La mise à jour Patch Tuesday de Microsoft pour mars 2023 est en cours de déploiement avec des corrections pour un ensemble de 80 failles de sécuritédont deux font l’objet d’une exploitation active à l’état sauvage.
Huit des 80 bogues sont classés critiques, 71 sont classés importants et un est classé modéré en gravité. Les mises à jour sont en plus de 29 défauts le géant de la technologie a corrigé son navigateur Edge basé sur Chromium ces dernières semaines.
Les deux vulnérabilités qui ont fait l’objet d’une attaque active incluent une faille d’élévation des privilèges de Microsoft Outlook (CVE-2023-23397score CVSS : 9,8) et un contournement de la fonction de sécurité Windows SmartScreen (CVE-2023-24880score CVSS : 5,1).
CVE-2023-23397 est « déclenché lorsqu’un attaquant envoie un message avec une propriété MAPI étendue avec un chemin UNC vers un partage SMB (TCP 445) sur un serveur contrôlé par un acteur malveillant », Microsoft a dit dans un avis autonome.
Un acteur malveillant pourrait exploiter cette faille en envoyant un e-mail spécialement conçu, en l’activant automatiquement lorsqu’il est récupéré et traité par le client Outlook pour Windows. Par conséquent, cela pourrait conduire à une exploitation sans nécessiter aucune interaction de l’utilisateur et avant même que le message ne soit affiché dans le volet de prévisualisation.
Microsoft a crédité l’équipe d’intervention d’urgence informatique d’Ukraine (CERT-UA) pour avoir signalé la faille, ajoutant qu’elle était au courant des « attaques ciblées limitées » montées par un acteur de menace basé en Russie contre le gouvernement, les transports, l’énergie et les secteurs militaires en Europe.
CVE-2023-24880, d’autre part, concerne une faille de contournement de sécurité qui pourrait être exploitée pour échapper aux protections Mark-of-the-Web (MotW) lors de l’ouverture de fichiers non fiables téléchargés depuis Internet.
C’est aussi la conséquence d’un correctif étroit publié par Microsoft pour résoudre un autre bogue de contournement SmartScreen (CVE-2022-44698, score CVSS : 5,4) qui a été révélé l’année dernière et qui a été exploité par des acteurs financièrement motivés pour livrer le rançongiciel Magniber.
« Les fournisseurs publient souvent des correctifs étroits, créant une opportunité pour les attaquants d’itérer et de découvrir de nouvelles variantes », a déclaré Benoit Sevens, chercheur au Google Threat Analysis Group (TAG). a dit dans un rapport.
« Étant donné que la cause première du contournement de sécurité SmartScreen n’a pas été résolue, les attaquants ont pu identifier rapidement une variante différente du bogue d’origine. »
TAG a déclaré avoir observé plus de 100 000 téléchargements de fichiers MSI malveillants signés avec une signature Authenticode mal formée depuis janvier 2023, permettant ainsi à l’adversaire de distribuer le rançongiciel Magniber sans déclencher d’avertissement de sécurité. La majorité de ces téléchargements ont été associés à des utilisateurs en Europe.
La divulgation intervient également alors que la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis ajoutée les deux failles des Vulnérabilités Exploitées Connues (KEV) catalogue et annoncé un nouveau programme pilote qui vise à avertir les entités d’infrastructure critiques des « vulnérabilités généralement associées à l’exploitation connue de ransomwares ».
Microsoft a également résolu un certain nombre de failles critiques d’exécution de code à distance affectant la pile de protocole HTTP (CVE-2023-23392score CVSS : 9,8), Internet Control Message Protocol (CVE-2023-23415score CVSS : 9,8) et exécution de l’appel de procédure à distance (CVE-2023-21708score CVSS : 9,8).
D’autres mentions notables incluent des correctifs pour quatre bogues d’escalade de privilèges identifiés dans le noyau Windows, 10 défauts d’exécution de code à distance affectant Microsoft PostScript et le pilote d’imprimante de classe PCL6, et un WebView2 vulnérabilité d’usurpation d’identité dans le navigateur Edge.
Découvrez les dangers cachés des applications SaaS tierces
Êtes-vous conscient des risques associés à l’accès d’applications tierces aux applications SaaS de votre entreprise ? Rejoignez notre webinaire pour en savoir plus sur les types d’autorisations accordées et sur la façon de minimiser les risques.
Ailleurs, Microsoft a également corrigé deux failles de divulgation d’informations dans Microsoft OneDrive pour Android, une vulnérabilité d’usurpation d’identité dans Office pour Android, un bogue de contournement de sécurité dans Microsoft OneDrive pour iOS et un problème d’élévation des privilèges dans OneDrive pour macOS.
La liste est complétée par des correctifs pour deux vulnérabilités très graves dans le module de plateforme sécurisée (MTP) Spécification de la bibliothèque de référence 2.0 (CVE-2023-1017 et CVE-2023-1018scores CVSS : 8,8) qui pourraient conduire à la divulgation d’informations ou à une élévation des privilèges.
Correctifs logiciels d’autres fournisseurs
Outre Microsoft, des mises à jour de sécurité ont également été publiées par d’autres fournisseurs depuis le début du mois pour corriger plusieurs vulnérabilités, notamment –