Patch Tuesday : Microsoft corrige une faille zero day largement exploitée dans Internet Explorer,ainsi qu'une faille dans Exchange Server dont le code du PoC était disponible publiquement
Le traditionnel Patch Tuesday de Microsoft ce mois-ci avait des enjeux plus élevés que d’habitude avec des correctifs pour une vulnérabilité zero day sur Internet Explorer qui était activement exploitée et une faille dans Exchange Server révélée le mois dernier avec un code de PoC.
Dans son avis de sécurité, Microsoft indique
Envoyé par Microsoft
Il existe une vulnérabilité de divulgation d’informations lorsqu’Internet Explorer traite de manière incorrecte les objets en mémoire. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait tester la présence de fichiers sur disque. Pour réussir son attaque, l’attaquant doit persuader un utilisateur à ouvrir un site web malveillant.
Cette mise à jour de sécurité corrige la vulnérabilité en modifiant la façon dont Internet Explorer traite les objets en mémoire.
Cette mise à jour de sécurité corrige la vulnérabilité en modifiant la façon dont Internet Explorer traite les objets en mémoire.
Notons que Microsoft n’a trouvé aucun facteur atténuant pour cette vulnérabilité.
Mais il est aussi question de Microsoft Exchange Server. À ce propos, Microsoft indique que
Envoyé par Microsoft
Il existe une vulnérabilité d’élévation de privilèges dans Microsoft Exchange Server. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait tenter d’usurper l’identité d’un autre utilisateur du serveur Exchange.
Pour exploiter cette vulnérabilité, un attaquant devrait effectuer une attaque de l’intercepteur (MitM) afin de transférer une demande d’authentification à un serveur Microsoft Exchange Server et d’autoriser l’usurpation d’un autre utilisateur Exchange.
Pour corriger cette vulnérabilité, une stratégie de limitation pour EWSMaxSubscriptions peut être définie et appliquée à l’organisation avec la valeur zéro. Ainsi, le serveur Exchange ne peut pas envoyer de notifications EWS et les applications clientes reposant sur les notifications EWS risquent de ne pas fonctionner normalement. Outlook pour Mac, Skype Entreprise, les applications LOB dépendant des notifications et certains clients de messagerie natifs iOS constituent des exemples d’applications concernées.
Pour exploiter cette vulnérabilité, un attaquant devrait effectuer une attaque de l’intercepteur (MitM) afin de transférer une demande d’authentification à un serveur Microsoft Exchange Server et d’autoriser l’usurpation d’un autre utilisateur Exchange.
Pour corriger cette vulnérabilité, une stratégie de limitation pour EWSMaxSubscriptions peut être définie et appliquée à l’organisation avec la valeur zéro. Ainsi, le serveur Exchange ne peut pas envoyer de notifications EWS et les applications clientes reposant sur les notifications EWS risquent de ne pas fonctionner normalement. Outlook pour Mac, Skype Entreprise, les applications LOB dépendant des notifications et certains clients de messagerie natifs iOS constituent des exemples d’applications concernées.
Ici, pour corriger cette vulnérabilité, une stratégie de limitation pour EWSMaxSubscriptions peut être définie et appliquée à l’organisation avec la valeur zéro. Ainsi, le serveur Exchange ne peut pas envoyer de notifications EWS et les applications clientes reposant sur les notifications EWS risquent de ne pas fonctionner normalement. Outlook pour Mac, Skype Entreprise, les applications LOB dépendant des notifications et certains clients de messagerie natifs iOS constituent des exemples d’applications concernées.
De peur que les lecteurs ne soient tentés de penser que Microsoft est le seul grand fabricant de logiciels dont les produits ont été activement exploités ces dernières semaines, il faut noter qu'Apple a corrigé la semaine dernière trois vulnérabilités zero day iOS qui, selon les chercheurs, étaient largement exploitées. Deux de ces failles zero day ont été découvertes par Project Zero.
Au total, Microsoft a corrigé plus de 70 vulnérabilités, dont 20 considérées comme critiques. Les produits vulnérables comprenaient :
- Adobe Flash Player
- Internet Explorer
- Microsoft Edge
- Microsoft Windows
- Microsoft Office, Services Microsoft Office et Microsoft Office Web Apps
- ChakraCore
- .NET Framework
- Microsoft Exchange Server
- Microsoft Visual Studio
- Azure IoT SDK
- Microsoft Dynamics
- Team Foundation Server
- Visual Studio Code
Source : Microsoft (CVE-2019-0686, CVE-2019-0676, aperçu général)
Et vous ?
Que pensez-vous du fait de divulguer publiquement l'existence d'une faille avec le code PoC permettant de l'exploiter ? Les chercheurs doivent-ils attendre que l'éditeur ait publié un correctif ou laisser passer un certain délai pour se rassurer que la majorité des utilisateurs ont déjà installé le patch ?Voir aussi :
Microsoft annonce deux nouvelles mises à jour pour sa plateforme Azure analytics et met en avant un meilleur rapport qualité/prix Microsoft rejoint le projet OpenChain aux côtés de Google, pour participer à la définition de normes pour la conformité des logiciels open source Microsoft Office 365 reste l'application la plus populaire en entreprise et bat Google G Suite, d'après un rapport Laissez tomber Office 2019 et optez plutôt pour Office 365 et ses fonctionnalités basées sur l'IA, le nouveau slogan publicitaire de Microsoft
Vous avez lu gratuitement 3 008 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
