Les mois se suivent, mais ne se ressemblent pas dans le Patch Tuesday. Si en avril, Microsoft avait « chargé la barque » avec près de 100 correctifs, le mois de mai affiche un record de légèreté avec seulement 38 patchs. Il faut remonter à août 2021 pour retrouver un tel niveau d’étiage. Le compteur grimpe à 49 en ajoutant 11 bulletins de sécurité liés au navigateur Edge. Dans la livraison mensuelle, l’éditeur colmate 3 failles de type zero-day (dont deux sont activement exploitées) et 6 sont jugées critiques, c’est-à-dire capables d’exécuter du code à distance.
Dans le détail des vulnérabilités zero-day, la première, classée CVE-2023-29336, provoque une élévation de privilèges dans Win32k. Les attaquants peuvent ainsi prendre le contrôle des systèmes concernés. Comme l’indique Satnam Narang, senior staff research engineer chez Tenable, « c'est le cinquième mois consécutif qu'une vulnérabilité d’élévation de privilèges est exploitée dans la nature en tant que zero day. Nous nous attendons à ce que les chercheurs qui l'ont découverte rendent bientôt publics les détails de son exploitation ». La faille a été découverte par Avast et il est à noter que, pour l’instant, il n’existe pas de solutions de contournement ou de patchs alternatifs, il est donc urgent et impératif d’appliquer les correctifs officiels.
La fonction Secure Boot de Windows dans le viseur
La seconde faille zero-day, CVE-2023-24932, offre aux cybercriminels de contourner la fonction de sécurité Secure Boot dans Windows. Elle protège le processus de démarrage contre les modifications non autorisées et les malwares. L’exploitation de cette brèche semble liée à « BlackLotus, un bootkit UEFI que l'éditeur de sécurité ESET a signalé pour la première fois en mars 2023 », observe Satnam Narang.
Parmi les failles critiques, la CVE-2023-24941 concernant le protocole NFS (Network File System) pour le partage de fichier et l’accès à distance sur un réseau est à corriger en priorité. Microsoft lui a attribué un score de gravité de 9.8. Une attention particulière sera portée sur la CVE-2023-28283 liée à Windows LDPA selon le SANS Internet Storm Center. Les attaquants peuvent obtenir un RCE sur le service d’annuaires via des appels LDAP spécialement conçus. Enfin, un œil attentif doit être porté sur la CVE-2023-29325 relative à OLE (Object Linking and Embedding), la troisième zero-day non exploitée et visant le volet de prévisualisation d’Outlook.