Accueil Sécurité Patch Tuesday de Microsoft : 18 correctifs critiques et importants !

Patch Tuesday de Microsoft : 18 correctifs critiques et importants !

Microsoft publie d’un coup deux mois de mises à jour après avoir annulé le Patch Tuesday de février. On y trouve 18 bulletins, critiques ou importants. Ivanti nous explique en exclusivité, comme chaque mois, ce qu’il faut en retenir.

Si vous manquez un Patch Tuesday, les choses s’accumulent très rapidement. Les publications de mars le montrent très clairement. Microsoft vient juste de publier deux mois de mises à jour, qui incluent au total 18 bulletins (oui, nous avons bien écrit « bulletins », nous allons y venir), dont 9 de type « Critique », 9 de type « Important », 136 CVE (Common Vulnerabilities and Exposures, failles courantes), 3 de type « Zero Day » et 12 divulgations publiques. Nous avons aussi la divulgation SMB (CVE-2017-0016 dans MS17-012), publiée la semaine précédant le Patch Tuesday de février.  Il y a en outre deux bulletins d’Adobe et deux autres de VMware, dont nous allons parler.

 

Microsoft prévoyait plusieurs choses pour février, et nous allons commencer par examiner cette liste pour voir ce qu’il en est :

  • Fermeture de la divulgation publique SMB : la vulnérabilité CVE-2017-0016 a été résolue dans MS17-012. Cela marque la fin de la vulnérabilité de SMB divulguée la semaine précédant le Patch Tuesday de février.
  • Séparation d’IE des lots de sécurité: on a parlé du fait que Microsoft cherchait à sortir les mises à jour d’Internet Explorer (IE) des lots Sécurité uniquement pour Windows 7 et 8.1… Et bien, c’est fait ! Cela affecte les utilisateurs qui déploient le lot Sécurité uniquement sous Windows 7 et 8.1, ou pour toute autre version antérieure à Windows 10, d’ailleurs.
  • Microsoft devait arrêter de publier des bulletins : étant donné que nous avons 18 bulletins ce mois-ci, nous pensons que Microsoft a renoncé à ce changement, du moins pour le moment.

Passons aux bulletins ! 

Ils sont très nombreux ce mois-ci, alors nous allons parler des plus importants uniquement. Chacun d’entre eux concerne des divulgations publiques ou des attaques « Zero Day », et ils figurent tous sur la liste des priorités d’Ivanti ce mois-ci.

MS17-006 est une mise à jour cumulée pour Internet Explorer.  Elle est marquée comme Critique et résout un total de 12 vulnérabilités, y compris 5 divulgations publiques (CVE-2017-0008, CVE-2017-0037, CVE-2017-0012, CVE-2017-0033, CVE-2017-0154) et un « Zero Day » (CVE-2017-0149).  La vulnérabilité « Zero Day » cible l’utilisateur et pouvait permettre à un pirate d’obtenir les mêmes droits que l’utilisateur connecté.  Le pirate pouvait exploiter cette vulnérabilité en hébergeant des sites Web spécialement conçus ou en tirant parti d’un site Web infecté, via le contenu créé par l’utilisateur victime ou via les publicités.

MS17-007 est une mise à jour cumulée pour le navigateur Edge.  Elle est marquée comme Critique et résout un total de 32 vulnérabilités, y compris 5 vulnérabilités divulguées publiquement (CVE-2017-0065, CVE-2017-0012, CVE-2017-0033, CVE-2017-0069, CVE-2017-0037). Évidemment, le « Zero Day » est le plus grand facteur de risques lorsque l’on définit la priorité des bulletins, mais les vulnérabilités divulguées publiquement sont en fait plus dangereuses, parce qu’elles peuvent offrir suffisamment d’informations à un pirate pour qu’il crée une attaque. La plupart des vulnérabilités ciblent les utilisateurs, ce qui signifie qu’elles sont parfaites pour les attaques par hameçonnage, y compris via du contenu Web conçu à cet effet. N’oubliez pas : une bonne gestion des privilèges peut vous aider à limiter l’impact d’un grand nombre de ces vulnérabilités. Si vous mettez en place un système de gestion des privilèges, le pirate obtient seulement des droits égaux à ceux de l’utilisateur victime et doit acquérir d’autres privilèges pour aller plus loin.

MS17-013 est une mise à jour pour Office, Lync, Skype et Silverlight. Elle est marquée comme Critique et résout un total de 12 vulnérabilités, dont une vulnérabilité divulguée publiquement (CVE-2017-0014) et une vulnérabilité « Zero Day » (CVE-2017-0005). Ce bulletin contient un grand nombre de vulnérabilités qui ciblent l’utilisateur, dont certaines qui permettent d’utiliser le volet Aperçu comme vecteur d’attaque.

MS17-022 est une mise à jour pour Microsoft XML Core Services.  Elle est marquée Important et résout une seule vulnérabilité, mais il s’agit d’un « Zero Day » pouvant autoriser la divulgation d’informations. Dans ce cas, le pirate peut héberger un site Web spécialement conçu, capable d’exploiter la vulnérabilité XML et de permettre à ce pirate de vérifier la présence de fichiers sur le disque. De là, le pirate peut tenter d’autres attaques par exploitation.

Patch Tuesday mars

Les applications tierces

 

Il y a beaucoup d’autres bulletins Microsoft, mais ce sont là les éléments à traiter en priorité. Passons maintenant aux applications tierces : il y a deux bulletins Adobe et deux bulletins VMware ce mois-ci.

Adobe Flash Player, comme on s’y attendait, figure sur la liste. En 2016, un seul Patch Tuesday ne comprenait pas de mise à jour Flash Player.  Comme toujours, il est important de noter qu’il faut mettre à jour Adobe Flash et tous les plug-ins pour IE, Chrome et FireFox, pour vous protéger entièrement des vulnérabilités. Le bulletin du mois, APSB17-07, inclut des correctifs pour 7 vulnérabilités ciblant l’utilisateur, susceptibles de permettre à un pirate de prendre le contrôle du système infecté. Cette mise à jour est marquée comme priorité 1 par Adobe et figure dans notre liste de priorités.

VMware VMSA-2017-0005 est une vulnérabilité critique dans VMware Workstation Fusion and Player.  Cette mise à jour résout une seule vulnérabilité. Il s’agit d’une vulnérabilité d’accès mémoire lors limites, susceptible de permettre l’exécution de code.

 

Mise à jour pour Libre Office, sur la liste de la CIA

 

D’autres fournisseurs ont publié des mises à jour, notamment FileZilla, CCleaner et Libre Office mais, pour le moment, aucune information de sécurité ne les accompagne. Libre Office est particulièrement intéressant, puisqu’il figure sur la liste de la CIA intitulée « Fine Dining list » (élément de la section 7 de Wikileaks) en tant que produit connu pour faciliter le piratage des DLL.  Nous surveillons la liste des fournisseurs de DLL piratables pour repérer les mises à jour publiées pour nous protéger de ce type d’attaque, mais aucune n’a été ajoutée pour le moment.