Accueil Cybersécurité Patch Tuesday : baisse de 20 % des vulnérabilités uniques

Patch Tuesday : baisse de 20 % des vulnérabilités uniques

Patch Tuesday
Patch Tuesday Ivanti octobre 2017

Chaque mois, Ivanti nous livre en exclusivité son analyse du Patch Tuesday. Celui d’octobre est arrivé. Microsoft a résolu un total de 62 vulnérabilités uniques, soit près de 20% en moins par rapport aux 76 vulnérabilités uniques résolues le mois dernier. 

10 bulletins ont été publiés, dont 9 marqués comme critiques et un comme important. Les vulnérabilités résolues incluaient 2 divulgations publiques, ainsi qu’une vulnérabilité déjà exploitée et ayant fait l’objet d’une divulgation publique.

Produits Microsoft concernés :

  • Internet Explorer
  • Microsoft Edge
  • Microsoft Windows
  • Microsoft Office, et services et applis Web Microsoft Office
  • Skype Entreprise et Lync
  • Microsoft SharePoint Server

Une question récurrente : est-ce que la prise en charge de Linux, que Microsoft ajoute à ses systèmes d’exploitation, va provoquer des vulnérabilités supplémentaires. La réponse est oui ! Chaque fois que de nouvelles fonctionnalités sont introduites, cela représente une opportunité pour la création de nouvelles vulnérabilités. On en a vu apparaître de temps en temps et, ce mois-ci, l’une d’entre elles a été divulguée publiquement.

-CVE-2017-8703 | Vulnérabilité DDoS du sous-système Windows pour Linux (divulguée publiquement) – Un pirate peut exécuter une application spécialement conçue à cet effet pour agir sur un objet en mémoire et empêcher le système de répondre.

Mises à jour Offices en niveau « important »

Il est intéressant de constater que Microsoft a choisi de classer les mises à jour Office du mois au niveau de gravité « Important » alors qu’il s’agit d’une divulgation publique et que la vulnérabilité résolue avait été exploitée.

  • CVE-2017-11777 | Vulnérabilité de Microsoft Office SharePoint XSS (divulguée publiquement) – Un pirate peut envoyer une demande spécialement conçue à un serveur SharePoint infecté. Le pirate bénéficie ainsi du même contexte de sécurité que l’utilisateur actuel, ce qui lui permet de lire des données auxquelles il ne doit pas avoir accès, d’usurper l’identité de la victime pour exécuter des actions sur le site SharePoint au nom de cette personne et d’injecter du contenu malveillant dans le navigateur de cet utilisateur.
  • CVE-2017-11826 | Vulnérabilité de corruption de la mémoire Microsoft Office (exploitée et divulguée publiquement) – Un pirate peut exploiter cette vulnérabilité en envoyant un fichier spécialement conçu à l’utilisateur et en le convainquant de l’ouvrir. Le pirate peut également héberger un site Web contenant des fichiers spécialement conçus pour exploiter cette vulnérabilité. En cas d’exploitation, le pirate dispose du même contexte que l’utilisateur. Dans ce cas, la réduction des privilèges peut limiter l’impact sur un système infecté.

C’est la dernière fois que Microsoft publie des mises à jour de sécurité pour Windows 10 1511. Il est temps de passer à la version Mise à jour anniversaire 1607 ou de passer directement à la mise à jour Créateurs 1703, pour obtenir la toute dernière version. Pour toute question l’aide Microsoft fait autorité.

Adobe Flash : aucun correctif

Pour la première fois depuis très longtemps, Adobe Flash ne comprend aucun correctif de sécurité. Seulement une publication de priorité 3 (correction d’un bug de fonctionnalité) pour Adobe Flash et aucune mise à jour obligatoire de la part de Microsoft !

Oracle va publier sa mise à jour CPU trimestrielle. Il faut s’attendre à des mises à jour critiques pour Java JRE et JDK, ainsi que pour d’autres produits Oracle.

En raison de l’actualité, vérifier la politique d’application des correctifs 

La faille de sécurité Equifax et l’audition au Congrès qui a suivi ont dominé les gros titres concernant la sécurité pendant la plus grande partie du mois de septembre. Le témoignage de l’entreprise a montré des défaillances à la fois de la part des collaborateurs et au niveau des aspects technologiques de son programme d’application des correctifs. Bien que la vulnérabilité en question soit connue depuis déjà quelque temps, le processus d’application des correctifs a été retardé en raison d’une initiative des collaborateurs. Pire encore, les outils utilisés indiquaient que les systèmes avaient reçu des correctifs alors que ce n’était pas le cas. Nous conseillons à chacun de vérifier sa politique d’application des correctifs et les processus mis en œuvre, pour s’assurer de réellement limiter l’exposition et les risques.

Les attaques sont toujours plus complexes et la vulnérabilité EternalBlue v1SMB continue de servir de point d’entrée. Des annonces récentes parlent de l’introduction d’un cheval de Troie dans un système bancaire en Europe et au Japon, et de l’attaque d’un système de réservation d’hôtel en Europe et au Moyen-Orient. Ces deux attaques ont utilisé un jeu d’outils complexes pour accéder aux systèmes cible et tenter de dérober les références d’authentification des utilisateurs. Ce n’est qu’un exemple de plus qui montre pourquoi il faut rester vigilant et garantir que nos systèmes sont à jour des tout derniers correctifs, pour éviter l’exploitation de ces vulnérabilités.

Juliette Paoli