Microsoft publie son patch Tuesday de Juillet corrigeant 77 vulnérabilités

Microsoft a publié son « Patch Tuesday » de Juillet 2019 corrigeant de nombreuses vulnérabilités ayant été identifiées sur plusieurs de ses produits. Le patch de ce mois-ci corrige 77 nouvelles vulnérabilités dont 15 vulnérabilités sont considérées comme critiques par l'éditeur. Ce patch corrige 2 vulnérabilités de type « jour-zéro » (0-day).

Ces vulnérabilités affectent entre autres le service de DHCP de Windows, la GDI de Windows, et le service d’administration à distance (RDP).

Vulnérabilités principales (CVSS >= 8.0) :

CVE-2019-0785 (CVSS v3 9.8) : Vulnérabilité de type exécution de code à distance critique identifiée dans Windows DHCP Server 

Cette vulnérabilité affecte directement le mécanisme de serveur de DHCP inclut dans Windows. Le DHCP ou « Dynamic Host Configuration Protocol » est un protocole réseau dont le rôle est d’assurer la configuration automatique des paramètres IP d’une station ou d'une machine, notamment en lui attribuant automatiquement une adresse IP et un masque de sous-réseau.
La vulnérabilité CVE-2019-0785 permet à un attaquant, via l’envoi de messages réseau spécialement conçus,  d’exécuter du code arbitraire sur un DHCP positionné en mode fail-over (mécanisme de résilience aux pannes).

Une fois la vulnérabilité exploitée, l'attaquant peut prendre la main sur le serveur DHCP de fail-over et peut potentiellement provoquer un déni de service.

CVE-2019-1102 (CVSS v3 8.4) : GDI+ Remote Code Execution Vulnerability

Une vulnérabilité de type exécution de code à distance dans le module d’affichage de Windows (GDI : Graphics Device Interface). Une erreur dans la gestion des objets dans la mémoire peut permettre à un attaquant d’injecter du code dans le processus de GDI. Un attaquant qui a exploité avec succès cette vulnérabilité pourrait prendre le contrôle du système affecté et installer des programmes, afficher, modifier ou supprimer des données. Un attaquant aurait également la possibilité de créer de nouveaux comptes avec n’importe quel droits utilisateurs.

Les utilisateurs dont les comptes sont configurés avec des droits minimes sur le systèmes pourraient être moins affectés par rapport aux utilisateurs disposant de droits administrateurs importants.

CVE-2019-0887 (CVSS v3 8.0) : Vulnérabilité de type exécution de code à distance critique identifiée dans Remote Desktop Services

Une vulnérabilité d'exécution du code à distance existe dans le service de bureau à distance Windows (RDP – « Remote Desktop Services » anciennement « Terminal Services ») et permet à un assistant d’utiliser la redirection du presse-papiers de manière malveillante. Un attaquant qui exploite avec succès cette vulnérabilité peut exécuter du code arbitraire sur le système victime. Un attaquant ayant exploité cette vulnérabilité peut alors installer des programmes, afficher, modifier, supprimer des données ou créer de nouveaux comptes avec tous les droits d'utilisateurs.

Pour exploiter cette vulnérabilité, un attaquant doit déjà avoir compromis un système exécutant le Remote Desktop Services, puis attendre qu'un système victime se connecte, via RDP, à la machine corrompue.

La mise à jour adresse cette vulnérabilité en corrigeant la façon dont Remote Desktop Services gère la redirection du presse-papiers.

Il est recommandé de mettre à jour les produits Microsoft avec la dernière version disponible. Sur les bulletins de sécurité spécifiques à chaque produit, Microsoft publie des solutions de contournement éventuelles et des directives pour l’installation du correctif correspondant.