Microsoft publie son Patch Tuesday de août corrigeant 95 vulnérabilités

Microsoft a publié son "Patch Tuesday" de août 2019 corrigeant de nombreuses vulnérabilités ayant été identifiées sur plusieurs de ses produits. Le patch de ce mois-ci corrige 95 nouvelles vulnérabilités dont 26 considérées comme critiques

CVE-2019-1181, CVE-2019-1182, CVE-2019-1226, CVE-2019-1222 [CVSS v3 9.8]

Ces vulnérabilités sont similaires à la vulnérabilité BlueKeep, touchant le service RDP.

Elles permettent à un attaquant non authentifié de faire de l'exécution de code à distance sur les services de bureau à distance. L'exploitation est possible lorsque celui-ci se connecte au système cible à l'aide de RDP (Remote Desktop Protocol) et envoie des requêtes spécialement conçues.

Ces vulnérabilités se situent dans la pré-authentification et ne nécessitent aucune interaction de la part d'un utilisateur. Un attaquant qui parviendrait à exploiter ces vulnérabilités pourrait exécuter du code arbitraire sur le système cible. Il pourrait ainsi installer des programmes, afficher, modifier ou supprimer des données, ou créer de nouveaux comptes avec des droits d'utilisateur complets.

Ces mises à jour corrigent ces vulnérabilités en modifiant la façon dont les services de bureau à distance traitent les demandes de connexion.

CVE-2019-1144, CVE -2019-1145, CVE -2019-1149, CVE-2019-1150, CVE-2019-1152 [CVSS v3 8.8]

Ces vulnérabilités concernent la bibliothèque de police Windows.

Elles permettent à un attaquant d’exécuter du code à distance en utilisant des polices Windows spécialement conçues. Un attaquant pourrait héberger un site web spécialement conçu pour exploiter cette vulnérabilité. L'attaquant agirait en incitant les utilisateurs à consulter son site malveillant (par courrier électronique ou messagerie instantané).

Dans le cas d’une attaque par partage de fichiers, un attaquant pourrait envoyer un fichier (un document par exemple), puis convaincre les utilisateurs d’ouvrir le fichier, contenant la police spécialement conçu pour exploiter la vulnérabilité. Ainsi il pourrait prendre le contrôle du système affecté et installer des programmes, afficher, modifier ou supprimer des données, créer de nouveaux comptes avec des droits d’utilisateurs complets. Les utilisateurs dont les comptes sont configurés avec moins de droits utilisateur sur le système pourraient être moins touchés que les utilisateurs disposant de droits d’administrateur

La mise à jour de sécurité corrige ces vulnérabilités en modifiant la façon dont la bibliothèque de Windows traite les polices incorporées.

CVE-2019-1200 [CVSS v3 non communiqué]

Cette vulnérabilité concerne Microsoft Outlook.

Elle permet à un attaquant d’exécuter du code à distance lorsque des objets en mémoire ne sont pas gérés correctement par le logiciel Outlook. Pour exploiter cette vulnérabilité, un utilisateur doit ouvrir un fichier spécialement conçu avec une version vulnérable du logiciel Microsoft Outlook.

Dans le cas d’une attaque par courrier électronique, un attaquant pourrait exploiter cette vulnérabilité en envoyant le fichier spécialement conçu à l’utilisateur et en le persuadant de l’ouvrir.

Dans le cas d’une attaque web, un attaquant pourrait héberger un site web (ou exploiter un site web compromis acceptant ou hébergeant un contenu fourni par l’utilisateur), contenant un fichier spécialement conçu pour exploiter cette vulnérabilité. L’attaquant devrait convaincre l’utilisateur de cliquer sur un lien (généralement au moyen d’une incitation dans un courrier électronique ou par messagerie instantané), puis le convaincre d’ouvrir le fichier spécialement conçu. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait effectuer des actions sur l’ordinateur de l’utilisateur avec les mêmes droits que l’utilisateur actuel.

La mise à jour de sécurité corrige cette vulnérabilité en modifiant la façon dont Microsoft Outlook traite les fichiers en mémoire.

CVE-2019-1199 [CVSS v3 non communiqué]

Cette vulnérabilité concerne Microsoft Outlook.

Elle permet à un attaquant d’exécuter du code arbitraire lorsque des objets en mémoire ne sont pas gérés correctement par le logiciel Outlook. Pour exploiter cette vulnérabilité, un utilisateur doit ouvrir un fichier spécialement conçu avec une version vulnérable du logiciel Microsoft Outlook.

Dans le cas d’une attaque par courrier électronique, un attaquant pourrait exploiter cette vulnérabilité en envoyant le fichier spécialement conçu à l’utilisateur et en le persuadant de l’ouvrir.

Dans le cas d’une attaque web, un attaquant pourrait héberger un site web (ou exploiter un site web compromis acceptant ou hébergeant un contenu fourni par l’utilisateur), contenant un fichier spécialement conçu pour exploiter cette vulnérabilité. L’attaquant devrait convaincre l’utilisateur de cliquer sur un lien généralement au moyen d’une incitation dans un courrier électronique ou par messagerie instantané, puis le convaincre d’ouvrir le fichier spécialement conçu. Ainsi il pourrait prendre le contrôle du système affecté et installer des programmes, afficher, modifier ou supprimer des données, créer de nouveaux comptes avec des droits d’utilisateurs complets. Les utilisateurs dont les comptes sont configurés avec moins de droits utilisateur sur le système pourraient être moins touchés que les utilisateurs disposant de droits d’administrateur.

La mise à jour de sécurité corrige cette vulnérabilité en modifiant la façon dont Microsoft Outlook traite les fichiers en mémoire.

CVE-2019-1205 [CVSS v3 non communiqué]

Cette vulnérabilité concerne Microsoft Word.

Elle permet à un attaquant d’exécuter du code à distance lorsque des objets en mémoire ne sont pas gérés correctement par le logiciel Word. Pour exploiter cette vulnérabilité, un utilisateur doit ouvrir un fichier spécialement conçu avec une version vulnérable du logiciel Microsoft Word.

Dans le cas d’une attaque par courrier électronique, un attaquant pourrait exploiter cette vulnérabilité en envoyant le fichier spécialement conçu à l’utilisateur et en le persuadant de l’ouvrir.

Dans le cas d’une attaque web, un attaquant pourrait héberger un site web (ou exploiter un site web compromis acceptant ou hébergeant un contenu fourni par l’utilisateur), contenant un fichier spécialement conçu pour exploiter cette vulnérabilité. L’attaquant devrait convaincre l’utilisateur de cliquer sur un lien généralement au moyen d’une incitation dans un courrier électronique ou par messagerie instantané, puis le convaincre d’ouvrir le fichier spécialement conçu. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait effectuer des actions sur l’ordinateur de l’utilisateur avec les mêmes droits que l’utilisateur actuel.

La mise à jour de sécurité corrige cette vulnérabilité en modifiant la façon dont Microsoft Word traite les fichiers en mémoire.

CVE-2019-1133 [CVSS v3 7.5]

Cette vulnérabilité concerne la façon dont le moteur de Scripting d’Internet Explorer gère les objets en mémoire.

Cette vulnérabilité pourrait corrompre la mémoire et permettre à un attaquant d’exécuter du code arbitraire afin d’effectuer des actions sur l’ordinateur de l’utilisateur avec les mêmes droits que l’utilisateur actuel.

Dans le cas d’une attaque web, un attaquant pourrait héberger un site web (ou exploiter un site web compromis acceptant ou hébergeant un contenu fourni par l’utilisateur), spécialement conçu pour exploiter cette vulnérabilité par le biais d’Internet Explorer. Un attaquant pourrait aussi intégrer un contrôle ActiveX marqué comme « initialisation sûr », au sein d’une application ou un document Microsoft Office hébergeant le moteur de rendu d’internet Explorer. Un attaquant pourrait également profiter d’un site web compromis qui accepte et/ou héberge des publicités ou du contenu fourni par les utilisateurs.

La mise à jour de sécurité corrige cette vulnérabilité en modifiant la façon dont le moteur de Scripting gère les objets en mémoire.

CVE-2019-1131,  CVE-2019-1196, CVE-2019-1141, CVE-2019-1197, CVE-2019-1140, CVE-2019-1139 [CVSS v3 8.8]

Ces vulnérabilités concernent la façon dont le moteur de Scripting Chakra gère les objets en mémoire dans Microsoft Edge

Ces vulnérabilités pourraient corrompre la mémoire et permettre à un attaquant d’exécuter du code arbitraire afin d’effectuer des actions sur l’ordinateur de l’utilisateur avec les mêmes droits que l’utilisateur actuel.

Dans le cas d’une attaque web, un attaquant pourrait héberger un site web (ou exploiter un site web compromis acceptant ou hébergeant un contenu fourni par l’utilisateur), spécialement conçu pour exploiter cette vulnérabilité par le biais de Microsoft Edge. Un attaquant pourrait également profiter d’un site web compromis qui accepte et/ou héberge des publicités ou du contenu fourni par les utilisateurs. Ainsi il pourrait prendre le contrôle du système affecté et installer des programmes, afficher, modifier ou supprimer des données, créer de nouveaux comptes avec des droits d’utilisateur complets. Les utilisateurs dont les comptes sont configurés avec moins de droits utilisateur sur le système pourraient être moins touchés que les utilisateurs disposant de droits d’administrateur.

La mise à jour de sécurité corrige ces vulnérabilités en modifiant la façon dont le moteur de Scripting Chakra gère les objets en mémoire.

CVE-2019-1183 [CVSS v3 7.5]

Cette vulnérabilité concerne la façon dont le moteur de Scripting de VBScript gère les objets en mémoire.

Cette vulnérabilité pourrait corrompre la mémoire et permettre à un attaquant d’exécuter du code arbitraire afin d’effectuer des actions sur l’ordinateur de l’utilisateur avec les mêmes droits que l’utilisateur actuel. 

Dans le cas d’une attaque web, un attaquant pourrait héberger un site web (ou exploiter un site web compromis acceptant ou hébergeant un contenu fourni par l’utilisateur), spécialement conçu pour exploiter cette vulnérabilité par le biais d’Internet Explorer. Un attaquant pourrait aussi intégrer, au sein d’une application ou un document Microsoft Office hébergeant le moteur de rendu d’internet Explorer, un contrôle ActiveX marqué comme « initialisation sur ». Un attaquant pourrait également profiter d’un site web compromis qui accepte et/ou héberge des publicités ou du contenu fourni par les utilisateurs. Ainsi il pourrait prendre le contrôle du système affecté et installer des programmes, afficher, modifier ou supprimer des données, créer de nouveaux comptes avec des droits d’utilisateurs complets.

La mise à jour de sécurité corrige cette vulnérabilité en modifiant la façon dont le moteur de Scripting gère les objets en mémoire.

CVE-2019-1188 [CVSS v3 7.5]

Cette vulnérabilité concerne la façon dont Microsoft Windows autorise l’exécution de code distant sur les fichiers .lnk

Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait effectuer des actions sur l’ordinateur de l’utilisateur avec les mêmes droits que l’utilisateur actuel.

Les utilisateurs dont les comptes sont configurés avec moins de droits utilisateur sur le système pourraient être moins touchés que les utilisateurs disposant de droits d’administrateur. L’attaquant pourrait fournir à l’utilisateur un support amovible ou un emplacement réseau comprenant le fichier .lnk corrompu associé à un binaire malveillant. Lorsque l’utilisateur accède au support amovible ou emplacement réseau à partir d’internet Explorer, ou toute autre application arrivant à gérer l’extension de fichier .lnk, le binaire malveillant va s’exécuter sur le système cible.

La mise à jour de sécurité corrige cette vulnérabilité en modifiant la façon dont les raccourcis .lnk sont traités.

CVE-2019-0736 [CVSS v3 9.8]

Cette vulnérabilité concerne une corruption mémoire qui existe sur les clients DHCP de Windows lorsqu’un attaquant envoi une réponse DHCP spécialement conçu à un client, lui permettant d’exécuter du code arbitraire sur la machine client.

La mise à jour de sécurité corrige cette vulnérabilité en modifiant la façon dont Windows DHCP gère certaines réponses DHCP.

CVE-2019-1213 [CVSS v3 9.8]

Cette vulnérabilité concerne une corruption mémoire qui existe sur les serveurs DHCP de Windows lorsqu’un attaquant envoie un paquet DHCP spécialement conçu à un serveur, lui permettant d’exécuter du code arbitraire sur le serveur DHCP.

La mise à jour de sécurité corrige cette vulnérabilité en modifiant la façon dont les serveurs Windows DHCP gèrent les paquets réseaux.

CVE-2019-0965 [CVSS v3 8.0]

Cette vulnérabilité concerne une exécution de code distant sur les systèmes Windows Hyper-V lorsqu’un serveur hébergé échoue à valider convenablement une entrée d’un utilisateur authentifié ou d’un invité sur le système d’exploitation.

Pour exploiter cette vulnérabilité, un attaquant peut exécuter une application spécialement conçu sur un système d’exploitation « invité », ce qui force le système d’exploitation hébergé par l’Hyper-V à exécuter du code arbitraire. Ainsi, un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire sur le système hébergé.

La mise à jour de sécurité corrige cette vulnérabilité en modifiant la façon dont Hyper-V valide les entrées des invités sur le système d’exploitation.

CVE-2019-0720 [CVSS v3 8.0]

Cette vulnérabilité concerne une exécution de code distant sur les systèmes Windows Hyper-V Network Switch lorsqu’un serveur hébergé échoue à valider convenablement une entrée d’un utilisateur authentifié ou d’un invité sur le système d’exploitation.

Pour exploiter cette vulnérabilité, un attaquant peut exécuter une application spécialement conçu sur un système d’exploitation « invité », ce qui pourrait forcer le système d’exploitation hébergé par l’Hyper-V à exécuter du code arbitraire . Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire sur le système hébergé.

La mise à jour de sécurité corrige cette vulnérabilité en modifiant la façon dont Windows Hyper-V Network Switch valide le trafic réseau des invités sur le système d’exploitation.