Les failles de sécurité n'ont pas attendu le printemps pour fleurir un peu partout dans les solutions et services de Microsoft. Un simple regard sur le dernier patch tuesday de l'éditeur permet de se rendre compte que la dernière salve est aussi costaude que celle de février. Si le mois dernier 77 failles ont été comblées contre 74 ce mois-ci, celles classées critiques sont en augmentation, au nombre de 6 cette fois contre 3 précédemment. « Ce volume semble être la nouvelle norme pour Microsoft. Cependant, comme nous l'avons vu le mois dernier, les bogues d'exécution de code à distance continuent de dominer cette édition », ont indiqué les chercheurs de Zero Day Initiative.
Sur le mois écoulé, on dénombre en effet une vingtaine de RCE dont plusieurs critiques et de sévérité élevée, telles que la CVE-2023-23415 dont le score CVSS culmine à 9.8. Cette dernière concerne ICMP (Internet Control Message Protocol), un des protocoles fondamentaux de la couche réseau pour remonter les erreurs par exemple quand un équipement réseau ne parvient pas à communiquer avec un autre. En cas d'exploit « un attaquant pourrait envoyer à l’ordinateur cible une erreur de protocole de faible niveau dont l’en-tête contient un paquet IP fragmenté. Pour déclencher le chemin de code vulnérable, une application sur la cible doit être liée à un socket brut », explique Microsoft.
Un risque important d'attaque relais NTLM via Outlook
Deux failles actuellement exploitées ont aussi été corrigées : la première (CVE-2023-23397) d'un niveau de sévérité important (CVSS 9.1) affecte Outlook. « Alors que nous recherchons souvent des vulnérabilités dans Outlook qui peuvent être déclenchées par la fonctionnalité du volet de prévisualisation du logiciel, un attaquant pourrait exploiter cette vulnérabilité en envoyant simplement un e-mail à une cible potentielle. En effet, la vulnérabilité est déclenchée du côté du serveur de messagerie, ce qui signifie que l'exploitation se produirait avant que la victime ne consulte l'e-mail malveillant », a prévenu de son côté Satnam Narang, ingénieur sécurité senior chez Tenable. « Un attaquant pourrait exploiter cette vulnérabilité pour divulguer le hachage Net-NTLMv2 d'un utilisateur et mener une attaque de type relais NTLM afin de s'authentifier à nouveau en tant qu'utilisateur. Cette vulnérabilité est notamment attribuée à la Computer Emergency Response Team of Ukraine (CERT-UA), ce qui pourrait signifier qu'elle a pu être exploitée dans la nature contre des cibles ukrainiennes ».
Le second trou de sécurité exploité est considéré comme modéré (CVE-2023-24480) d'un score CVSS de 5.4, et concerne le contournement de la fonction SmartScreean de Windows qui fonctionne avec sa fonctionnalité Mark of the Web (MOTW) pour marquer les fichiers téléchargés depuis Internet. « La vulnérabilité permet aux attaquants de créer des fichiers qui contourneraient les défenses Mark of the Web (MOTW). Les mesures de protection telles que SmartScreen et Protected View dans Microsoft Office s'appuient sur MOTW, donc leur contournement permet aux acteurs de la menace de diffuser plus facilement des logiciels malveillants via des documents spécialement conçus et d'autres fichiers infectés qui seraient autrement arrêtés par SmartScreen », explique Zero Day Initiative.
Commentaire