Qualys : Patch Tuesday – Février 2023

février 2023 par Qualys Lab, Ankit Malhotra

This Month in Vulnerabilities & Patches

Correctifs Microsoft pour février 2023

Microsoft a corrigé 79 vulnérabilités, dont 3 en lien avec Microsoft Edge, corrigées début février. Globalement, les mises à jour comprennent des correctifs pour des vulnérabilités dans le système d’exploitation Windows et ses composants, dont le protocole Microsoft PEAP (Protected Extensible Authentication Protocol) et le service de découverte Windows iSCSI (iSCSI Discovery Service), Microsoft Office et des composants Office, Microsoft Dynamics, Microsoft Exchange Server, Microsoft SQL Server, .NET core, l’infrastructure .NET, 3D Builder et Print 3D. Les produits de la gamme Azure comme Azure DevOps, Azure Machine Learning, Azure App Service sur Azure Stack Hub, Azure Data Box Gateway et Azure Stack Edge ont également fait l’objet de correctifs de sécurité ce mois-ci.

Parmi les 79 vulnérabilités corrigées en février, 9 sont classées comme critiques tandis que 67 figurent dans la catégorie Importantes. En outre, Microsoft a confirmé que 3 vulnérabilités sont actuellement exploitées en mode aveugle. Il convient aussi de noter que même si Microsoft a indiqué le mois dernier qu’il ne fournirait plus de support étendu pour Windows 7, Windows 2008 SP 2 et Windows 2008 R2, l’éditeur a tout de même publié un correctif pour corriger une vulnérabilité dans Windows 2008 SP 2 et Windows 2008 R2. Par contre, Microsoft a indiqué qu’il continuerait de fournir des mises à jour de sécurité étendue pour Windows 2008 SP2 et Windows 2008 R2 pour les clients Azure ayant besoin de plus de temps pour passer à des versions plus récentes de Windows Server.

Microsoft a corrigé plusieurs failles dans ses logiciels, y compris des vulnérabilités de déni de service (DoS), d’élévation de privilèges (EoP), de divulgation d’informations, d’exécution de code à distance (RCE), de contournement des fonctions de sécurité et d’usurpation.

Les vulnérabilités corrigées par Microsoft en février 2023 sont classées comme suit :

Type de vulnérabilité

Quantité

Niveau de sévérité

Vulnérabilité d’élévation de privilèges

12

Important : 12

Vulnérabilité d’exécution de code à distance

38

Important : 29

Critique : 9

Vulnérabilité de divulgation d’informations

8

Important : 8

Vulnérabilité de contournement de fonctions de sécurité

2

Important : 2

Vulnérabilité de déni de service

10

Important : 10

Vulnérabilité d’usurpation

8

Important : 8

Correctifs Adobe pour février 2023

Au total, Adobe a publié 9 avis de sécurité pour le mois de février. Ces avis concernent un ensemble de 34 vulnérabilités dont 19 sont classées comme critiques et affectant Adobe After Effects (3), Adobe FrameMaker (3), Adobe Bridge (5), Adobe Photoshop (3), Adobe Premier Rush (2) et Adobe Animate (3). Toutes les vulnérabilités classées comme critiques permettent une exécution de code arbitraire. Les avis de sécurité ont un niveau de priorité 3 défini par Adobe, ce qui signifie qu’aucune des vulnérabilités concernée n’est connue comme étant actuellement exploitée, Adobe anticipant qu’elles ne le seront d’ailleurs pas.

Vulnérabilités Microsoft importantes et critiques corrigées

CVE-2023-21692, CVE-2023-21690, CVE-2023-21689 – Vulnérabilités d’exécution de code à distance dans le protocole Microsoft PEAP (Protected Extensible Authentication Protocol)

Microsoft PEAP est une version sécurisée du protocole EAP (Extensible Authentication Protocol) qui fournit le chiffrement et un tunnel TLS (Transport Layer Security) authentifié. Les vulnérabilités CVE-2023-21692 et CVE-2023-21690 peuvent être exploitées en envoyant des paquets malveillants spécifiques tandis que la vulnérabilité CVE-2023-21689 peut permettre de cibler des comptes serveur via des appels réseaux pour exécuter du code à distance. Ces trois vulnérabilités n’exigent pas de privilèges spécifiques ou d’interactions utilisateurs particulières.

CVE-2023-21803 – Vulnérabilité d’exécution de code à distance dans le service de découverte Windows iSCSI

Windows iSCSI Discovery Service est un service Windows qui permet aux clients n’utilisant pas de serveur SMB d’accéder à des ressources de stockage sur un hôte Windows. Cette vulnérabilité affecte uniquement les versions 32 bits de Windows. Elle peut être exploitée en envoyant une requête de découverte DHCP malveillante à un serveur Windows exécutant le service de découverte iSCSI Discovery Service. En cas d’exploitation réussie, l’attaquant pourra exécuter du code à distance. Cette vulnérabilité ne peut être exploitée que si l’application cliente iSCSI Initiator est exécutée, sachant que cette dernière n’est pas activée par défaut.

CVE-2023-21716 – Vulnérabilité d’exécution de code à distance dans Microsoft Word

CVE-2023-21716 affecte à la fois Microsoft SharePoint et les applications Microsoft Office. Cette vulnérabilité peut être utilisée pour attaquer le volet de visualisation. Ainsi, un attaquant peut envoyer une charge utile RTF malveillante (par exemple via un courrier électronique) qui lui permet d’exécuter des commandes sans qu’il soit nécessaire ou presque d’interagir avec l’utilisateur légitime du système. Microsoft a également fourni une solution de contournement pour cette vulnérabilité. Les administrateurs doivent donc appliquer une politique de blocage des fichiers Microsoft Office qui empêchera l’ouverture de documents RTF à partir de sources inconnues ou non fiables. Plus de détails sur cette politique sur MS08-026 : « Comment empêcher Word de charger des fichiers RTF ». Si des attaquants parviennent à développer des exploits pour cette vulnérabilité, ils pourront à l’avenir lancer des campagnes d’hameçonnage.

CVE-2023-21718 – Vulnérabilité d’exécution de code à distance dans le pilote Microsoft SQL ODBC

Cette vulnérabilité affecte l’interface Microsoft ODBC (Open Database Connectivity) qui permet aux applications d’accéder aux données de différents types de systèmes de gestion de bases de données (SGBD). Cette vulnérabilité peut être exploitée par un attaquant qui manipule un utilisateur non authentifié afin que ce dernier se connecte à une base de données SQL non conforme et contrôlée par cet attaquant. Ce dernier peut ensuite renvoyer des données malveillantes à un client (utilisateur) et déclencher l’exécution de code arbitraire sur ce système.

CVE-2023-21808, CVE-2023-21815, CVE-2023-23381 – Vulnérabilités d’exécution de code à distance dans .NET/Visual Studio

Microsoft n’a pas donné beaucoup de détails sur ces vulnérabilités. Cependant, d’après le peu d’informations dont nous disposons, les vulnérabilités CVE-2023-21808, CVE-2023-21815 et CVE-2023-23381 semblent être de même nature et elles exigent qu’un attaquant manipule un utilisateur pour que ce dernier déclenche cette vulnérabilité qui permettra ensuite d’exécuter du code dans le contexte de l’application.

Zoom sur d’autres vulnérabilités Microsoft

Au total, Microsoft a corrigé 3 vulnérabilités Zéro Day dont leur exploitation a été confirmée :

CVE-2023-21823, une vulnérabilité qui affecte le composant graphique de Windows utilisé par différents produits dont le système d’exploitation Windows, Office Desktop et des applications mobiles. Grâce à cette vulnérabilité, un attaquant peut exécuter du code à distance avec des privilèges SYSTÈME.

CVE-2023-21715, une vulnérabilité de contournement des fonctions de sécurité dans Microsoft Publisher qui permet à des attaquants de contourner les politiques liées aux macros Office pour bloquer des fichiers non fiables ou malveillants. Microsoft a également indiqué que cette vulnérabilité peut être déclenchée via des attaques à base d’ingénierie sociale qui incitent la future victime à télécharger à son insu un fichier malveillant depuis un site Web.

CVE-2023-23376, une vulnérabilité d’élévation de privilèges qui affecte le pilote du système de fichiers journaux (CLFS) de Windows pour que des attaquants puissent obtenir des privilèges SYSTÈME. Aucune autre information n’a été rendue publique par Microsoft.

Microsoft a également divulgué une vulnérabilité qui affecte l’application en fin de vie Print 3D. L’éditeur a affirmé qu’il ne publierait pas de patch pour corriger cette vulnérabilité, les clients devant donc passer à l’appli 3D Builder.

Microsoft Dynamic a fait l’objet de correctifs pour 6 vulnérabilités de scripts intersite. Microsoft a corrigé 4 bugs d’exécution de code à distance dans Exchange Server. Des patches ont été déployés sur Azure DevOps pour corriger des vulnérabilités d’écriture de script intersite (XSS) et d’exécution de code à distance. Enfin, une vulnérabilité d’usurpation a été corrigée dans la solution Power BI Report Server.

Près de la moitié des vulnérabilités CVE divulguées ce mois-ci par Microsoft sont des vulnérabilités d’exécution de code à distance. Les correctifs pour les vulnérabilités d’élévation de privilèges et de déni de service (DoS) continueront donc de se compter par dizaines.

Synthèse de la publication Microsoft

Les notes de publication de ce mois-ci concernent de nombreux produits/versions et familles de produits Microsoft qui sont affectés, y compris mais sans s’y limiter, .NET et Visual Studio, l’infrastructure .NET, 3D Builder, Azure App Service, Azure Data Box Gateway, Azure DevOps, Azure Machine Learning, HoloLens, Internet Storage Name Service, Microsoft Defender for Endpoint, Microsoft Defender for IoT, Microsoft Dynamics, Microsoft Edge (basé sur Chromium), Microsoft Exchange Server, le composant Microsoft Graphics, Microsoft Office, Microsoft Office OneNote, Microsoft Office Publisher, Microsoft Office SharePoint, Microsoft Office Word, le pilote d’imprimante PostScript, Microsoft WDAC OLE DB provider pour SQL, la bibliothèque de codecs Windows, Power BI, SQL Server, Visual Studio, Windows Active Directory, Windows ALPC, le pilote du système de fichiers journaux Windows , les services cryptographiques de Microsoft, Windows Distributed File System (DFS), le service Windows Fax and Scan, Windows HTTP.sys, Windows Installer, Windows iSCSI, Windows Kerberos, la plateforme Windows MSHTML, le pilote Windows ODBC Driver, le protocole Windows Protected EAP (PEAP), Windows SChannel et Windows Win32K.

Les téléchargements concernent les mises à jour cumulatives (Cumulative Updates), les déploiements mensuels (Monthly Rollups), Security Only (sécurité uniquement) et Security Updates (mises à jour de sécurité).

ÉVALUEZ l’atténuation suggérée par le fournisseur avec Policy Compliance (PC)

La bibliothèque Qualys de politiques avec des contrôles (Qualys Policy Compliance Control Library) permet d’évaluer facilement votre infrastructure technologique lorsque la situation exige de valider le déploiement d’une solution d’atténuation ou de contournement suggérée par le fournisseur.

Les contrôles liés aux politiques Qualys pour le Patch Tuesday du mois seront ajoutés sous cette section dès leur publication.

L’équipe de chercheurs Qualys anime une série de webinaires mensuels pour aider nos clients actifs à tirer parti de l’intégration transparente entre Qualys Vulnerability Management Detection Response (VMDR) et Patch Management (PM). En associant ces deux solutions, il est possible de réduire le temps moyen de remédiation des vulnérabilités critiques.

Ce webcast est l’occasion d’aborder les vulnérabilités à fort impact de ce mois-ci, y compris celles faisant partie de l’alerte Patch Tuesday de ce mois-ci. Nous vous expliquerons étape par étape comment résoudre les principales vulnérabilités en vous appuyant sur les solutions Qualys VMDR et Patch Management.