Microsoft a publié des correctifs pour résoudre 63 bugs de sécurité dans son logiciel pour le mois de novembre 2023, dont trois vulnérabilités qui ont été activement exploitées dans la nature.
Sur les 63 failles, trois sont classées critiques, 56 sont classées importantes et quatre sont classées de gravité modérée. Deux d’entre eux étaient répertoriés comme étant publiquement connus au moment de la publication.
Les mises à jour s’ajoutent à plus de 35 failles de sécurité abordé dans son navigateur Edge basé sur Chromium depuis la sortie des mises à jour du Patch Tuesday d’octobre 2023.
Les cinq jours zéro à noter sont les suivants :
- CVE-2023-36025 (score CVSS : 8,8) – Vulnérabilité de contournement de la fonctionnalité de sécurité Windows SmartScreen
- CVE-2023-36033 (score CVSS : 7,8) – Vulnérabilité d’élévation de privilèges de la bibliothèque principale Windows DWM
- CVE-2023-36036 (score CVSS : 7,8) – Vulnérabilité d’élévation de privilèges du pilote de mini-filtre Windows Cloud Files
- CVE-2023-36038 (score CVSS : 8,2) – Vulnérabilité de déni de service dans ASP.NET Core
- CVE-2023-36413 (score CVSS : 6,5) – Vulnérabilité de contournement des fonctionnalités de sécurité de Microsoft Office
CVE-2023-36033 et CVE-2023-36036 pourraient être exploités par un attaquant pour obtenir les privilèges SYSTÈME, tandis que CVE-2023-36025 pourrait permettre de contourner les contrôles Windows Defender SmartScreen et leurs invites associées.
« L’utilisateur devra cliquer sur un raccourci Internet spécialement conçu (.URL) ou sur un lien hypertexte pointant vers un fichier de raccourci Internet pour être compromis par l’attaquant », a déclaré Microsoft à propos de CVE-2023-36025.
CVE-2023-36025 est la troisième vulnérabilité zero-day de Windows SmartScreen exploitée à l’état sauvage en 2023 et la quatrième au cours des deux dernières années. En décembre 2022, Microsoft a corrigé CVE-2022-44698 (score CVSS : 5,4), tandis que CVE-2023-24880 (score CVSS : 5,1) a été corrigé en mars et CVE-2023-32049 (score CVSS : 8,8) a été corrigé en juillet. .
Le fabricant de Windows n’a cependant fourni aucune indication supplémentaire sur les mécanismes d’attaque utilisés et sur les acteurs malveillants qui pourraient les utiliser comme arme. Mais l’exploitation active des failles d’élévation de privilèges suggère qu’elles sont probablement utilisées conjointement avec un bug d’exécution de code à distance.
« Il y a eu 12 élévations de vulnérabilités de privilèges dans la bibliothèque principale DWM au cours des deux dernières années, bien que ce soit la première à avoir été exploitée en tant que jour zéro », a déclaré Satnam Narang, ingénieur de recherche senior chez Tenable. dans une déclaration partagée avec The Hacker News.
Cette évolution a incité l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) à ajouter les trois problèmes de son catalogue de vulnérabilités exploitées connues (KEV), exhortant les agences fédérales à appliquer les correctifs d’ici le 5 décembre 2023.
Microsoft a également corrigé deux failles critiques d’exécution de code à distance dans Protected Extensible Authentication Protocol et Pragmatic General Multicast (CVE-2023-36028 et CVE-2023-36397scores CVSS : 9,8) qu’un acteur malveillant pourrait exploiter pour déclencher l’exécution d’un code malveillant.
La mise à jour de novembre inclut en outre un correctif pour CVE-2023-38545 (score CVSS : 9,8), un défaut de dépassement de tampon basé sur le tas dans la bibliothèque curl révélée le mois dernier, ainsi qu’une vulnérabilité de divulgation d’informations dans Azure CLI (CVE-2023-36052score CVSS : 8,6).
« Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait récupérer les mots de passe et les noms d’utilisateur en clair à partir des fichiers journaux créés par les commandes CLI concernées et publiés par Azure DevOps et/ou GitHub Actions », a déclaré Microsoft.
Aviad Hahami, chercheur à Palo Alto Networks, qui a signalé le problème : dit la vulnérabilité pourrait permettre l’accès aux informations d’identification stockées dans le journal du pipeline et permettre à un adversaire d’augmenter potentiellement ses privilèges pour des attaques ultérieures.
En réponse, Microsoft dit il a apporté des modifications à plusieurs commandes Azure CLI pour renforcer Azure CLI (version 2.54) contre une utilisation accidentelle pouvant entraîner la divulgation de secrets.
Correctifs logiciels d’autres fournisseurs
Outre Microsoft, des mises à jour de sécurité ont également été publiées par d’autres fournisseurs au cours des dernières semaines pour corriger plusieurs vulnérabilités, notamment :