Pour ce mois de novembre, Microsoft ménage les administrateurs systèmes avec son dernier Patch Tuesday, avec 58 correctifs et 5 failles zero day réparées. Pour mémoire, le mois dernier, le bulletin mensuel de sécurité comprenait 108 correctifs et deux zero day. Au sein du Patch Tuesday de novembre, Microsoft colmate 14 bugs entraînant l’exécution de code à distance (RCE), mais un seul est classé comme critique.
Sur les failles zero day, Microsoft indique que trois d’entre elles sont exploitées et ont été divulguées publiquement. Parmi elles, il y a la CVE-2023-36036 qui entraine une élévation de privilèges du pilote Mini Filter de Windows Cloud Files. « Un attaquant réussissant à exploiter cette vulnérabilité pourrait obtenur les privilèges System », souligne la firme américaine. La faille a été découverte par l’équipe de Threat Intellignce du Security Response Center de Microsoft. Par contre, il n’y a pas de détails sur comment la faille a été exploitée, ni par quel cybercriminel.
Windows SmartScreen et la bibliothèque Windows DWM sous pression
La CVE-2023-36033 génère aussi une élévation de privilèges mais cette fois-ci dans la bibliothèque centrale Windows DWM. Elle a été découverte par Quan Jin(@jq0904) avec DBAPPSecurity WeBin Lab, mais ne donne pas de détails sur la manière dont elle a été utilisée dans les attaques. Enfin la troisième faille zero day notifiée CVE-2023-36025 est un contournement de la fonction de sécurité Windows SmartScreen. Grâce à un lien court malveillant, les pirates peuvent contourner les contrôles de sécurité et les avertissements. « L'attaquant serait en mesure de contourner les contrôles SmartScreen de Windows Defender et les invites qui y sont associées », explique Microsoft. La faille a été trouvée par Will Metcalf de Splunk.
Les deux autres failles zero day sont la CVE-2023-36413, qui contourne les fonctionnalités de sécurité d’Office, et la CVE-2023-36038 qui entraîne un déni de service dans ASP.NET Core. Toutefois, Microsoft indique que ces vulnérabilités n'ont pas été activement exploitées lors d'attaques. Parmi les autres bugs corrigés, trois sont jugées critiques. Une provoquant la divulgation d'informations Azure, une RCE dans Windows Internet Connection Sharing (ICS), et une faille d'échappement dans Hyper-V qui permet l'exécution de programmes sur l'hôte avec des privilèges élevés.