Après un problème de démarrage, Microsoft aura finalement attendu le mois d’avril pour tourner la page du traditionnel Patch Tuesday avec son lot de bulletins de sécurité. Adieu donc les formats MSxxx-xxx et bienvenue au système des Security Updates. A chacun, correspond une faille, avec son classement CVE, et un fichier correctif (KB). Les administrateurs peuvent ainsi mieux prioriser les updates de sécurité.
Dotées d’une nouvelle page dédiée, les mises à jour de sécurité portent sur la correction de 45 vulnérabilités susceptibles de déclencher du code à distance, des dénis de service, des élévations de privilèges, le contournement des solutions de sécurité, etc.
Dans ce lot de correctifs affectant 9 produits Microsoft, la priorité absolue, selon Amol Sawarte, CTO de Qualys, est le patch concernant la faille CVE-2017-0199 touchant Office et WordPad. Cette vulnérabilité zero day découverte par McAfee et FireEye est active depuis le mois de janvier.
L’attaque est de facture classique et démarre par un mail renfermant un document Word. Ce dernier embarque un objet OLE2link (une technologie propriétaire de Microsoft), qui est le réel vecteur de l’attaque. Si la victime utilise Office Protected View – la sandbox de la suite bureautique -, le piratage est tué dans l’œuf. Mais si cette fonctionnalité a été désactivée par l’utilisateur, une requête HTTP est automatiquement exécutée déclenchant le téléchargement d’une application HTML (ou HTA), déguisée en fichier RTF. C’est cette application HTA qui signe la prise de contrôle de la machine Windows ciblée.
Les administrateurs se pencheront aussi rapidement sur les rustines concernant les navigateurs IE et Edge. On notera la réparation de 2 failles classées critiques, CVE-2017-0201, CVE-2017-0202, dans IE 9,10 et 11. De son côté, Edge colmate 3 failles critiques( CVE-2017-0093, CVE-2017-0200, CVE-2017-0205), permettant aux attaquants de prendre le contrôle complet du PC.
Toujours dans la liste des mises à jour, l’hyperviseur Hyper-V de Windows souffre de 3 brèches elles aussi critiques (CVE-2017-0162, CVE-2017-0163, CVE-2017-0180). Ces failles donnent à des applications malveillantes virtualisées la possibilité d’exécuter du code sur la VM pilotée par Hyper-V. Ces failles ont notamment été découvertes à l’occasion de la compétition Pwn2own à Vancouver, où une équipe de hackers a réussi à pirater complètement une VM.
Avec 13 failles critiques corrigées, la livraison new look du Patch Tuesday se classe à un niveau moyen par rapport à ses prédécesseurs de 2017. Dans le même temps, Microsoft garde au sein du Security Update son partenariat avec Adobe. L’éditeur d’Acrobat calque les mises à jour de sécurité de ses produits sur l’agenda de Redmond. Ainsi, le mois d’avril affiche 59 failles corrigées dans Flash, Reader et Photoshop, dont 44 classées comme critiques.
Au final, les administrateurs vont être obligés de s’habituer à la nouvelle nomenclature des mises à jour de sécurité. Pour les autres utilisateurs, il n’y a aucun changement, car les updates de sécurité se déploient automatiquement au sein de Windows.
A lire aussi :
Un Patch Tuesday massif après un mois d’absence
En l’absence de Patch Tuesday, Google se paye IE et Edge
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.