Microsoft a publié des correctifs logiciels pour corriger 59 bugs couvrant son portefeuille de produits, y compris deux failles zero-day qui ont été activement exploitées par des cyberacteurs malveillants.
Sur les 59 vulnérabilités, cinq sont classées critiques, 55 sont classées importantes et une est classée de gravité modérée. La mise à jour s’ajoute à 35 défauts corrigé dans le navigateur Edge basé sur Chromium depuis l’édition Patch Tuesday du mois dernier, qui comprend également un correctif pour CVE-2023-4863, une faille critique de dépassement de tampon de tas dans le format d’image WebP.
Les deux vulnérabilités Microsoft qui ont été activement exploitées dans des attaques réelles sont répertoriées ci-dessous :
- CVE-2023-36761 (score CVSS : 6,2) – Vulnérabilité de divulgation d’informations dans Microsoft Word
- CVE-2023-36802 (score CVSS : 7,8) – Vulnérabilité d’élévation de privilèges du proxy du service de streaming Microsoft
“L’exploitation de cette vulnérabilité pourrait permettre la divulgation de Hachages NTLM“, a déclaré le fabricant de Windows dans un avis concernant CVE-2023-36761, indiquant que CVE-2023-36802 pourrait être abusé par un attaquant pour obtenir les privilèges SYSTEM.
Les détails exacts concernant la nature de l’exploitation ou l’identité des acteurs menaçants à l’origine des attaques sont actuellement inconnus.
“Exploitation de [CVE-2023-36761] ne se limite pas à une cible potentielle ouvrant un document Word malveillant, car la simple prévisualisation du fichier peut déclencher le déclenchement de l’exploit”, a déclaré Satnam Narang, ingénieur de recherche senior chez Tenable. L’exploitation permettrait la divulgation de New Technology LAN Manager. (NTLM) hachages.”
“Le premier était CVE-2023-23397, une vulnérabilité d’élévation de privilèges dans Microsoft Outlook, qui a été divulguée dans la version du Patch Tuesday de mars.”
D’autres vulnérabilités à noter sont plusieurs failles d’exécution de code à distance affectant le partage de connexion Internet (ICS), Visual Studio, 3D Builder, Azure DevOps Server, Windows MSHTML et Microsoft Exchange Server et des problèmes d’élévation de privilèges dans le noyau Windows, Windows GDI, Windows Common Log. Pilote de système de fichiers et Office, entre autres.
Correctifs logiciels d’autres fournisseurs
Outre Microsoft, des mises à jour de sécurité ont également été publiées par d’autres fournisseurs au cours des dernières semaines pour corriger plusieurs vulnérabilités, notamment :