Microsoft a publié mardi mises à jour de sécurité pour corriger 75 failles couvrant son portefeuille de produits, dont trois ont fait l’objet d’une exploitation active dans la nature.
Les mises à jour viennent s’ajouter aux 22 failles du constructeur Windows patché dans son navigateur Edge basé sur Chromium au cours du mois dernier.
Sur les 75 vulnérabilités, neuf sont classées critiques et 66 sont classées importantes en termes de gravité. 37 bogues sur 75 sont classés comme des défauts d’exécution de code à distance (RCE). Les trois jours zéro de note qui ont été exploités sont les suivants –
- CVE-2023-21715 (Score CVSS : 7,3) – Vulnérabilité de contournement de la fonctionnalité de sécurité de Microsoft Office
- CVE-2023-21823 (Score CVSS : 7,8) – Vulnérabilité d’élévation des privilèges du composant graphique Windows
- CVE-2023-23376 (Score CVSS : 7,8) – Vulnérabilité d’élévation de privilèges dans le pilote CLFS (Common Log File System) de Windows
« L’attaque elle-même est effectuée localement par un utilisateur avec une authentification sur le système ciblé », a déclaré Microsoft dans l’avis CVE-2023-21715.
« Un attaquant authentifié pourrait exploiter la vulnérabilité en convainquant une victime, par ingénierie sociale, de télécharger et d’ouvrir un fichier spécialement conçu à partir d’un site Web, ce qui pourrait conduire à une attaque locale sur l’ordinateur de la victime. »
L’exploitation réussie des failles ci-dessus pourrait permettre à un adversaire de contourner les stratégies de macro Office utilisées pour bloquer les fichiers non fiables ou malveillants ou d’obtenir des privilèges SYSTEM.
CVE-2023-23376 est également la troisième faille zero-day activement exploitée dans le composant CLFS après CVE-2022-24521 et CVE-2022-37969 (scores CVSS : 7,8), qui ont été corrigées par Microsoft en avril et septembre 2022.
« Le pilote Windows Common Log File System est un composant du système d’exploitation Windows qui gère et maintient un système de fichiers journaux hautes performances basé sur les transactions », a déclaré Nikolas Cemerikic d’Immersive Labs.
« Il s’agit d’un composant essentiel du système d’exploitation Windows, et toute vulnérabilité de ce pilote pourrait avoir des implications importantes pour la sécurité et la fiabilité du système. »
Il convient de noter que Microsoft OneNote pour Android est vulnérable à CVE-2023-21823, et avec le service de prise de notes émergeant de plus en plus comme un canal pour diffuser des logiciels malveillants, il est crucial que les utilisateurs appliquent les correctifs.
Microsoft traite également plusieurs défauts RCE dans Exchange Server, le pilote ODBC, le pilote d’imprimante PostScript et SQL Server, ainsi que les problèmes de déni de service (DoS) affectant le service Windows iSCSI et Windows Secure Channel.
Trois des failles d’Exchange Server sont classées par la société dans la catégorie « Exploitation plus probable », bien qu’une exploitation réussie nécessite que l’attaquant soit déjà authentifié.
Les serveurs Exchange se sont avérés cibles de grande valeur ces dernières années, car ils peuvent permettre un accès non autorisé à des informations sensibles ou faciliter les attaques par compromission de la messagerie professionnelle (BEC).
Correctifs logiciels d’autres fournisseurs
Outre Microsoft, des mises à jour de sécurité ont également été publiées par d’autres fournisseurs au cours des dernières semaines pour corriger plusieurs vulnérabilités, notamment –