Microsoft a publié hier des correctifs de sécurité pour un total de 67 vulnérabilités.
L’entreprise s’attaque à 21 vulnérabilités considérées comme critiques, 42 comme importantes et 4 comme peu graves. Ces mises à jour de patch adressent les failles de sécurité dans Microsoft Windows, Internet Explorer, Microsoft Edge, Microsoft Office, Microsoft Office Exchange Server, Outlook, .NET Framework, Microsoft Hyper-V, ChakraCore, Azure IoT SDK, et d’autres.
Parmi les failles graves, 2 zero-day largement exploités par les cybercriminels et 2 bugs rendus publics.
1) Double Kill IE zero-day
La première vulnérabilité zero-day (CVE-2018-8174) est une vulnérabilité critique révélée par la société de sécurité chinoise Qihoo 360 le mois dernier et qui a affecté toutes les versions des systèmes d’exploitation Windows.
Surnommée « Double Kill » par les chercheurs, la vulnérabilité nécessite une attention immédiate car elle pourrait permettre à un pirate de prendre le contrôle à distance d’un système affecté en exécutant du code malveillant de plusieurs façons, comme via un site Web compromis ou des documents Office malveillants.
La vulnérabilité Double Kill réside dans la façon dont le moteur VBScript (inclus dans toutes les versions de Windows actuellement supportées) gère les objets dans la mémoire de l’ordinateur. Il permet aux pirates d’exécuter du code avec les mêmes privilèges que l’utilisateur connecté.
Simplement visiter un site Web pourrait corrompre votre machine ! Les pirates pourraient héberger un site malveillant et, si visité par le biais d’Internet Explorer, pourrait donner tous vos accès aux potentiels pirates. Les sites mal protégés ou qui permettraient d’héberger du contenu d’autres sites (même de la publicité) pourraient servir aux pirates aussi. Un hacker pourrait également intégrer un contrôle ActiveX marqué « safe for initialization » dans une application ou un document Microsoft Office (Office hébergeant le moteur de rendu IE, la faille est transmise par ce biais).
Plus l’utilisateur a des accès élevés sur son système, plus dangereuse est la prise de risque puisque les pirates auront droit aux mêmes autorisations que l’utilisateur actif. Cependant, cela ne signifie pas que les utilisateurs défavorisés sont épargnés, les pirates peuvent toujours être en mesure d’escalader leurs privilèges en exploitant d’autres vulnérabilités distinctes.
Les chercheurs de Qihoo 360 et Kaspersky Labs ont constaté que la vulnérabilité était activement exploitée par un groupe de piratage avancé financé par un état, mais ni Microsoft ni Qihoo 360 et Kaspersky n’ont fourni aucune information sur ce groupe.
2) Win32k vulnérabilité « Élévation de privilège »
La deuxième vulnérabilité zero-day (CVE-2018-8120) corrigée ce mois-ci est une faille d’élevation de privilèges qui s’est produite dans le composant Win32k de Windows lorsqu’il ne gère pas correctement les objets dans la mémoire de l’ordinateur.
L’exploitation réussie de la faille offre la possibilité aux pirates d’exécuter du code en mode kernel, leur permettant éventuellement d’installer des programmes et logiciels malveillants, de visualiser, modifier ou supprimer des données, ou de créer de nouveaux comptes avec tous les droits utilisateur.
La vulnérabilité est classée « importante » et n’affecte que Windows 7, Windows Server 2008 et Windows Server 2008 R2. La faille a été activement exploitée par des hackeurs, mais Microsoft n’a fourni aucun détail sur ces abus.
3) Les deux bugs divulgués au public
Microsoft s’est également attaqué à deux importantes vulnérabilités Windows dont les détails avaient déjà été rendus publics. Le premier bug est une faille du noyau Windows (CVE-2018-8141) qui permet la divulgation d’informations, et l’autre est un bug Windows Image (CVE-2018-8170) qui pourrait conduire à l’élévation du privilège.
Complément d’information
Les mises à jour de mai 2018 résolvent 20 autres problèmes critiques, y compris les corruptions de mémoire dans les moteurs de script Edge et Internet Explorer (IE) et les vulnérabilités d’exécution de code à distance (RCE) dans Hyper-V et Hyper-V SMB.
Pendant ce temps, Adobe a également publié ses mises à jour, qui résolvent cinq vulnérabilités de sécurité – un bug critique dans Flash Player, deux failles importantes dans Creative Cloud et un bug dans Connect.
Il est fortement conseillé aux utilisateurs d’installer des mises à jour de sécurité dès que possible afin de se protéger contre les attaques actives dans la nature. Pour installer les mises à jour de sécurité, rendez-vous dans vos Paramètres → Mise à jour et sécurité → Mise à jour de Windows → vérifier ou installer les dernières mises à jour.
Sources
