Microsoft a déployé Mises à jour du mardi des correctifs pour mai 2023 pour corriger 38 failles de sécurité, dont un bogue zero-day qui, selon lui, est activement exploité dans la nature.
Initiative Zero Day (ZDI) de Trend Micro a dit le volume est le plus bas depuis août 2021, même s’il a souligné que « ce nombre devrait augmenter dans les mois à venir ».
Sur les 38 vulnérabilités, six sont classées critiques et 32 sont classées importantes en termes de gravité. Huit des failles ont été étiquetées avec l’évaluation « Exploitation More Likely » par Microsoft.
C’est à part 18 défauts – dont 11 bugs depuis début mai – le fabricant Windows a résolu dans son navigateur Edge basé sur Chromium suite à la publication des mises à jour d’avril Patch Tuesday.
En tête de liste est CVE-2023-29336 (score CVSS : 7,8), une faille d’élévation de privilèges dans Win32k qui a fait l’objet d’une exploitation active. On ne sait pas immédiatement à quel point les attaques sont répandues.
« Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir des privilèges SYSTEM », a déclaré Microsoft, remerciant les chercheurs d’Avast Jan Vojtěšek, Milánek et Luigino Camastra d’avoir signalé la faille.
Le développement a incité la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis à ajouter la faille à ses vulnérabilités exploitées connues (KEV) catalogue, exhortant les organisations à appliquer les correctifs des fournisseurs d’ici le 30 mai 2023.
Il convient également de noter deux failles publiquement connues, dont l’une est une faille critique d’exécution de code à distance affectant Windows OLE (CVE-2023-29325score CVSS : 8,1) qui pourrait être militarisé par un acteur en envoyant un e-mail spécialement conçu à la victime.
Microsoft, en guise d’atténuation, recommande aux utilisateurs de lire les messages électroniques au format texte brut pour se protéger contre cette vulnérabilité.
La deuxième vulnérabilité publiquement connue est CVE-2023-24932 (score CVSS : 6,7), un contournement de la fonction de sécurité Secure Boot qui est armé par le bootkit BlackLotus UEFI pour exploiter CVE-2022-21894 (alias Baton Drop), qui a été résolu en janvier 2022.
« Cette vulnérabilité permet à un attaquant d’exécuter du code auto-signé sur l’interface de micrologiciel extensible unifiée (UEFI) alors que Secure Boot est activé, » Microsoft a dit dans un guide séparé.
« Ceci est utilisé par les acteurs de la menace principalement comme un mécanisme de persistance et d’évasion de la défense. L’exploitation réussie repose sur l’attaquant ayant un accès physique ou des privilèges d’administrateur local sur l’appareil ciblé. »
Il convient de noter que le correctif fourni par Microsoft est désactivé par défaut et oblige les clients à appliquer manuellement les révocations, mais pas avant de mettre à jour tous les supports de démarrage.
Apprenez à arrêter les ransomwares avec une protection en temps réel
Rejoignez notre webinaire et découvrez comment arrêter les attaques de ransomwares dans leur élan grâce à la MFA en temps réel et à la protection des comptes de service.
« Une fois que l’atténuation de ce problème est activée sur un appareil, ce qui signifie que les révocations ont été appliquées, elle ne peut pas être annulée si vous continuez à utiliser Secure Boot sur cet appareil », Microsoft mis en garde. « Même le reformatage du disque ne supprimera pas les révocations si elles ont déjà été appliquées. »
Le géant de la technologie a déclaré qu’il adoptait une approche progressive pour bloquer complètement le vecteur d’attaque afin d’éviter les risques de perturbation involontaires, un exercice qui devrait s’étendre jusqu’au premier trimestre 2024.
« Les schémas de démarrage sécurisé basés sur UEFI modernes sont extrêmement compliqués à configurer correctement et/ou à réduire leurs surfaces d’attaque de manière significative », a déclaré la société de sécurité du micrologiciel Binarly. indiqué plus tôt ce mois de mars. « Cela étant dit, les attaques de bootloader ne sont pas susceptibles de disparaître de sitôt. »
Correctifs logiciels d’autres fournisseurs
En plus de Microsoft, des mises à jour de sécurité ont également été publiées par d’autres fournisseurs au cours des dernières semaines pour corriger plusieurs vulnérabilités, notamment —