Patch Tuesday : Microsoft corrige enfin Flash et Badlock

Le Patch Tuesday du mois d’avril que vient de publier Microsoft n’a quasiment rien à envier à celui de mars et vaut son pesant de correctifs. Pas moins de 13 bulletins de sécurité, dont 6 classés critiques et le reste important, y corrigent une trentaine de vulnérabilités. Windows, les navigateurs maison (Internet Explorer et Edge) et Office sont principalement concernés.

Microsoft profite de sa livraison mensuelle pour sortie les correctifs de récentes failles zero day, c’est-à-dire de vulnérabilités exploitées avant même d’être connues par l’éditeur. A commencer par la faille Flash dans laquelle s’engouffrent les ransomwares et qu’Adobe a corrigé récemment en amont de Microsoft. Ceux qui n’auraient pas appliqué ce correctif auront tout intérêt à installer le bulletin critique MS16-050, qui corrige le plug-in Flash d’IE10 et 11 et de Edge pour Windows 8.1, RT 8.1, 10, Server 2012, Server 2012 R2.

Important Badlock

L’autre zero day est traité dans le bulletin MS16-047 et s’attache à corriger la faille dite Badlock. Celle-ci a de quoi inquiéter les administrateurs puisqu’elle concerne une brèche touchant Samba, une implémentation Open Source du protocole SMB de Microsoft, et permet une élévation de privilège via une attaque de type homme du milieu (Man-in-the-middle) pour les applications exploitant les protocoles SAMR ou LSAD. De Vista à Server 2012 R2 et 10, toutes les versions de Windows sont concernées. Néanmoins, comme la faille ne touche pas directement le composant SMB, Redmond limite sa dangerosité, et la classe dans la catégorie importante et non critique.

Les trous de sécurité qui affectent IE (MS16-037) et Edge (MS16-038) sont, eux, bien considérés comme critiques. Les vulnérabilités qui touchent les navigateurs présentent en effet des risques d’exécution de code à distance. « C’est la première fois qu’Edge contient autant de failles qu’IE et qu’il rencontre des problèmes plus sérieux qu’IE, note Wolfgang Kandek, le directeur technique de Qualys. Aucune de ces vulnérabilités n’est actuellement exploitée, mais comme la plupart des exploits visent les navigateurs, il est légitime de les mettre à jour sans tarder. »

RTF infectieux en aperçu

Parmi les autres correctifs critiques à appliquer le plus rapidement possible, il sera utile de se concentrer sur le bulletin MS16-039 qui corrige un composant graphique de Windows (toutes les versions), Office, .NET, Skype fo Business 2016 et Lync 2013/2010. La faille permet à l’attaquant de lancer du code à distance s’il parvient à faire ouvrir un document ou une page web spécialement conçu à cet effet. Les failles du bulletin MS16-042 sont également à combler au plus vite. Elles affectent Office 2007/2010/2013 et ouvrent la voie à une exécution de code à distance en affichant simplement un document RTF dans le volet d’aperçu d’Outlook. « Renforcez si possible votre configuration en bannissant les e-mails contenant des formats de fichier RTF, conseille Wolfgang Kandek. Vous pouvez également désactiver ces e-mails via la politique de blocage de fichiers d’Office. »

Le bulletin MS16-040 n’est pas à négliger non plus. Il concerne une vulnérabilité propre au sous-système de traitement XML. Et permet d’envoyer un format XML malveillant sur la machine cible après que son utilisateur ait cliqué sur un lien infectieux. « Aucun patch n’a été publié à ce niveau depuis plus d’un an », rappelle le CTO de Qualys. Enfin, bien que classé comme important, le bulletin MS16-045 corrige des brèches de Windows qui pourraient permettre la prise de contrôle à distance d’une machine exécutant Hyper-V. Les environnements n’utilisant pas le système de virtualisation de Microsoft ne sont pas concernés.

Lire également

L’exploitation des vulnérabilités Flash ont explosé en 2015
Faille zero day : des millions de serveurs Linux et 66 % du parc Android exposés
Microsoft cache une bannière pro Windows 10 dans le Patch Tuesday