Microsoft publie son patch Tuesday d’Octobre corrigeant 59 vulnérabilités.

Date de publication :

Microsoft a publié son « Patch Tuesday » d’Octobre 2019 corrigeant 59 vulnérabilités. Ce patch, plus léger qu’à l’accoutumée (59 vulnérabilités adressées contrairement aux 80/90 vulnérabilités adressées en temps normal), fait suite aux patchs sortis hors cycle pour corriger les vulnérabilités impactant Internet Explorer et Windows Defender (voir : https://www.cyberveille-sante.gouv.fr/cyberveille/1432-microsoft-publie-un-patch-pour-internet-explorer-et-windows-defender-2019-09-25).

CVE-2019-1372[Score CVSSv3 8.8] : Une vulnérabilité de type « exécution de code à distance » a été identifiée dans le service Azure App. Cette vulnérabilité repose sur une absence de contrôle de la taille du tampon lors d’une copie en mémoire sur la pile Azure Stack. Un attaquant pourrait exploiter cette vulnérabilité afin d’exécuter une fonction à faible privilège avec les droits NT AUTHORITY\System (plus haut niveau de privilège possible).

CVE-2019-1358 / CVE-2019-1359[Score CVSSv3 7.8] : Une mauvaise gestion des objets en mémoire a été identifiée dans le moteur de la base de données Windows Jet. Ces vulnérabilités peuvent amener un attaquant a réaliser une exécution de code arbitraire sur un système victime.

CVE-2019-1327 / CVE- 2019-1331[Score CVSSv3 7.7] : Ces vulnérabilités reposent sur une mauvaise gestion des entrées utilisateurs dans Microsoft Excel. L’ouverture d’un fichier Excel spécialement conçu pourrait entrainer l’exécution d’un code arbitraire sur le système victime.

Microsoft profite également de cette diffusion de correctifs de sécurité pour rappeler aux utilisateurs de Windows 7 (et Windows Server 2008 R2) que la fin du support est prévue pour le 14 janvier 2020 (https://support.microsoft.com/fr-fr/help/4470235/products-reaching-end-of-support-for-2020). Microsoft invite les utilisateurs de ces systèmes d’exploitation à migrer vers un système d’exploitation plus récent (ex : Windows 10).

Microsoft a néanmoins prévu une extension payante avec les Windows 7 Extended Security Updates (ESU) qui seront proposées aux entreprises de toutes tailles (https://www.microsoft.com/microsoft-365/partners/news/article/announcing-paid-windows-7-extended-security-updates).

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Exécution de code à distance

Criticité

  • Score CVSS : 8.8

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d’exploitation n’est actuellement disponible.

Composants & versions vulnérables

  • Windows 10, version 1809, Windows Server 2019 (KB4519338);
  • Internet Explorer (KB4519974);
  • Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1 (Monthly Rollup) (KB4519976);
  • Windows Server 2012 (Security-only update) (KB4519985);
  • Windows 8.1, Windows Server 2012 R2 (Security-only update) (KB4519990);
  • Windows 10, version 1607, Windows Server 2016 (KB4519998);
  • Windows 10, version 1709 (KB4520004);
  • Windows 8.1, Windows Server 2012 R2 (Monthly Rollup) (KB4520005);
  • Windows Server 2012 (Monthly Rollup) (KB4520007);
  • Windows 10, version 1803, Windows Server version 1803 (KB4520008);
  • Windows 10, version 1703 (KB4520010);
  • Windows 10 (KB4520011).

CVE

Solutions ou recommandations

Mise en place de correctif de sécurité

Des correctifs de sécurité sont déployés par Microsoft pour les systèmes d’exploitation affectés :

  • Windows 7 SP1 ;
  • Windows 8.1 ;
  • Windows 10 ;
  • Windows Server 2008 R2 SP1 ;
  • Windows Server 2008 R2 ;
  • Windows Server 2012 ;
  • Windows Server 2012 R2 ;
  • Windows Server 2016 ;
  • Windows Server 2019 ;
  • Internet Explorer ;
  • Microsoft Exchange Server 2019 ;
  • Microsoft Exchange Server 2016.

Solution de contournement

  • Aucune solution de contournement n’a été identifiée en dehors de la mise à jour