Satnam Narang, Senior Staff Research Engineer commente la mise à jour du dernier Patch Tuesday de Microsoft, ce mois-ci :
« Dans sa dernière version du Patch Tuesday pour 2023, Microsoft a corrigé 33 CVE, dont quatre jugées critiques et 29 jugées importantes. Ce mois-ci, Microsoft n’a corrigé aucune vulnérabilité de type « zero day » : c’est seulement la deuxième fois en 2023 qu’aucune vulnérabilité de type « zero day » n’a été corrigée (l’autre mois était le mois de juin).
Sur les 33 vulnérabilités corrigées ce mois-ci, 11 sont considérées comme plus susceptibles d’être exploitées selon Microsoft. Près des trois quarts de ces failles sont des failles d’élévation de privilèges, suivies par des failles d’exécution de code à distance (18,2 %). Généralement, les failles d’exécution à distance retiennent le plus l’attention en raison de leur impact, mais les vulnérabilités d’élévation de privilèges sont extrêmement précieuses pour les attaquants car elles sont souvent exploitées par des acteurs de menaces persistantes avancées (APT) et par des cybercriminels déterminés qui cherchent à élever leurs privilèges dans le cadre d’une activité post-compromission.
CVE-2023-35636 est une vulnérabilité de divulgation d’informations dans Microsoft Outlook. Un attaquant peut exploiter cette faille en convainquant une victime potentielle d’ouvrir un fichier spécialement conçu qui peut être transmis par courrier électronique ou hébergé sur un site web malveillant. Elle rappelle la CVE-2023-23397, une vulnérabilité d’élévation de privilèges dans Microsoft Outlook qui a été exploitée dans la nature en tant que jour zéro et corrigée dans la version du Patch Tuesday de mars 2023. Cependant, contrairement à CVE-2023-23397, CVE-2023-35636 n’est pas exploitable via le volet de prévisualisation de Microsoft, ce qui réduit la gravité de cette faille.
CVE-2023-36696 est une vulnérabilité d’élévation de privilèges dans le pilote de mini-filtre Windows Cloud Files. Un attaquant pourrait exploiter cette vulnérabilité dans le cadre d’une post-compromission pour élever ses privilèges à SYSTEM. Il s’agit de la sixième vulnérabilité d’élévation de privilèges découverte dans ce pilote en 2023. Le mois dernier, Microsoft a corrigé la CVE-2023-36036, une autre faille d’élévation de privilèges dans le même pilote qui a été exploitée dans la nature en tant que jour zéro.
En 2023, Microsoft a corrigé 909 CVE, soit une légère baisse de 0,87 % par rapport à 2022, année au cours de laquelle Microsoft a corrigé 917 CVE. En termes de gravité, la majorité des vulnérabilités en 2023 ont été classées comme importantes, représentant 90 % de toutes les CVE patchées, suivies par critiques à 9,6 %. En 2023, Microsoft a publié des correctifs pour 23 vulnérabilités zero-day ». Sur ces 23 vulnérabilités, plus de la moitié (52,2 %) étaient des failles d’élévation de privilèges ».
