Après un coup de chaud en juillet (132 failles corrigées) et en août (74 correctifs), Microsoft propose un Patch Tuesday relativement léger pour cette rentrée. En effet, l’édition de septembre corrige 61 vulnérabilités dont 5 sont classées comme critiques et deux sont classées « importantes mais constituent des failles zero day activement exploitées.
Deux zero day à corriger
Naturellement, la mise à jour pour ces deux failles est une priorité pour les administrateurs. Une a fait l’objet d’une publication, il s’agit de CVE-2023-36761 qui se trouve dans Word et notamment sur la prévisualisation de documents qui pourrait entraîner la divulgation des hachages NTLM (new technology LAN manager). Selon Satnam Narang, Senior Staff Research Engineer chez Tenable, « il s'agit de la seconde vulnérabilité zero day détectée dans les produits Microsoft en 2023 qui a entraîné la divulgation des hachages NTLM. La première était CVE-2023-23397, une vulnérabilité d'élévation de privilèges dans Microsoft Outlook, divulguée dans la publication du Patch Tuesday de mars ».
La seconde zero day, la CVE-2023-36802 réside dans Windows et en particulier dans le proxy du service de streaming, Stream (anciennement connu sous le nom d’Office 365 Video). Son exploitation offre aux attaquants des élévations de privilèges de niveau administrateur et système.
D’autres failles critiques à colmater
Dans la liste des failles à corriger, les experts en recensent plusieurs où la vigilance est de mise. Ainsi, l’une des plus préoccupantes est la CVE-2023-29332 trouvée dans Azure Kubernetes. Elle donne à un attaquant distant non authentifié la capacité d’obtenir les privilèges d’administration d’un cluster Kubernetes. « Elle se distingue par le fait que l’exploit est accessible depuis Internet, ne nécessite aucune interaction de l'utilisateur et est répertorié comme étant peu complexe », souligne Dustin Childs, chercheur auprès de ZDI (zero day initiative) de Trend Micro.
Visual Studio est aussi à scruter de près avec trois failles de type RCE (exécution de code à distance) corrigées. Les CVE-2023-36792, CVE-2023-36793 et CVE-2023-36796 peuvent conduire à l’exécution du code arbitraire lors de l’ouverture d’un fichier malveillant dans une version du logiciel affectée. « Etant donné l'utilisation répandue de Visual Studio parmi les développeurs, l'impact de telles vulnérabilités pourrait avoir un effet domino, propageant les dommages bien au-delà du système initialement compromis », rapporte Tom Bowyer, responsable de la sécurité chez Automox dans un article. Enfin, les spécialistes attirent l’attention sur la CVE-2023-38148 (avec une gravité de 8.8) qui touche la fonction de partage de connexion Internet (ICS ) de Windows. « Si les attaquants parviennent à exploiter cette vulnérabilité, il pourrait y avoir une perte totale de confidentialité, d'intégrité et de disponibilité », déclare Natalie Silva, ingénieure en chef en cybersécurité chez Immersive Labs
Exchanger Server et Windows TCP/IP sous surveillance
Enfin, les spécialistes en cybersécurité relèvent un ensemble de bugs sur Exchange Server « susceptibles d’être exploités ». Les CVE-2023-36744, CVE-2023-36745 et CVE-2023-36756 (de gravité 8) affectent les versions 2016-2019 et autorisent des attaques RCE contre le service.
Par ailleurs, les chercheurs d’Automox ont signalé une faille de type déni de services dans Windows TCP/IP. La CVE-2023-38149 affecte n'importe quel système en réseau et « permet à un attaquant via un vecteur réseau de perturber le service sans aucune authentification de l'utilisateur ni grande complexité ». Ces faiblesses peuvent être exploitées pour surcharger les serveurs, perturbant le fonctionnement normal des réseaux et des services et les rendant indisponibles pour les utilisateurs. A noter que les systèmes sur lesquels IPv6 est désactivé ne sont pas affectés.