Comme on pouvait s’y attendre, après le report par Microsoft de sa mise à jour de sécurité de février, celle de mars est plutôt fournie. L’éditeur a publié hier, 2e mardi du mois, une synthèse listant 17 bulletins de sécurité couvrant un total de 134 vulnérabilités, auxquels s’ajoutent un bulletin sur Adobe Flash. Sur l’ensemble, 8 bulletins signalent des failles critiques permettant d’exécuter du code à distance. Les autres sont qualifiés d’importants. Pour les équipes de sécurité, c’est le bulletin MS17-013 associé à la correction du composant Graphics (Windows GDI) qui constitue la priorité la plus élevée. Parmi les failles identifiées, la plus grave prête le flanc à une exécution de code à distance si un utilisateur visitait un site web ou ouvrait un document spécialement conçus pour les piéger. Le correctif s’applique à Windows, Office, Skype Enterprise, Lync et Silverlight, indique Microsoft.
Cette faille zero day (identifiée CVE-2017-0005) est exploitée activement, précise Amol Sarwate, directeur de l’ingénierie chez Qualys, dans son billet mensuel. « Elle pourrait être bientôt incorporée à des kits d’exploits utilisant Silverlight comme vecteur d’attaque comme cela a été vu par le passé », pointe l’expert en sécurité. Selon lui, la priorité suivante doit aller à la mise à jour MS17-012 qui corrige Windows. En cause, une faille qui permettrait à des serveurs SMB malveillants de prendre le contrôle d’un client essayant de se connecter. Du côté poste de travail, trois failles critiques (CVE-2017-0008, CVE-2017-0037, CVE-2017-0065) concernent les navigateurs IE et Edge, exposés si un utilisateur consulte une page web malveillante hébergée par un attaquant. Parmi les correctifs à appliquer rapidement, Amol Sarwate cite ensuite le bulletin MS17-014 portant sur Office dont l’une des vulnérabilités était publique.
Des failles critiques dans Exchange, IIS et Hyper-V
Du côté serveur, Exchange et IIS sont concernés par les bulletins MS17-015 et MS17-016 sur des failles qui les exposent lors des connexions à Internet. L’une d’elles touche Exchange Outlook Web Access (OWA). En cas d’exploitation, ce dernier ne parviendrait pas à traiter correctement les requêtes web et un attaquant pourrait exécuter un script ou injecter du contenu. Les deux autres vulnérabilités critiques affectent Windows Hyper-V (cf bulletin MS17-008), qui pourrait exécuter du code arbitraire en cas d’attaque, et Active Directory Federation Server (MS17-019) qui pourrait laisser échapper des informations sensibles si un attaquant lui envoyait des requêtes spécifiques. Voilà pour les bulletins critiques. La mise à jour de sécurité de mars en comporte encore 9 autres, classés importants, notamment pour Office, Exchange Server et IIS.
A l’automne 2016, Microsoft avait annoncé qu’il comptait remplacer, à partir de février 2017, ses traditionnels bulletins de sécurité par son portail Security Updates Guide. Ce dernier, ouvert en bêta dès novembre, donne accès à une base de données de documents de support dans laquelle les utilisateurs peuvent rechercher des renseignements sur les failles identifiées en la consultant de plusieurs façons : tri par CVE (Common Vulnerabilities and Exposures), numéros de KB (knowledge base), produits ou date de publication. Certains analystes se sont demandés si les problèmes rencontrés par Microsoft sur la livraison du Patch Tuesday de février pouvaient être liés à cette mise en place, mais l’éditeur de Redmond n’a fourni aucune explication sur ce point. Et la synthèse des bulletins de sécurité de mars 2017 qu’il a publiée hier ne fait aucune référence à un éventuel changement apporté aux prochaines publications, fait remarquer le directeur de l'ingénierie de Qualys.
Commentaire