Pas de trêve estivale pour les administrateurs systèmes sur le front des correctifs de sécurité. Microsoft a présenté un volumineux Patch Tuesday pour le mois de juillet qui corrige pas moins de 6 failles zero day pour un total de 132 vulnérabilités. Sur ces dernières, 37 correspondent à l’exécution de code à distance, mais seulement 9 sont jugées critiques selon l’éditeur.
Un florilège de failles zero day
Sur les failles zero day, au moins quatre vulnérabilités corrigées ce mois-ci ont obtenu des scores CVSS élevés et sont déjà exploitées activement, selon Microsoft. Parmi elles, il y a la CVE-2023-32049 (découverte par les équipes de Threat Intelligence de Microsoft) ouvrant une brèche dans Windows SmartScreen où les malwares peuvent contourner les messages d'avertissement de sécurité. De son côté, la CVE-2023-35311 touche Outlook via le volet de prévisualisation des messages en évitant les avertissements de sécurité.
Les deux autres vulnérabilités zero day de ce mois-ci pour Windows entraînent une escalade de privilèges. La CVE-2023-32046 affecte un composant central de Windows appelé MSHTML, qui est utilisé par l’OS et d'autres applications, comme Office, Outlook et Skype. La CVE-2023-36874 cible le service de reporting d’erreur de Windows et a été découverte par Vlad Stolyarov and Maddie Stone de Google. A noter que la firme de Redmond a évoqué la CVE-2023-36884, une faille d’exécution de code à distance touchant Windows et Office. Elle est là encore activement exploitée par des groupes de ransomware (principalement RomCom), mais Microsoft mène toujours son enquête et prévoit de la corriger soit dans le prochain Patch Tuesday ou plus probablement en urgence. Dans son bulletin, la société donne quelques règles d’atténuation pour la faille. Elle a indiqué par ailleurs dans un blog que la vulnérabilité a servi pour cibler les participants à la réunion de l'Otan à Vilnius en Lituanie.
D’autres vulnérabilités critiques à ne pas négliger
Si les zero day impliquent d’appliquer rapidement les correctifs, les autres patchs délivrés par Microsoft ne doivent pas être relégués au second plan. Ainsi trois failles critique, CVE-2023-35365, CVE-2023-35366 et CVE-2023-35367, méritent une attention particulière. Elles touchent Windows Routing and Remote Access Service (RRAS) et affichent un score de gravité de 9,8 sur 10. Grâce à cette vulnérabilité, un attaquant pourrait modifier les configurations du réseau, voler des données, passer à d'autres systèmes plus critiques/importants, ou créer des comptes supplémentaires pour un accès permanent au terminal.
Enfin, les administrateurs pourront se focaliser sur quatre bugs RCE sur le serveur SharePoint, qui est devenu récemment une cible populaire pour les attaquants. Microsoft a qualifié deux de ces bogues d'« importants » (CVE-2023-33134 et CVE-2023-33159) et les deux autres de « critiques » (CVE-2023-33157 et CVE-2023-33160).