Patch Tuesday – Mars 2023 : 83 failles de sécurité et 2 zero-day corrigées !
Le Patch Tuesday de Mars 2023 pour les produits Microsoft est disponible ! Il contient des correctifs pour un total de 83 failles de sécurité et 2 failles zero-day ! Faisons le point.
Comme le mois dernier, il y a 9 vulnérabilités considérées comme critiques qui permettent soit de l'exécution de code à distance, soit une élévation de privilèges, soit un déni de service. Voici la liste des vulnérabilités critiques :
- Protocole ICMP : CVE-2023-23415
- Microsoft Office Outlook : CVE-2023-23397
- Protocole PPTP (Accès distant) : CVE-2023-23404
- Hyper-V : CVE-2023-23411
- Services cryptographiques de Windows : CVE-2023-23416
- Pile HTTP de Windows : CVE-2023-23392
- Windows RPC : CVE-2023-21708
- Windows TPM : CVE-2023-1017 et CVE-2023-1018
Sinon, de manière générale, Microsoft a inclus des correctifs pour une multitude de produits, dont : Microsoft Dynamics, Mariner, CSRSS, composant Microsoft Graphics, Office Excel, Office Outlook, SharePoint, OneDrive, pilote d'impression PostScript de Windows, le serveur DNS pour Windows Server, Visual Studio, Windows Defender, le noyau Windows, Windows PPPoE, Windows ReFS, Windows TPM et Win32k. À cela, s'ajoutent 21 failles de sécurité corrigées dans le navigateur Microsoft Edge.
Zero-Day : CVE-2023-23397 et CVE-2023-24880
Microsoft a corrigé deux failles de sécurité déjà connues des attaquants et exploitées dans le cadre d'attaques.
- CVE-2023-23397 - Microsoft Outlook - Élévation de privilèges
Cette faille de sécurité affecte le client de messagerie Microsoft Outlook et voici ce que précise Microsoft à son sujet : "Un attaquant qui réussirait à exploiter cette vulnérabilité pourrait accéder au hachage Net-NTLMv2 d'un utilisateur, qui pourrait être utilisé comme base d'une attaque NTLM Relay contre un autre service pour s'authentifier en tant que l'utilisateur.", et pour en arriver-là, l'attaquant peut envoyer un e-mail spécialement conçu à l'utilisateur cible et s'il le reçoit dans Outlook, l'attaque peut être exécutée même si l'e-mail n'est pas prévisualisé !
Cette faille de sécurité affecte Office 2013, Office 2016, Office 2019, Office LTSC 2021, ainsi que Microsoft 365 Apps for Enterprise. Microsoft précise aussi que cette vulnérabilité est exploitée.
- CVE-2023-24880 - Windows SmartScreen -Bypass d'une fonction de sécurité
La seconde faille zero-day corrigée par la firme de Redmond se situe dans Windows SmartScreen, une fonction de sécurité intégrée au système. Cette vulnérabilité, qui serait assez simple à exploiter d'après Microsoft, permettrait à l'attaquant de distribuer plus facilement un logiciel malveillant grâce à une défaillance du marqueur Mark of the Web. De ce fait, même si ce fichier provient d'Internet et qu'il est dangereux, il pourra être exécuté sans que l'avertissement SmartScreen s'affiche à l'écran.
Cette vulnérabilité affecte aussi bien Windows 10, Windows 11, que Windows Server 2016, Windows Server 2019 et Windows Server 2022, y compris en mode Core.
À vos mises à jour !
Microsoft a-t-il mis à exécution sa « menace » quand à la sécurisation forcée du WMI (coup de semonce arrivée avec la mise à jour cumulative de mai 2022) ?