En dehors de l’exceptionnel correctif qu’il vient de fournir pour Windows XP (à appliquer d’urgence), Microsoft a livré sa mise à jour mensuelle de sécurité, anciennement dénommée Patch Tuesday. Celle-ci vient corriger 79 vulnérabilités dans ses logiciels : 57 ont un degré de sévérité important et 22 sont critiques. Sur ces dernières, ce sont les moteurs de scripts et les navigateurs web qui sont concernés, pour 18 d’entre elles. Les 4 autres se rapportent à des risques d’exécution de code à distance sur le protocole Remote Desktop (RDP), le serveur DHCP, GDI+ et Word.
Compte-tenu de la nature des failles, la firme de sécurité Qualys conseille donc d’appliquer en priorité les correctifs sur les postes de travail, plus précisément sur tout terminal susceptible d’être utilisé pour des fonctions de messagerie ou pour accéder à Internet via un navigateur. « Cela inclut les serveurs multi-utilisateurs qui font office de postes de travail distants », précise Jimmy Graham, directeur senior, responsable de la gestion des vulnérabilités chez Qualys, dans un billet.
Un faille déjà exploitée à l'aveugle
Parmi les priorités du mois, Microsoft signale aussi des attaques actives (à l’aveugle) sur une faille d’élévation de privilèges pour le traitement des erreurs dans Windows 10. Référencée CVE-2019-0863, elle est liée à la façon dont Windows Error Reporting (WER) gère les fichiers. Le patch correspondant doit donc être appliqué rapidement. Un attaquant qui l'exploiterait avec succès pourrait exécuter du code arbitraire en mode kernel. Autre faille critique, la CVE-2019-0708, située dans RDS (ancien Terminal Services), peut être exploitée si un attaquant non authentifié se connecte à un système cible en utilisant le protocole RDP et en envoyant des requêtes spécialement conçues à cet effet. Aucune interaction de l’utilisateur n’est nécessaire pour l'exploiter, explique Microsoft dans son bulletin d’alerte. L'attaquant qui y parvient peut alors exécuter du code arbitraire sur le système cible : installer des programmes, visualiser des données, les modifier, les détruire ou créer de nouveaux comptes avec des droits utilisateurs complets. La vulnérabilité CVE-2019-0725 réside de son côté sur le serveur DHCP de Windows. Il s'agit d'une faille de corruption de mémoire qui peut être mise à profit à l’aide de packets malveillants par des attaquants qui pourront ensuite exécuter du code arbitraire sur le serveur. Microsoft a déjà corrigé des failles semblables en février et mars, rappelle Qualys.
Un document sur les failles Intel ZombieLoad, Fallout et RIDL
A propos des failles sur les puces Intel qui viennent d’être décrites, ZombieLoad, Fallout et RIDL, Microsoft a publié une documentation pour expliquer comment atténuer les attaques MSD (Microarchitectural Data Sampling), référencées CVE-2018- 12126, CVE-2018-12127, CVE-2018-12130 et CVE-2019-11091. Intel a fait de même de son côté. Apple a lui aussi de son côté publié une mise à jour pour macOS Mojave. Cette version 10.14.5 corrige quelques bugs et apporte le support d’AirPlay 2, mais elle comporte aussi un patch pour la faille ZombieLoad des puces Intel.
Quant à l’éditeur Adobe, qui livre sa mise à jour de sécurité au même moment que Microsoft, il a fourni en ce mois de mai des correctifs pour 84 failles. Sur l’ensemble des vulnérabilités par Adobe, 37 lui ont été signalées par le programme ZDI (The Zero Day Initiative). Sur le Patch Tuesday de Microsoft, 15 failles ont été remontées par ZDI.