Après quelques mois relativement calmes, le Patch Tuesday de Microsoft fait un retour en force, avec trois failles zero-day que les administrateurs devront traiter aussi rapidement que possible. La firme de Redmond a publié huit bulletins de sécurité qui couvrent un total de 24 vulnérabilités présentes dans Windows, Internet Explorer, Office et le framework .Net. Trois des bulletins sont qualifiés de critiques, ce qui signifie que les administrateurs devront tester et appliquer des correctifs immédiatement. Trois de ces failles ont déjà exploitées par des utilisateurs malveillants. Elles sont donc qualifiées de vulnérabilités zero-day. C'est la première fois depuis ces dernières années, et peut-être l'unique fois, que la firme de Redmond a corrigé trois failles zero-day en un seul tour de correctifs. La plus connue des trois est Sandworm, une faille dans Windows qui pris pour cible l'Otan, des agences gouvernementales européennes, ainsi que des entreprises de télécommunications et du secteur de l'énergie, selon la société de sécurité iSight. Microsoft lui apporte un correctif (MS14-060).
« C'était une faille urgente à colmater », a indiqué Wolfgang Kandek, directeur de la technologie de la firme de sécurité informatique Qualys. « Microsoft a qualifié MS14-060 de niveau important plutôt que critique car pour que l'attaque ait lieu, il faut que l'utilisateur clique sur un fichier ». Qualys juge la gravité plus sérieuse compte tenu du fait qu'il est assez facile de tromper une personne en cliquant sur un fichier, comme une présentation PowerPoint, condition nécessaire pour qu'un attaquant puisse accéder à un réseau interne avec un scénario bien ficelé, a rappelé Wolfgang Kandek.
Vérifier les autorisations des utilisateurs
Avec Sandworm, les administrateurs vont s'assurer qu'ils ont correctement mis en place les autorisations aux utilisateurs de PC de bureau et de portables, et vérifier qu'ils n'ont pas de privilèges d'administrateur, a ajouté M Kandek. La seconde faille zero-day traite d'un problème dans Internet Explorer et le correctif se trouve dans MS14-056. Cette vulnérabilité pourrait permettre à un attaquant de sortir des capacités de sandboxing dans Internet Explorer », a déclaré pour sa part Amol Sarwate, directeur de la recherche chez Qualys. Enfin, La troisième faille zéro-day (MS14-058) provient elle aussi d'un défaut dans Windows, à savoir la façon dont les pilotes du noyau du système d'exploitation traitent les polices TrueType. Un attaquant pourrait aussi intégrer du code malveillant dans une police TrueType. Lorsqu'un utilisateur visite un site avec ces polices altérées, Windows télécharge le package de polices et exécute automatiquement le code caché à l'intérieur de ce dernier.
Outre les correctifs de Microsoft, les administrateurs auront une semaine chargée avec les patchs qui concernent Adobe et Oracle, a ajouté le directeur de la recherche de Qualys. Hier, Adobe a publié une série de correctifs pour son lecteur Flash multimédia. Oracle publie également un vaste éventail de correctifs pour ses logiciels d'entreprise. En particulier, les administrateurs devront se pencher sur les correctifs Java, a-t-il conseillé.