Multiples vulnérabilités dans les produits Microsoft (Patch Tuesday Février 2020)

Microsoft a publié un correctif de sécurité (Patch Tuesday) afin de corriger plusieurs vulnérabilités permettant l’exécution de code à distance, la fuite d’informations, l’élévation de privilèges, le déni de service, l’usurpation d’identité et le contournement de dispositifs de sécurité. Ces vulnérabilités affectent plusieurs produits, dont :

• Microsoft Windows
• Microsoft Edge (basé sur EdgeHTML)
• Microsoft Edge (basé sur Chromium)
• ChakraCore
• Internet Explorer
• Microsoft Exchange Server
• Microsoft SQL Server
• Microsoft Office, Services Microsoft Office et Microsoft Office Web Apps
• Outil de suppression de logiciels malveillants Windows
• Windows Surface Hub

Les vulnérabilités suivantes ont été annoncées comme critiques par Microsoft :

CVE-2020-0688 [Score CVSS v3 : 8.8] : Une vulnérabilité d’exécution de code à distance dans Microsoft Exchange Server a été publiée. Elle est due à la création de clés statiques lors de l'installation. Pour exploiter cette vulnérabilité, un attaquant doit être authentifié sur Microsoft Exchange Server puis collecter des valeurs facilement accessibles avec les outils de développement disponibles dans les navigateurs internet. 

Avec ces valeurs, un attaquant peut générer une charge active qui peut lui permettre d'exécuter du code arbitraire avec un niveau de privilège SYSTEM.

CVE-2020-0692 [Score CVSS v3 : 8.1] : Une vulnérabilité d’élévation de privilèges dans Microsoft Exchange Server a été publiée. L’exploitation de cette vulnérabilité nécessite que les services web Exchange (EWS) soient activés.

Pour exploiter cette vulnérabilité, un attaquant doit modifier les paramètres du jeton d’accès de sécurité et le transférer à un serveur Microsoft Exchange Server afin d’autoriser l’usurpation de l’identité d’un autre utilisateur Exchange. La complexité d’exploitation de cette vulnérabilité est considérée comme élevée, cependant un attaquant peut effectuer cette exploitation en étant à distance et sans authentification.

CVE-2020-0662 [Score CVSS v3 : 8.6] : Il existe une vulnérabilité d’exécution de code à distance quant à la manière dont Windows traite les objets en mémoire. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire avec des autorisations élevées sur un système cible.

Pour exploiter cette vulnérabilité, un attaquant disposant d'un compte d'utilisateur de domaine pourrait créer une demande spécialement créée afin que Windows exécute du code arbitraire avec des autorisations élevées.

CVE-2020-0673, CVE-2020-0674 [Score CVSS v3 : 7.5] : Il existe une vulnérabilité d’exécution de code à distance due à la manière dont le moteur de script traite les objets en mémoire dans Internet Explorer. Cette vulnérabilité se situe dans la bibliothèque, intitulée JScript.dll. Cette bibliothèque permet la compatibilité avec une version obsolète de JScript.

CVE-2020-0681, CVE-2020-0734, CVE-2020-0817 [Score CVSS v3 : 7.5] : Il existe une vulnérabilité d’exécution de code à distance dans le client Bureau à distance de Windows quand un utilisateur se connecte à un serveur malveillant. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire sur l’ordinateur du client qui se connecte. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes dotés de tous les privilèges.

Pour exploiter cette vulnérabilité, un attaquant devrait disposer du contrôle d’un serveur, puis convaincre un utilisateur de s’y connecter.

CVE-2020-0710, CVE-2020-0711, CVE-2020-0712, CVE-2020-0713, CVE-2020-0767 [Score CVSS v3 : 7.5] : Il existe une vulnérabilité d’exécution de code à distance due à la manière dont le moteur de script ChakraCore traite des objets en mémoire.

CVE-2020-0729 [Score CVSS v3 : 7.5] : Il existe une vulnérabilité d’exécution de code à distance dans Microsoft Windows qui est due à la façon dont les fichiers .LNK sont traités. Un attaquant exploitant cette vulnérabilité pourrait obtenir des droits similaires à ceux d’un utilisateur local connecté.

CVE-2020-0738 [Score CVSS v3 : 8.8] : Il existe une vulnérabilité d’altération de mémoire lorsque Windows Media Foundation traite de façon incorrecte les objets en mémoire. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait installer des programmes, afficher, modifier ou supprimer des données ou créer des comptes dotés de tous les privilèges. Il existe plusieurs façons d'exploiter la vulnérabilité, par exemple en incitant un utilisateur à ouvrir un document spécialement conçu ou à visiter une page web malveillante.

Les vulnérabilités suivantes ont été annoncées comme importantes par Microsoft :

CVE-2020-0689 [Score CVSS v3 : 8.2] : Il existe une vulnérabilité de contournement de la fonctionnalité de sécurité dans le démarrage sécurisé. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait contourner le démarrage sécurisé et charger un logiciel non approuvé. Pour exploiter cette vulnérabilité, un attaquant pourrait exécuter une application spécialement conçue.

CVE-2020-0759 [Score CVSS v3 : 8.8] : Il existe une vulnérabilité d’exécution de code à distance dans Microsoft Excel lorsque celui-ci ne parvient pas à traiter correctement des objets en mémoire.