Mise à jour de sécurité massive pour le Patch Tuesday Microsoft de mars

Publié par amol sarwate dans The Laws of Vulnerabilities

Microsoft vient de publier une mise à jour de sécurité massive dans le cadre du Patch Tuesday de mars. Elle comprend 17 bulletins de sécurité destinés à résoudre un total de 134 vulnérabilités. Parmi ces 17 bulletins, 8 sont classés comme critiques pour la résolution de vulnérabilités pouvant déclencher une exécution de code à distance (RCE), tandis que les autres sont décrits comme importants. Dans la mesure où aucun patch n’a été publié en février, une mise à jour massive était attendue pour mars. Nous avons également apprécié que Microsoft conserve l’ancien format des articles de la base de connaissances et des patches via les bulletins de sécurité ce qui, à notre avis, facilite la lecture tout en offrant une meilleure image globale.

La priorité absolue va au bulletin MS17-013 consacré à l’interface Windows GDI pour résoudre un risque d’exécution de code à distance en cas de visite d’un site Web compromis ou d’ouverture d’un document malveillant. Priorité absolue car CVE-2017-0005 est une vulnérabilité Zero Day actuellement exploitée en mode aveugle. Elle pourrait être rapidement intégrée à des kits d’exploits avec Silverlight comme vecteur d’attaque, comme cela s’est déjà produit.

La priorité suivante est la mise à jour SMB MS17-012 pour un risque lié à des serveurs SMB pouvant prendre le contrôle d’un système client tentant de se connecter à eux. La vulnérabilité CVE-2017-0057 résolue dans ce bulletin était connue publiquement depuis un mois et des exploits Proof-of-Concept étaient également disponibles. D’où le besoin rapide d’un correctif car il n’est pas impossible que des attaquants soient déjà en train d’intégrer ces exploits à des attaques.

Côté client, priorité aux navigateurs IE et Edge. La plus sévère des vulnérabilités affectant les navigateurs peut entraîner l’exécution de code à distance après la visite d’une page Web malveillante hébergée par l’attaquant. Les détails concernant les trois vulnérabilités pour navigateurs (CVE-2017-0008, CVE-2017-0037, CVE-2017-0065) et résolues par ce Patch Tuesday ont été divulgués publiquement, d’où l’urgence de déployer un correctif en raison d’un risque de divulgation publique.

La priorité suivante côté client va au bulletin Office MS17-014 pour éliminer un risque d’exécution de code à distance suite à l’ouverture d’un fichier Microsoft Office malveillant. Là encore, les détails de l’une des vulnérabilités (CVE-2017-0029) étaient connues publiquement.

Côté serveur, priorité absolue aux bulletins destinés à supprimer les risques liés à Microsoft Exchange et aux services IIS (MS17-015 et MS17-016 respectivement) dans la mesure où les deux systèmes sont exposés sur Internet. En effet, Outlook Web Access (OWA) de Microsoft Exchange ne parvient pas traiter correctement les requêtes Web, si bien qu’un attaquant qui réussit à exploiter cette vulnérabilité peut lancer des attaques par injection de scripts ou de contenu. Un attaquant peut exploiter la vulnérabilité en envoyant un email contenant un lien malveillant. S’il parvient à exploiter la vulnérabilité IIS avec succès, il peut alors lancer des attaques à base de scripts intersite (XSS) contre les systèmes affectés et exécuter du script dans le contexte de sécurité de l’utilisateur courant.

Du côté serveur là encore, l’autre priorité concerne le bulletin MS17-008 Hyper-V. Il s’agit de supprimer tout risque d’exécution de code à distance si un attaquant authentifié sur un système d’exploitation invité venait à exécuter une application malveillante entraînant l’exécution de code arbitraire par le système d’exploitation hôte pour Hyper-V. Cette vulnérabilité est classée comme critique en raison du risque d’exécution de code qui lui est associé. La priorité suivante côté serveur va au bulletin MS17-019 qui résout une vulnérabilité au sein des services ADFS (Active Directory Federation Services) et qui permet à un attaquant authentifié l’ayant exploitée avec succès, de consulter de l’information sensible à propos du système ciblé.

En résumé, les jours à venir vont être plutôt chargés pour les équipes IT dans toutes les entreprises à cause du nombre important de patches à installer sur les systèmes client et serveur. Cependant, la plupart d’entre nous apprécieront que Microsoft ait conservé l’ancienne formule pour livrer les articles de la base de connaissances sous la forme de bulletins de sécurité.

Cookie	Durée	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Patch Tuesday mars 2017

Publié par amol sarwate dans The Laws of Vulnerabilities

Poster le commentaire Annuler la réponse