Vidéo: Realtime Mitigation of New Microsoft Zero-Day Vulnerability ID (ADV200006) (Novembre 2024)
Microsoft a publié sept bulletins corrigeant 12 vulnérabilités dans la première version du correctif mardi publiée pour 2013. Comme prévu, la résolution de la vulnérabilité du jour zéro dans Internet Explorer ne faisait pas partie de la publication.
Sur les sept bulletins, seuls deux ont été jugés «critiques»; les cinq autres ont été jugés "importants", a déclaré Microsoft dans son bulletin Patch Tuesday de janvier. Tandis qu’aucun de ces problèmes n’est exploité à l’état sauvage pour le moment, "une fois que le chemin conduira à des pirates intelligents et malveillants, il ne faudra pas longtemps pour que les exploits commencent", Ross Barrett, directeur de l’ingénierie de la sécurité chez Rapid7, a dit SecurityWatch .
Seulement deux bulletins critiques
L'un des correctifs critiques a été qualifié de "correctif le plus important de la gamme" par Wolfgang Kandek, directeur technique de Qualys, car il concerne toutes les versions Windows, de XP à Windows 8, RT et Server 2012, ainsi que toutes les versions de Microsoft Office et autres. des applications telles que Sharepoint et Groove. La faille dans la bibliothèque MSXML (MS13-002) pourrait potentiellement être exploitée en incitant les utilisateurs à consulter un site Web malveillant, ou en ouvrant un document Office piégé dans une pièce jointe à un courrier électronique.
L'autre bulletin critique concerne le logiciel de spouleur d'imprimante Microsoft Windows sous Windows 7 et 2008 (MS13-001). L'attaquant pourrait potentiellement mettre en file d'attente des en-têtes de travaux d'impression malveillants afin d'exploiter les clients qui se connectent, mais cela ne peut pas être déclenché par des moyens normaux. Personne ne devrait avoir un spouleur d’impression accessible à l’extérieur du pare-feu, mais la faille pourrait être exploitée par des initiés malveillants ou dans le cadre d’une attaque par élévation de privilèges, a déclaré Barrett.
Bien que moins sérieux que les défauts du spouleur d’impression exploités par Stuxnet, le fait que ce bogue puisse être utilisé dans une attaque de type trou d’eau le rendra "très populaire dans les forums d’attaques", a déclaré Andrew Storms, directeur des opérations de sécurité pour nCircle. Il devrait être corrigé, "pronto", at-il ajouté.
Bulletins importants
Les communiqués importants traitaient de.NET (MS13-004), du noyau Windows (MS13-005), de la mise en œuvre de Secure Socket Layer dans Windows Vista (MS13-006), du protocole Open Data Protocol (MS13-007) et défaut de script de site. Alors que les bogues.NET auraient pu être exploités pour exécuter du code à distance, le nouveau bac à sable récemment introduit dans toutes les versions de.NET a diminué "l'exploitation", a déclaré Paul Henry, analyste de la sécurité et de la criminalistique chez Lumension.
La faille dans le module de noyau win32k.sys a affecté le bac à sable AppContainer dans Windows 8. Bien qu’il ne s’agisse pas d’une faille critique en soi, il pourrait être utilisé avec d’autres vulnérabilités pour attaquer un système Windows 8, a déclaré Kandek.
Les deux problèmes d'élévation de privilèges dans la console Microsoft SCOM ont rendu la page de connexion vulnérable à une attaque de script intersite, a déclaré Microsoft dans l'avis. Ce sont tous deux des systèmes XSS non persistants, ce qui signifie que les administrateurs doivent être convaincus de consulter la page malveillante à un moment précis, a déclaré à SecurityWatch Tyler Reguly, responsable technique de la recherche et du développement en matière de sécurité chez nCircle.
Jour zéro non fixé
Comme prévu, Microsoft ne disposait pas d'un correctif pour la vulnérabilité de jour zéro qui affecte actuellement Internet Explorer 6, 7 et 8. Même si le problème concerne les versions plus anciennes du navigateur Web, elles représentent en réalité 90% de la base installée d'IE., dit Kandek. L’exploit actif cible actuellement IE8; les utilisateurs doivent donc mettre à niveau vers le plus sûr IE9 ou IE10, si possible.
Le correctif publié la semaine dernière bloque une attaque spécifique, mais les chercheurs d'Exodus Intelligence ont trouvé d'autres moyens de déclencher la vulnérabilité même après l'application de la solution de contournement temporaire. Même dans ce cas, les administrateurs doivent toujours déployer le correctif, mais ils doivent également envisager d'exécuter le kit d'outils Enhanced Mitigation Experience Toolkit de Microsoft, qui peut bloquer les tentatives de déclenchement de la faille zéro jour.
