de l’utilisateur actuel. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les mêmes droits d’utilisateur que l’utilisateur actuel. Si l'utilisateur actuel a ouvert une session avec des privilèges d'administrateur, un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle d'un système affecté. L’attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes dotés de tous les privilèges.
Dans le cas d’une attaque web, un attaquant pourrait héberger un site web spécialement conçu pour exploiter cette vulnérabilité via Microsoft Edge, puis inciter un utilisateur à consulter ce site web. L’attaquant pourrait également exploiter des sites web compromis et des sites web qui acceptent ou hébergent du contenu ou des annonces fournis par les utilisateurs. Ces sites web pourraient contenir du code spécialement conçu pour exploiter cette vulnérabilité.

La mise à jour de sécurité corrige la vulnérabilité en modifiant la façon dont le moteur de script traite les objets en mémoire.

Gill Langston de Qualys recommande aux administrateurs informatiques de prêter une attention particulière aux mises à jour Windows fixant CVE-2017-11830 et CVE-2017-11847, car elles semblent être les deux vulnérabilités Windows qui méritent d'être traitées en priorité :
  • la première, CVE-2017-11830 est une vulnérabilité de contournement de la fonctionnalité de sécurité dans Device Guard : il existe une vulnérabilité de contournement de la fonctionnalité de sécurité lorsque Device Guard valide de manière incorrecte un fichier non approuvé. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait faire en sorte qu’un fichier non signé semble être signé. Étant donné que Device Guard se sert de la signature pour vérifier que le fichier n’est pas malveillant, il pourrait autoriser l’exécution d’un fichier malveillant. Dans le cas d’une attaque, un attaquant pourrait faire en sorte qu’un fichier non signé semble être signé ;
  • la seconde, CVE-2017-11847, est une vulnérabilité d’élévation de privilèges dans le noyau Windows : il existe une vulnérabilité d’élévation de privilèges lorsque le noyau Windows ne parvient pas à traiter correctement les objets en mémoire. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire en mode noyau. L’attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes dotés de tous les privilèges. Pour exploiter cette vulnérabilité, un attaquant devrait d’abord ouvrir une session sur le système. Il pourrait alors exécuter une application spécialement conçue pour prendre le contrôle d’un système concerné.

La mise à jour déployée par Microsoft corrige ces problèmes en modifiant le comportement de ces fonctionnalités.

Les systèmes Windows 10 ont également reçu des mises à jour. Windows 10 Fall Creators Update, qui est en cours de déploiement à travers le monde, a ainsi connu son premier Patch Tuesday.

Comme d'habitude, il convient de mentionner que ces mises à jour nécessitent des redémarrages, et dans les grands réseaux où le déploiement en masse est nécessaire, le travail doit être sauvegardé avant de procéder à l'installation.

Source : Microsoft (1, 2, 3, 4)


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :
Contacter le responsable de la rubrique Accueil