Microsoft Patch Édition du mardi décembre 2023

Le dernier Patch Tuesday de 2023 est à nos portes, avec Société Microsoft. publiant aujourd'hui des correctifs pour un nombre relativement restreint de failles de sécurité dans son Fenêtres systèmes d'exploitation et autres logiciels. Plus inhabituel encore, il n'existe aucune menace “jour zéro” connue ciblant l'une des vulnérabilités du lot de correctifs de décembre. Pourtant, quatre des mises à jour publiées aujourd'hui traitent des vulnérabilités “critiques” qui, selon Microsoft, peuvent être exploitées par des logiciels malveillants ou des mécontents pour prendre le contrôle total d'un appareil Windows vulnérable avec peu ou pas d'aide des utilisateurs.

Parmi les bugs critiques annulés ce mois-ci figure Numéro de série: CVE-2023-35628, une faiblesse présente dans Les fenêtres 10 et les versions ultérieures, ainsi que Serveur Microsoft 2008 et plus tard. Kevin Breen, directeur principal de la recherche sur les menaces chez Laboratoires Immersifs, a déclaré que la faille affecte MSHTML, un composant central de Windows utilisé pour afficher du contenu basé sur un navigateur. Breen note que MSHTML peut également être trouvé dans un certain nombre d'applications Microsoft, notamment Bureau, Perspectives, Skype et Équipes.

"Dans le pire des cas, Microsoft suggère que la simple réception d'un courrier électronique suffirait à déclencher la vulnérabilité et à permettre à un attaquant d'exécuter du code sur la machine cible sans aucune interaction de l'utilisateur, comme ouvrir ou interagir avec le contenu", a déclaré Breen.

Une autre faille critique qui mérite probablement un correctif prioritaire est Numéro CVE-2023-35641, une faiblesse d'exécution de code à distance dans une fonctionnalité Windows intégrée appelée le Partage de Connexion Internet (ICS) service qui permet à plusieurs appareils de partager une connexion Internet. Bien que CVE-2023-35641 ait obtenu un score de gravité de vulnérabilité élevé (une note CVSS de 8,8), la menace de cette faille peut être quelque peu limitée car un attaquant devrait se trouver sur le même réseau que la cible. De plus, bien qu'ICS soit présent dans toutes les versions de Windows depuis Windows 7, il n'est pas activé par défaut (bien que certaines applications puissent l'activer).

Satnam Nérang, ingénieur de recherche senior chez Tenable, note qu'un certain nombre de correctifs non critiques publiés aujourd'hui ont été identifiés par Microsoft comme “plus susceptibles d'être exploités."Par exemple, Numéro de série: CVE-2023-35636, qui, selon Microsoft, est une vulnérabilité de divulgation d'informations dans Outlook. Un attaquant pourrait exploiter cette faille en convainquant une victime potentielle d'ouvrir un fichier spécialement conçu envoyé par courrier électronique ou hébergé sur un site Web malveillant.

Narang a déclaré que ce qui distingue celui-ci, c'est que l'exploitation de cette faille conduirait à la divulgation des hachages NTLM, qui pourrait être exploitée dans le cadre d'un relais NTLM ou d'une attaque “pass the hash”, qui permet à un attaquant de se faire passer pour un utilisateur légitime sans jamais avoir à se connecter.

"Cela rappelle Numéro de série: CVE-2023-23397, une vulnérabilité d'élévation de privilèges dans Microsoft Outlook qui a été exploitée à l'état sauvage comme un jour zéro et corrigée dans le Mardi des correctifs de Mars 2023 relâchez”, a déclaré Narang. "Cependant, contrairement à CVE-2023-23397, CVE-2023-35636 n'est pas exploitable via le volet de prévisualisation de Microsoft, ce qui réduit la gravité de cette faille.”

Comme d'habitude, le Centre de Tempête SANS Internet a un bon tour d'horizon de tous les correctifs publiés aujourd'hui et indexés par gravité. Utilisateurs Windows, veuillez envisager de sauvegarder vos données et/ ou de créer une image de votre système avant d'appliquer des mises à jour. Et n'hésitez pas à vous exprimer dans les commentaires si vous rencontrez des difficultés à la suite de ces correctifs.