Les administrateurs IT vont peut-être un peu souffler avec la présentation du Patch Tuesday du mois de juin. Il n’y a en effet pas de failles de type zero day à corriger en urgence et en priorité. Microsoft a depuis quelques mois enchaîné les livraisons de correctifs comprenant des bulletins liés à ces vulnérabilités, souvent exploitées activement. Ce répit ne signifie pas pour autant un mois sans failles.
L’éditeur corrige 78 failles, dont 38 entraînant l’exécution du code à distance (RCE). Cependant, sur l’ensemble de ces brèches, 6 sont répertoriées comme étant critiques. Les administrateurs devront être vigilants sur certaines vulnérabilités comme la CVE-2023-29357 relative à des élévation de privilège dans SharePoint Server. « Un attaquant ayant accès à des jetons d'authentification JWT usurpés peut les utiliser pour exécuter une attaque réseau qui contourne l'authentification et lui permet d'accéder aux privilèges d'un utilisateur authentifié », peut-on lire dans l'avis de Microsoft. Ce dernier signale que le bug est activement exploité sans donner plus de détail. La faille a été découverte par Jang (Nguyễn Tiến Giang) de StarLabs SG.
Fin de support pour Windows 10 21H2
Une attention particulière devra être portée sur la CVE-2023-32031 visant Exchange. « L’attaquant avec cette faille pourrait cibler les comptes du serveur dans une exécution de code arbitraire ou à distance. En tant qu'utilisateur authentifié, il pourrait tenter de déclencher un code malveillant dans le contexte du compte du serveur par le biais d'un appel réseau », souligne la firme de Redmond. Dans le même temps, elle a publié de nombreuses mises à jour de sécurité pour Office ciblant Excel CVE-2023-33133 et CVE-2023-33137, OneNote (CVE-2023-33140) et Outlook (CVE-2023-33131). A noter que les failles dans OneNote et Outlook nécessitent que l’utilisateur clique sur un lien dans le fichier ou le courriel malveillant.
Enfin, le Patch Tuesday de juin 2023 signe le glas du support pour Windows 10 version 21H2. L’OS ne disposera plus de mises à jour de sécurité en juillet prochain. Lancée à la fin 2021, la version 21H2 a été remplacé par la 22H2. Microsoft encourage depuis plusieurs mois les utilisateurs à adopter cette dernière version (dont la fin du support est prévue en octobre 2025) ou basculer vers Windows 11, pour les configurations pouvant le supporter.
Commentaire