Adieu Patch Tuesday et bienvenue aux Security Updates

Après un retard à l’allumage, Microsoft lance officiellement son système de Security Update. 45 failles sont corrigées dont la zero day sur Office.

Après un problème de démarrage, Microsoft aura finalement attendu le mois d’avril pour tourner la page du traditionnel Patch Tuesday avec son lot de bulletins de sécurité. Adieu donc les formats MSxxx-xxx et bienvenue au système des Security Updates. A chacun, correspond une faille, avec son classement CVE, et un fichier correctif (KB). Les administrateurs peuvent ainsi mieux prioriser les updates de sécurité.

Dotées d’une nouvelle page dédiée, les mises à jour de sécurité portent sur la correction de 45 vulnérabilités susceptibles de déclencher du code à distance, des dénis de service, des élévations de privilèges, le contournement des solutions de sécurité, etc.

La faille zero day dans Office à corriger en urgence

Dans ce lot de correctifs affectant 9 produits Microsoft, la priorité absolue, selon Amol Sawarte, CTO de Qualys, est le patch concernant la faille CVE-2017-0199 touchant Office et WordPad. Cette vulnérabilité zero day découverte par McAfee et FireEye est active depuis le mois de janvier.

L’attaque est de facture classique et démarre par un mail renfermant un document Word. Ce dernier embarque un objet OLE2link (une technologie propriétaire de Microsoft), qui est le réel vecteur de l’attaque. Si la victime utilise Office Protected View – la sandbox de la suite bureautique -, le piratage est tué dans l’œuf. Mais si cette fonctionnalité a été désactivée par l’utilisateur, une requête HTTP est automatiquement exécutée déclenchant le téléchargement d’une application HTML (ou HTA), déguisée en fichier RTF. C’est cette application HTA qui signe la prise de contrôle de la machine Windows ciblée.

Navigateurs IE et Edge en priorité

Les administrateurs se pencheront aussi rapidement sur les rustines concernant les navigateurs IE et Edge. On notera la réparation de 2 failles classées critiques, CVE-2017-0201, CVE-2017-0202, dans IE 9,10 et 11. De son côté, Edge colmate 3 failles critiques( CVE-2017-0093, CVE-2017-0200, CVE-2017-0205), permettant aux attaquants de prendre le contrôle complet du PC.

Toujours dans la liste des mises à jour, l’hyperviseur Hyper-V de Windows souffre de 3 brèches elles aussi critiques (CVE-2017-0162, CVE-2017-0163, CVE-2017-0180). Ces failles donnent à des applications malveillantes virtualisées la possibilité d’exécuter du code sur la VM pilotée par Hyper-V. Ces failles ont notamment été découvertes à l’occasion de la compétition Pwn2own à Vancouver, où une équipe de hackers a réussi à pirater complètement une VM.

59 failles corrigées pour Adobe

Avec 13 failles critiques corrigées, la livraison new look du Patch Tuesday se classe à un niveau moyen par rapport à ses prédécesseurs de 2017. Dans le même temps, Microsoft garde au sein du Security Update son partenariat avec Adobe. L’éditeur d’Acrobat calque les mises à jour de sécurité de ses produits sur l’agenda de Redmond. Ainsi, le mois d’avril affiche 59 failles corrigées dans Flash, Reader et Photoshop, dont 44 classées comme critiques.

Au final, les administrateurs vont être obligés de s’habituer à la nouvelle nomenclature des mises à jour de sécurité. Pour les autres utilisateurs, il n’y a aucun changement, car les updates de sécurité se déploient automatiquement au sein de Windows.

En l’absence de Patch Tuesday, Google se paye IE et Edge

Lire aussi : AutoDev : GPT-4 en agent autonome de développement logiciel