La mise à jour Patch Tuesday de Microsoft pour mars 2023 est en cours de déploiement avec des corrections pour un ensemble de 80 failles de sécurité, dont deux ont fait l’objet d’une exploitation active dans la nature.
Huit des 80 bogues sont classés critiques, 71 sont classés importants et un est classé modéré en gravité. Les mises à jour s’ajoutent aux 29 défauts que le géant de la technologie a corrigés dans son navigateur Edge basé sur Chromium ces dernières semaines.
Les deux vulnérabilités qui ont fait l’objet d’attaques actives incluent une faille d’escalade de privilèges Microsoft Outlook (CVE-2023-23397, score CVSS : 9,8) et un contournement de la fonctionnalité de sécurité Windows SmartScreen (CVE-2023-24880, score CVSS : 5,1).
CVE-2023-23397 est « déclenché lorsqu’un attaquant envoie un message avec une propriété MAPI étendue avec un chemin UNC vers un partage SMB (TCP 445) sur un serveur contrôlé par un acteur malveillant », a déclaré Microsoft dans un avis autonome.
Un acteur malveillant pourrait exploiter cette faille en envoyant un e-mail spécialement conçu, en l’activant automatiquement lorsqu’il est récupéré et traité par le client Outlook pour Windows. Par conséquent, cela pourrait conduire à une exploitation sans nécessiter aucune interaction de l’utilisateur et avant même que le message ne soit affiché dans le volet de prévisualisation.
Microsoft a crédité l’équipe d’intervention d’urgence informatique d’Ukraine (CERT-UA) pour avoir signalé la faille, ajoutant qu’elle était au courant des « attaques ciblées limitées » montées par un acteur de menace basé en Russie contre le gouvernement, les transports, l’énergie et les secteurs militaires en Europe.
CVE-2023-24880, d’autre part, concerne une faille de contournement de sécurité qui pourrait être exploitée pour échapper aux protections Mark-of-the-Web (MotW) lors de l’ouverture de fichiers non fiables téléchargés depuis Internet.
C’est aussi la conséquence d’un correctif étroit publié par Microsoft pour résoudre un autre bogue de contournement SmartScreen (CVE-2022-44698, score CVSS : 5,4) qui a été révélé l’année dernière et qui a été exploité par des acteurs financièrement motivés pour livrer le rançongiciel Magniber.
« Les fournisseurs publient souvent des correctifs étroits, créant une opportunité pour les attaquants d’itérer et de découvrir de nouvelles variantes », a déclaré Benoit Sevens, chercheur au Google Threat Analysis Group (TAG), dans un rapport.
« Étant donné que la cause première du contournement de sécurité SmartScreen n’a pas été résolue, les attaquants ont pu identifier rapidement une variante différente du bogue d’origine. »
TAG a déclaré avoir observé plus de 100 000 téléchargements de fichiers MSI malveillants signés avec une signature Authenticode mal formée depuis janvier 2023, permettant ainsi à l’adversaire de distribuer le rançongiciel Magniber sans déclencher d’avertissement de sécurité. La majorité de ces téléchargements ont été associés à des utilisateurs en Europe.
La divulgation intervient alors que la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajouté les deux failles au catalogue des vulnérabilités exploitées connues (KEV) et a annoncé un nouveau programme pilote qui vise à avertir les entités d’infrastructure critiques des « vulnérabilités généralement associées à l’exploitation connue de ransomwares ». «
Microsoft a également résolu un certain nombre de failles critiques d’exécution de code à distance affectant HTTP Protocol Stack (CVE-2023-23392, score CVSS : 9,8), Internet Control Message Protocol (CVE-2023-23415, score CVSS : 9,8) et Remote Exécution de l’appel de procédure (CVE-2023-21708, score CVSS : 9,8).
D’autres mentions notables incluent des correctifs pour quatre bogues d’escalade de privilèges identifiés dans le noyau Windows, 10 failles d’exécution de code à distance affectant Microsoft PostScript et le pilote d’imprimante de classe PCL6, et une vulnérabilité d’usurpation WebView2 dans le navigateur Edge.
Microsoft a également corrigé deux failles de divulgation d’informations dans OneDrive pour Android (CVE-2023-24882 et CVE-2023-24923, scores CVSS : 5,5), une vulnérabilité d’usurpation d’identité dans Office pour Android (CVE-2023-23391, score CVSS : 5,5), un bogue de contournement de sécurité dans OneDrive pour iOS (CVE-2023-24890, score CVSS : 4,3) et un problème d’escalade de privilèges dans OneDrive pour macOS (CVE-2023-24930, score CVSS : 7,8).
La liste est complétée par des correctifs pour deux vulnérabilités de haute gravité dans la spécification de la bibliothèque de référence du module de plateforme sécurisée (TPM) 2.0 (CVE-2023-1017 et CVE-2023-1018, scores CVSS : 8,8) qui pourraient conduire à la divulgation d’informations ou au privilège. escalade.
Correctifs logiciels d’autres fournisseurs
Outre Microsoft, des mises à jour de sécurité ont également été publiées par d’autres fournisseurs depuis le début du mois pour corriger plusieurs vulnérabilités, notamment –
- Adobe
- Android
- Pomme
- Réseaux Aruba
- Cisco
- Citrix
- CODESYS
- Dell
- Drupal
- F5
- Fortinet
- GitLab
- Google Chrome
- IBM
- Jenkins
- Lenovo
- Distributions Linux Debian, Oracle Linux, Red Hat, SUSE et Ubuntu
- MediaTek
- Mozilla Firefox, Firefox ESR et Thunderbird
- NETGEAR
- Nvidia
- Qualcomm
- Samba
- Samsung
- SÈVE
- Schneider Electric
- Siemens
- Sonic Wall
- Sophos
- Synologie
- Trend Micro
- Veeam
- Zoho, et
- Zoom