L’année 2023 s’annonce chargée en nombre de failles comme le montrait récemment un rapport du cyber-assureur Coalition. Inutile donc de s’étonner que la livraison mensuelle de correctifs de sécurité de Microsoft soit conséquente. En janvier, elle avoisinait les 100 bulletins, en février, elle contient 77 patchs. Parmi les failles corrigées, 9 sont classées comme « critiques » autorisant l’exécution de code à distance. 66 sont jugées « importantes ».
A l’intérieur du Patch Tuesday, 3 vulnérabilités sont de type zero day et sont activement exploitées. La première est la CVE-2023-21823 découverte par une équipe de chercheurs de Mandiant. Elle entraîne une exécution de code à distance dans le composant graphique de Windows. Un attaquant peut ainsi lancer des commandes avec des privilèges au niveau du système. A noter que Microsoft diffuse le patch via son store plutôt que via Windows Update.
Contournement de macro dans Publisher
La deuxième vulnérabilité, CVE-2023-21775, a été découverte par un chercheur de Microsoft et concerne Microsoft Publisher. La faille est capable, à partir d’un document spécifique, de contourner les politiques de sécurité sur les macro d’Office, bloquant les fichiers non fiables et malveillants. Bien que cette faille soit activement exploitée, la firme de Redmond relativise la dangerosité en soulignant que « l’attaque proprement dite est exécutée localement par un utilisateur authentifié auprès du système ciblé ».
La troisième faille est la CVE-2023-23376 et a été repérée par le centre de threat intelligence de Microsoft. Elle se niche dans le pilote du système de fichiers du journal commun de Windows (Windows Common Log File System Driver). Elle peut accorder à un attaquant des élévations de privilèges système. Microsoft n'a malheureusement pas donné de détails sur ce problème, mais comme il fait l'objet d'une exploitation active, il est urgent de colmater la brèche.
D’autres failles à ne pas négliger
Parmi les autres failles, celle touchant Office et en particulier Outlook ne sont pas à négliger. Un cybercriminel peut se servir du volet de prévisualisation d'Outlook pour lancer une attaque par exécution de code à distance à l'aide d'un fichier RTF malveillant.
Il y a également la vulnérabilité (dont le score de gravité est de 9,8) ciblant iSCSI Discovery Service. Elle offre des privilèges d’exécution de code à distance sur toute machine 32 bits sur laquelle iSCSI DS est exécuté. Les trois autres vulnérabilités critiques concernent toutes Protected Extensible Authentication Protocol de Microsoft, dont la Zero Day Initiative de Trend Micro a noté qu'il n'est plus guère utilisé.
Commentaire