Microsoft a publié un correctif facultatif pour résoudre une vulnérabilité de divulgation d’informations du noyau affectant les systèmes exécutant plusieurs versions de Windows, y compris les dernières versions de Windows 10, Windows Server et Windows 11.
Bien qu’il ait un score de base CVSS de gravité moyenne de 4,7/10, Redmond a marqué cette faille de sécurité (CVE-2023-32019) comme une gravité importante.
Signalé par le chercheur en sécurité de Google Project Zero, Mateusz Jurczyk, le bogue permet aux attaquants authentifiés d’accéder à la mémoire de tas des processus privilégiés exécutés sur des appareils non corrigés.
Bien qu’une exploitation réussie ne nécessite pas que les acteurs de la menace aient des privilèges d’administrateur ou d’autres privilèges élevés, cela dépend de leur capacité à coordonner leurs attaques avec un autre processus privilégié exécuté par un autre utilisateur sur le système ciblé.
Ce qui distingue le correctif CVE-2023-32019 des autres mises à jour de sécurité publiées dans le cadre du Patch Tuesday de juin 2023, c’est qu’il est désactivé par défaut, même après l’application des mises à jour de cette semaine.
Comme Microsoft l’explique dans un document de support, vous devez modifier le registre sur les systèmes Windows vulnérables pour activer le correctif.
« Pour atténuer la vulnérabilité associée à CVE-2023-32019, installez la mise à jour Windows de juin 2023 ou une mise à jour Windows ultérieure », indique Microsoft.
« Par défaut, le correctif de cette vulnérabilité est désactivé. Pour activer le correctif, vous devez définir une valeur de clé de registre basée sur votre système d’exploitation Windows. »
Bien que Microsoft n’ait pas fourni de détails supplémentaires sur la raison pour laquelle ce correctif est désactivé par défaut, un porte-parole a déclaré à Breachtrace que « la mise à jour devrait être activée par défaut dans une future version ».
Cependant, il n’est pas clair si l’activation du correctif peut entraîner des problèmes dans le système d’exploitation, il peut donc être plus sûr de le tester sur quelques machines avant d’effectuer un déploiement à grande échelle.
Comment activer le correctif CVE-2023-32019
Selon la version de Windows exécutée sur votre appareil, vous devrez ajouter ce qui suit sous la clé de registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides :
- Windows 10 20H2, 21H2, 22H2 : Ajoutez une nouvelle valeur de registre DWORD nommée 4103588492 avec une donnée de valeur de 1
- Windows 11 21H2 : ajoutez une nouvelle valeur de registre DWORD nommée 4204251788 avec une donnée de valeur de 1
- Windows 11 22H2 : Ajoutez une nouvelle valeur de registre DWORD nommée 4237806220 avec une donnée de valeur de 1
- Windows Server 2022 : Ajoutez une nouvelle valeur de registre DWORD nommée 4137142924 avec une donnée de valeur de 1
Sur Windows 10 1607 et Windows 10 1809, vous devrez ajouter une nouvelle valeur de registre DWORD nommée ‘LazyRetryOnCommitFailure’ avec une valeur de données de 0 sous la clé de registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Configuration Manager.
Ce n’est pas la première fois que la société publie un correctif facultatif pour une vulnérabilité de sécurité Windows.
Le mois dernier, Microsoft a déclaré qu’un correctif corrigeant le bogue de démarrage sécurisé CVE-2023-24932 exploité par le malware BlackLotus UEFI en tant que zero-day nécessitait des étapes manuelles supplémentaires en plus de l’installation de la mise à jour de sécurité pour supprimer le vecteur d’attaque.
Comme expliqué à l’époque, Redmond adopte une approche progressive pour appliquer les protections CVE-2023-24932 afin de réduire l’impact sur les clients.
Cependant, il n’est pas clair si l’activation de la fonctionnalité peut entraîner des problèmes dans le système d’exploitation, il peut donc être plus sûr de la tester sur quelques machines avant d’effectuer un déploiement à grande échelle.
Microsoft a également averti qu’il n’y avait aucun moyen d’annuler les modifications une fois que les atténuations CVE-2023-24932 sont entièrement déployées et activées sur un système.