Comme chaque second mardi du mois, Microsoft a publié hier ses fameux patchs de sécurité mensuels.

Le Patch Tuesday est un rendez-vous suivi avec intérêt par les DSI, les RSSI et… les cybercriminels !
Pour ces derniers, il est un moyen simple d’être informés de vulnérabilités qu’ils pourront étudier en reverse-engineering des patchs et exploiter sur les systèmes non patchés.
Pour les DSI et les RSSI, l’information de ces patchs permet de définir les priorités entre les patchs à appliquer sur les systèmes et les protections à mettre en place quand les patchs ne peuvent être immédiatement appliqués.

Mais ce mardi 12 mai 2020 n’est pas tout à fait un « mardi de patchs » comme les autres. Un nombre le différencie des autres : 111 !

C’est bien cent onze patchs de sécurité qui ont été diffusés hier en une fois par Microsoft ! Et 16 d’entre eux corrigent des vulnérabilités classées au niveau « critique » imposant une action immédiate des responsables IT. Les autres sont classés comme « importants » et ne peuvent donc pas non plus être négligés. Aucune de ces vulnérabilités n’est cependant déjà exploitée par les attaquants et aucune n’avait été rendue publique jusqu’ici.

Ces 111 rustines affectent Windows 10, Windows Server, mais aussi Sharepoint, Edge, Internet Explorer, Microsoft Office, Visual Studio, Microsoft Dynamics, .NET Framework (et .NET Core), ou encore Power BI.

« Deux failles d’exécution de code à distance dans Microsoft Color Management (CVE-2020-1117) et Windows Media Foundation (CVE-2020-1126) pourraient être exploitées en incitant un utilisateur, via des techniques d’ingénierie sociale, à ouvrir une pièce jointe malveillante ou à se rendre sur un site web contenant le code d’exploitation explique Satnam Narang, Principal Research Engineer, chez Tenable. Une exploitation réussie permettrait à un cybercriminel d’effectuer des actions sur le système en utilisant les mêmes autorisations que l’utilisateur actuel qui a été compromis. Si ce dernier dispose de privilèges administratifs, l’attaquant pourrait alors effectuer diverses actions, telles que l’installation de programmes, la création d’un nouveau compte avec des droits d’utilisateur complets et l’affichage, la modification ou la suppression de données. Cependant, Microsoft classe ces vulnérabilités dans la catégorie ‘exploitation moins probable’, selon leur indice d’exploitabilité ».

En outre, trois vulnérabilités d’élévation de privilèges ayant reçu la mention « exploitation plus probable » ont également été corrigées. « Il s’agit notamment d’une paire de failles dans Win32k (CVE-2020-1054 et CVE-2020-1143) ainsi que d’une vulnérabilité dans le composant graphique Windows (CVE-2020-1135) détaille Satnam Narang. Les vulnérabilités d’élévation de privilèges sont utilisées par les cybercriminels une fois qu’ils ont réussi à accéder à un système afin d’exécuter du code sur leurs systèmes cibles avec des privilèges élevés. »

Ce nombre élevé de patchs n’est pas anodin parce que cela fait maintenant trois mois consécutifs que Microsoft réalise des « Patch Tuesday » embarquant plus de 110 rustines. Bien sûr cela fait beaucoup de correctifs à absorber d’un coup pour les IT mais cela n’est probablement pas non plus le fruit d’un malencontreux hasard. L’éditeur semble avoir relancé un « push » sécurité et profite peut-être de cette période un peu atypique de crise sanitaire et de confinement pour concentrer l’attention de ses ingénieurs sur les vulnérabilités présentent dans ses codes sources. Une initiative bienvenue alors que les activités des cybercriminels et des cyberattaquants se sont multipliées depuis le début de la pandémie.