Vidéo: CVE 2020 1380, CVE 2020 1464 Microsoft Patch Tuesday, August 2020 Critical Vulnerabilities (Novembre 2024)
Microsoft a publié huit bulletins traitant de 13 vulnérabilités dans Internet Explorer, Windows et Office dans le cadre de la mise à jour de Patch Tuesday de mai. Trois d’entre eux sont déjà exploités à l’état sauvage, a déclaré Microsoft.
Bien que Microsoft n'ait publié aucun correctif pour les utilisateurs de XP, les experts pensent que ces problèmes affectent également l'ancien système d'exploitation. Le mois dernier, Microsoft a cessé de prendre en charge Windows XP, ce qui signifie que les utilisateurs ne reçoivent plus les correctifs de sécurité pour l'ancien système d'exploitation. Les entreprises ayant passé des contrats d'assistance étendue recevront toujours des mises à jour.
Fixation IE, sous attaque
La mise à jour Internet Explorer (MS14-029) est le correctif dont la priorité est la plus élevée de ce mois. Il diffère des autres correctifs IE car ce n'est pas un correctif cumulatif, ce qui signifie que les utilisateurs doivent installer la mise à jour cumulative pour IE du dernier mois (MS14-018) avant d'installer ce correctif. Ce bulletin contient le correctif hors bande du début du mois. qui a corrigé une vulnérabilité de jour zéro (CVE-2014-1776). Le bulletin corrigeait également deux vulnérabilités de corruption de mémoire (CVE-2014-1815) qui pourraient entraîner l'exécution de code à distance. Microsoft a déclaré qu'il y avait des "attaques limitées" qui tentaient d'exploiter l'un des bogues d'IE.
"Il est important de vous assurer que vous appliquez MS14-018 et MS14-029 si vous n'avez pas déjà appliqué la mise à jour cumulative pour IE du mois dernier", a déclaré Tyler Reguly, responsable de la recherche sur la sécurité chez Tripwire.
Attaques à l'état sauvage
Microsoft a corrigé une faille de privilège d’escalade dans les préférences de stratégie de groupe (MS14-025) et a déclaré qu’il existait déjà des attaques dans la nature qui ciblaient ce bogue. Une faille dans la manière dont Active Directory distribue les mots de passe configurés à l'aide des préférences de stratégie de groupe pourrait permettre à des attaquants d'extraire potentiellement les informations d'identification de compte de domaine obfusquées et de les utiliser pour exécuter des processus privilégiés.
Le bulletin adressant un contournement d'ASLR (MS14-024) a en réalité une cote «importante», plutôt que «critique», mais devrait être considérée comme une priorité élevée, a déclaré Ross Barrett, directeur principal de l'ingénierie de la sécurité chez Rapid7. La question n'est pas vraiment un exploit en soi, mais une faiblesse qui peut être utilisée en conjonction avec d'autres exploits, a déclaré Barrett. Ce contournement a été détecté en cours d'utilisation conjointement avec d'autres attaques. Les pirates exploitent également une vulnérabilité d'élévation de privilèges dans Windows pour accéder au compte Système local (MS14-027) lors d'attaques ciblées.
"Ces deux correctifs sont hautement recommandés et contribueront grandement à rendre votre configuration plus robuste", a déclaré Wolfgang Kandek, CTO de Qualys.
Utilisateurs de bureau à domicile en alerte
Le correctif Office (MS14-023) était "très intéressant" pour Tyler Reguly de Tripwire, qui a indiqué qu'il utilisait Microsoft OneDrive et Office365 Home à la maison, et que la faille d'exécution de code à distance affecterait la façon dont les jetons sont passés dans OneDrive. "Je devrai surveiller de près l'utilisation de ces services par ma famille jusqu'à ce que les mises à jour soient déployées sur tous nos ordinateurs", a déclaré Reguly.
Les chercheurs de BeyondTrust ont recommandé de hiérarchiser ce correctif, car la vulnérabilité de préchargement de DLL "est très facile à exploiter avec des outils publiquement disponibles, fiables et faciles à utiliser".
Utilisateurs XP dans le froid
Le mois dernier, Microsoft a cessé de prendre en charge Office 2003 et SharePoint 2003 ainsi que Windows XP. La majorité des vulnérabilités corrigées dans la version de correctif de mai de Yuesday concernent "probablement" Windows XP et Office 2003, a déclaré Kandek, qui a estimé qu'une vulnérabilité affectant Windows Server 2003 aurait probablement une incidence sur XP. Cela signifie que les failles abordées dans les correctifs pour Internet Explorer, ALSR, profil de groupe et SharePoint sont présentes dans XP ou Office 2003.
Au moins une des vulnérabilités non critiques corrigées dans Microsoft Office est probablement présente dans Office 2003. Les mises à jour de ce mois-ci ont corrigé trois vulnérabilités critiques dans les versions SharePoint Server 2007, 2010 et 2013, SDK des composants clients Office Web Apps, SharePoint Designer 2013.. Même si Microsoft a corrigé Internet Explorer pour XP dans la mise à jour hors bande, il n'a pas publié d'inclure XP dans la version de correctif de ce mois-ci. La faille IE actuellement attaquée affecte presque certainement Windows XP.
"Nous avions eu de faux départs auparavant, mais cette fois, Microsoft va vraiment informer le monde des vulnérabilités de sécurité dans Windows et non les corriger dans XP", a écrit l'expert en sécurité Graham Cluely sur le blog Lumension. Les attaquants désossent régulièrement des correctifs pour trouver les vulnérabilités et chercheront probablement à savoir si les mêmes problèmes existent sous XP. Avec la publication des patchs, l’horloge tourne.
"Si vous utilisez toujours Windows XP, cela signifie que vous envisagez de passer du système d'exploitation à un système plus performant au plus tôt et de la manière la plus sûre", a déclaré Cluley. "Quelle que soit la version de Windows que vous utilisez, faites ce qui vous convient."
