1. Portscanner en ligne
  2. Dernières nouvelles et articles sur la cybersécurité
  3. Microsoft Patch Édition du mardi mai 2023

Microsoft Patch Édition du mardi mai 2023

Microsoft a publié aujourd'hui des mises à jour logicielles pour corriger au moins quatre douzaines de failles de sécurité dans son Fenêtres systèmes d'exploitation et autres logiciels, y compris des correctifs pour deux vulnérabilités zero-day déjà exploitées dans des attaques actives.

Le premier des défauts du jour zéro de mai est Numéro CVE-2023-29336, qui est une faiblesse “d'élévation de privilèges " dans Windows qui a une faible complexité d'attaque, nécessite de faibles privilèges et aucune interaction de l'utilisateur. Cependant, comme le Centre de Tempête SANS Internet souligne, le vecteur d'attaque de ce bogue est local.

” Les vulnérabilités d'escalade de privilèges locaux sont un élément clé des objectifs des attaquants", a déclaré Kevin Breen, directeur de la recherche sur les cybermenaces à Laboratoires Immersifs. "Une fois l'accès initial obtenu, ils demanderont des autorisations administratives ou au niveau du SYSTÈME. Cela peut permettre à l'attaquant de désactiver les outils de sécurité et de déployer plus d'outils d'attaquant comme Mimikatz qui leur permet de se déplacer sur le réseau et de gagner en persistance.”

Le patch zero-day qui a reçu le plus d'attention jusqu'à présent est Numéro de série: CVE-2023-24932, qui est un Contournement de la Fonction de Sécurité de Démarrage Sécurisé faille qui est activement exploitée par le malware "bootkit" connu sous le nom de “Lotte Noire."Un kit de démarrage est dangereux car il permet à l'attaquant de charger un logiciel malveillant avant même que le système d'exploitation ne démarre.

Selon l'avis de Microsoft, un attaquant aurait besoin d'un accès physique ou de droits d'administration à un périphérique cible, puis pourrait installer une stratégie de démarrage affectée. Microsoft attribue à cette faille un score CVSS de seulement 6,7, la qualifiant d '" Importante.”

Adam Barnett a écrit:, ingénieur logiciel principal chez Rapide7, a déclaré que CVE-2023-24932 mérite un score de menace considérablement plus élevé.

"Microsoft avertit qu'un attaquant qui a déjà un accès administrateur à un actif non corrigé pourrait exploiter CVE-2023-24932 sans nécessairement avoir un accès physique”, a déclaré Barnett. "Par conséquent, le score de base CVSSv3 relativement bas de 6,7 n'est pas nécessairement une métrique fiable dans ce cas.”

Barnett a déclaré que Microsoft avait fourni un article d'orientation supplémentaire signalant spécifiquement la menace posée par les logiciels malveillants BlackLotus, qui se chargent avant le système d'exploitation sur les actifs compromis, et fournissent aux attaquants un éventail de techniques puissantes d'évasion, de persistance et de Commande et de contrôle (C2), y compris le déploiement de pilotes de noyau malveillants et la désactivation de Microsoft Defender ou Bitlocker.

” Les administrateurs doivent savoir que des actions supplémentaires sont nécessaires au-delà de la simple application des correctifs", a conseillé Barnett. “Le correctif active les options de configuration nécessaires à la protection, mais les administrateurs doivent appliquer les modifications à la configuration UEFI après le correctif. La surface d'attaque ne se limite pas non plus aux actifs physiques; les actifs Windows exécutés sur certaines machines virtuelles, y compris les actifs Azure avec Secure Boot activé, nécessitent également ces étapes de correction supplémentaires pour la protection. Rapid7 a noté dans le passé que l'activation du démarrage sécurisé est une protection fondamentale contre les attaques basées sur les pilotes. Les défenseurs ignorent cette vulnérabilité à leurs risques et périls.”

En plus des deux jours zéro corrigés ce mois-ci, Microsoft a également corrigé cinq failles d'exécution de code à distance (RCE) dans Windows, dont deux ont des scores CVSS particulièrement élevés.

Numéro de série: CVE-2023-24941 affecte le système de fichiers réseau Windows et peut être exploité sur le réseau en effectuant une requête non authentifiée et spécialement conçue. L'avis de Microsoft comprend également des conseils d'atténuation. Le CVSS de cette vulnérabilité est de 9,8 – le plus élevé de tous les défauts corrigés ce mois-ci.

Pendant ce temps, Numéro CVE-2023-28283 il s'agit d'un bogue critique du protocole LDAP (Lightweight Directory Access Protocol) de Windows qui permet à un attaquant non authentifié d'exécuter du code malveillant sur le périphérique vulnérable. Le CVSS pour cette vulnérabilité est 8.1, mais Microsoft affirme que l'exploitation de la faille peut être délicate et peu fiable pour les attaquants.

Une autre vulnérabilité corrigée ce mois-ci qui a été divulguée publiquement avant aujourd'hui (mais pas encore vue exploitée à l'état sauvage) est Numéro de série: CVE-2023-29325, une faiblesse dans Microsoft Outlook pour Mac et Explorateur cela peut être exploité par des attaquants pour installer à distance des logiciels malveillants. Microsoft affirme que cette vulnérabilité peut être exploitée simplement en affichant un e-mail spécialement conçu dans le volet d'aperçu d'Outlook.

“Pour aider à se protéger contre cette vulnérabilité, nous recommandons aux utilisateurs de lire les messages électroniques au format texte brut”, conseille l'article de Microsoft sur CVE-2023-29325.

“Si un attaquant était en mesure d'exploiter cette vulnérabilité, il obtiendrait un accès à distance au compte de la victime, où il pourrait déployer des logiciels malveillants supplémentaires”, a déclaré Breen d'Immersive. “Ce type d'exploit sera très recherché par les groupes de cybercriminalité et de ransomware où, s'il est armé avec succès, il pourrait être utilisé pour cibler des centaines d'organisations avec très peu d'effort.”

Pour plus de détails sur les mises à jour publiées aujourd'hui, consultez rafles par Action1, Boîte Automatique et Qualys, Si les mises à jour d'aujourd'hui entraînent des problèmes de stabilité ou d'utilisabilité dans Windows, AskWoody.com aura probablement la vérité à ce sujet.

Veuillez envisager de sauvegarder vos données et/ ou d'imager votre système avant d'appliquer des mises à jour. Et n'hésitez pas à vous exprimer dans les commentaires si vous rencontrez des problèmes à la suite de ces correctifs.



>>Plus