Microsoft a publié sa dernière série de mises à jour du Patch Tuesday pour 2023, clôturant 33 défauts dans son logiciel, ce qui en fait l’une des versions les plus légères de ces dernières années.
Sur les 33 lacunes, quatre sont classées critiques et 29 sont classées importantes en termes de gravité. Les correctifs s’ajoutent à 18 défauts Microsoft a résolu ce problème dans son navigateur Edge basé sur Chromium depuis la sortie des mises à jour du Patch Tuesday de novembre 2023.
Selon les données du Initiative Jour Zéro, le géant du logiciel a corrigé plus de 900 failles cette année, ce qui en fait l’une des années les plus chargées en matière de correctifs Microsoft. A titre de comparaison, Redmond résolu 917 CVE en 2022.
Bien qu’aucune des vulnérabilités ne soit répertoriée comme publiquement connue ou faisant l’objet d’une attaque active au moment de la publication, certaines des plus notables sont répertoriées ci-dessous :
- CVE-2023-35628 (score CVSS : 8,1) – Vulnérabilité d’exécution de code à distance sur la plateforme Windows MSHTML
- CVE-2023-35630 (score CVSS : 8,8) – Vulnérabilité d’exécution de code à distance liée au partage de connexion Internet (ICS)
- CVE-2023-35636 (score CVSS : 6,5) – Vulnérabilité de divulgation d’informations dans Microsoft Outlook
- CVE-2023-35639 (score CVSS : 8,8) – Vulnérabilité d’exécution de code à distance du pilote ODBC Microsoft
- CVE-2023-35641 (score CVSS : 8,8) – Vulnérabilité d’exécution de code à distance liée au partage de connexion Internet (ICS)
- CVE-2023-35642 (score CVSS : 6,5) – Vulnérabilité de déni de service liée au partage de connexion Internet (ICS)
- CVE-2023-36019 (score CVSS : 9,6) – Vulnérabilité d’usurpation d’identité du connecteur Microsoft Power Platform
CVE-2023-36019 est également important car il permet à l’attaquant d’envoyer une URL spécialement conçue à la cible, ce qui entraîne l’exécution de scripts malveillants dans le navigateur de la victime sur sa machine.
Battez les menaces basées sur l’IA avec Zero Trust – Webinaire pour les professionnels de la sécurité
Les mesures de sécurité traditionnelles ne suffiront pas dans le monde d’aujourd’hui. L’heure est à la sécurité Zero Trust. Sécurisez vos données comme jamais auparavant.
« Un attaquant pourrait manipuler un lien, une application ou un fichier malveillant pour le déguiser en lien ou fichier légitime afin de tromper la victime », a déclaré Microsoft dans un avis.
La mise à jour Patch Tuesday de Microsoft corrige également trois failles dans le service serveur DHCP (Dynamic Host Configuration Protocol) qui pourraient conduire à un déni de service ou à une divulgation d’informations :
- CVE-2023-35638 (score CVSS : 7,5) – Vulnérabilité de déni de service du service du serveur DHCP
- CVE-2023-35643 (score CVSS : 7,5) – Vulnérabilité de divulgation d’informations sur le service du serveur DHCP
- CVE-2023-36012 (score CVSS : 5,3) – Vulnérabilité de divulgation d’informations sur le service du serveur DHCP
La divulgation intervient également alors qu’Akamai a découvert un nouvel ensemble d’attaques contre les domaines Active Directory qui utilisent le protocole de configuration d’hôte dynamique de Microsoft (DHCP) les serveurs.
« Ces attaques pourraient permettre aux attaquants d’usurper des enregistrements DNS sensibles, entraînant diverses conséquences allant du vol d’informations d’identification à la compromission complète du domaine Active Directory », Ori David dit dans un rapport la semaine dernière. « Les attaques ne nécessitent aucune information d’identification et fonctionnent avec la configuration par défaut de Serveur Microsoft DHCP« .
La société d’infrastructure et de sécurité Web a en outre noté que l’impact des failles peut être important, car elles peuvent être exploitées pour usurper les enregistrements DNS sur les serveurs DNS de Microsoft, y compris l’écrasement d’enregistrements DNS arbitraires non authentifiés, permettant ainsi à un acteur d’accéder à une machine dans le domaine. -position intermédiaire sur les hôtes du domaine et accéder aux données sensibles.
Microsoft, en réponse aux résultats, a déclaré que « les problèmes sont soit intentionnels, soit pas assez graves pour recevoir un correctif », obligeant les utilisateurs à désactiver les mises à jour dynamiques DHCP DNS si cela n’est pas nécessaire et à s’abstenir d’utiliser DNSUpdateProxy.
Correctifs logiciels d’autres fournisseurs
Outre Microsoft, des mises à jour de sécurité ont également été publiées par d’autres fournisseurs au cours des dernières semaines pour corriger plusieurs vulnérabilités, notamment :