Cette nouvelle publication Microsoft résout un total de 45 vulnérabilités entraînant des exécutions de code à distance (RCE), des dénis de service, des élévations de privilèges, des contournements de fonctions de sécurité et des usurpations (spoofing). Priorité absolue à la résolution de CVE-2017-0199 pour Office et WordPad, une vulnérabilité 0-Day qui est activement exploitée en aveugle. Pour exploiter cette vulnérabilité, l’attaquant adresse un email contenant un fichier malveillant à un utilisateur puis persuade ce dernier d’ouvrir ou de consulter en mode aperçu le fichier malveillant avec une version affectée d’Office ou de WordPad. Nous recommandons aux administrateurs de corriger cette vulnérabilité dès que possible.

La priorité suivante concerne les navigateurs Microsoft IE et Edge. Deux vulnérabilités critiques (CVE-2017-0201 et CVE-2017-0202) ont été résolues dans les versions 9, 10 et 11 d’IE. Le scénario le plus courant met en scène d’une part, un attaquant qui installe sur un site Web malveillant du code JScript et VBScript également malveillant et conçu pour exploiter la vulnérabilité via Internet Explorer et, d’autre part, un utilisateur invité à consulter ce site Web. Lors de la consultation des pages sous IE, le code agressif peut alors prendre le plein contrôle de la machine de l’utilisateur. Trois vulnérabilités critiques (CVE-2017-0093, CVE-2017-0200 et CVE-2017-0205) sont résolues pour le navigateur Edge. Elles permettent à des attaquants de prendre le contrôle total du système.

La priorité suivante concerne le composant Windows Hyper-V pour les trois vulnérabilités critiques CVE-2017-0162, CVE-2017-0163 et CVE-2017-0180 qui permettent à des applications invitées malveillantes d’exécuter du code sur le système d’exploitation hôte Hyper-V. La mise à jour de sécurité résout la vulnérabilité en corrigeant la manière dont le commutateur virtuel Windows Hyper-V valide le trafic réseau du système d’exploitation invité.

Une dernière vulnérabilité avec exécution de code à distance dans ASP.NET empêche la validation correcte des données avant le chargement des bibliothèques, ce qui permet à un attaquant de prendre le plein contrôle du système. D’autres vulnérabilités pouvant entraîner des divulgations d’informations, des dénis de service, des élévations de privilège et des contournements de la sécurité sont également résolues. Elles exigeaient un accès spécial pour exécuter une attaque ou généraient des informations facilitant le lancement d’attaques.

En résumé, cette mise à jour est de taille modérée, mais la grande nouveauté est que les administrateurs système et les équipes chargées d’évaluer la sécurité devront s’habituer au nouveau guide des mises à jour de sécurité et oublier les bulletins de sécurité traditionnels.