Gabriel
Qu’est-ce qui vient de se passer? Depuis 2003, Microsoft utilise « Patch Tuesday » comme définition non officielle de la publication mensuelle de correctifs de sécurité pour Windows et d’autres produits logiciels. Pour mars 2023, Redmond a corrigé deux vilaines failles zero-day que les cybercriminels parrainés par l’État et les opérations de ransomware ont déjà exploitées dans la nature.
Cette semaine, Microsoft a publié sa dernière collection de correctifs de sécurité. Par rapport à février 2023, le dernier lot de correctifs en bon plan un nombre croissant de vulnérabilités, y compris quelques failles déjà exploitées.
Le bulletin de sécurité de Microsoft de mars indique que cette version inclut des correctifs pour de nombreux composants et fonctionnalités de sécurité Windows, la technologie de virtualisation Hyper-V, Visual Studio, les programmes Office, etc. La mise à jour devrait corriger 83 failles de sécurité pour Windows et d’autres produits logiciels Microsoft.
Neuf des 83 faiblesses ont été classées comme « critiques », ce qui indique que les pirates pourraient les utiliser pour diverses attaques. Compte tenu du type de bug et de son effet sur Windows et les autres logiciels concernés, les vulnérabilités appartiennent aux catégories suivantes : 21 vulnérabilités d’élévation de privilèges, 2 vulnérabilités de contournement des fonctionnalités de sécurité, 27 vulnérabilités d’exécution de code à distance, 15 vulnérabilités de divulgation d’informations, 4 déni de vulnérabilités de service, 10 vulnérabilités d’usurpation d’identité, 1 vulnérabilité Edge – Chromium.
Cette liste n’inclut pas les 21 vulnérabilités déjà corrigées par Microsoft dans le navigateur Edge avant la mise à jour Patch Tuesday. Bleeping Computer a publié un rapport complet répertoriant tous les bugs fermés et les test associés. Le correctif de mars comprenait deux corrections de bugs zero-day, que Microsoft a confirmé que les pirates avaient activement exploités.
Le premier bug zero-day est « Microsoft Outlook Elevation of Privilege Vulnerability (CVE-2023-23397) ». Si elle est exploitée avec succès, la faille permet d’accéder au hachage Net-NTLMv2 d’un utilisateur, qu’un pirate peut utiliser « comme base d’une attaque NTLM Relay contre un autre service pour s’authentifier en tant qu’utilisateur ». Il n’est pas nécessaire de lire ou de prévisualiser un e-mail, car le serveur déclencherait automatiquement la faille lors du traitement du message. correctif.
La deuxième faille zero-day est la « vulnérabilité de contournement de la fonctionnalité de sécurité Windows SmartScreen (CVE-2023-24880) ». Microsoft explique qu’un attaquant peut exploiter ce bug en créant un fichier malveillant qui échapperait aux défenses Mark of the Web (MOTW) dans la fonction d’affichage protégé de Microsoft Office. Les chercheurs de Google ont découvert CVE-2023-24880, affirmant que des pirates l’avaient exploité à l’aide du rançongiciel Magniber, notant qu’il était lié à un bug précédent de type « zero-day » (CVE-2022-44698) corrigé par Microsoft en décembre.
Microsoft a distribué ses dernières mises à jour via le service officiel Windows Update, des systèmes de gestion des mises à jour tels que WSUS et des téléchargements directs (quoique massifs) via le catalogue Microsoft Update. Parmi les autres éditeurs de logiciels qui publient des mises à jour de sécurité synchronisées avec le Patch Tuesday de Microsoft, citons Apple, Cisco, Google, Fortinet, SAP et le géant de la sauvegarde Veeam.
Découvrez le reportage du mois (sous-titré en français), l’IA gagnera t-elle face aux champion du monde du jeu de Go ? :