Patch Tuesday – Octobre 2023 : 104 failles de sécurité corrigées (dont 3 failles zero-day)
mercredi 11 octobre 2023 à 07:15Le Patch Tuesday d'Octobre 2023 est beaucoup plus chargé que celui du mois dernier puisque Microsoft a corrigé 104 vulnérabilités dans ses produits, dont 3 failles de sécurité zero-day déjà exploitée au sein de cyberattaques. Faisons le point.
Ce Patch Tuesday contient 12 failles de sécurité critiques de type "exécution de code à distance", dont voici la liste complète :
- Windows - Protocole L2TP (9 vulnérabilités) : CVE-2023-41770, CVE-2023-41765, CVE-2023-41767, CVE-2023-38166, CVE-2023-41774, CVE-2023-41773, CVE-2023-41771, CVE-2023-41769, CVE-2023-41768
- Windows Message Queuing : CVE-2023-35349, CVE-2023-36697
- Windows - vTPM : CVE-2023-36718
Nous pouvons constater que le protocole L2TP, utilisé pour les connexions VPN, est très fortement impacté par ce Patch Tuesday. Par ailleurs, Microsoft a corrigé des failles de sécurité dans d'autres produits et services, dont : Microsoft Exchange Server, Microsoft Dynamics, Microsoft Office, QUIC, Skype for Business, SQL Server, le rôle WDS de Windows Server, le rôle DHCP Server, Windows IKE Extension, Windows IIS, la pile TCP/IP ou encore le noyau Windows.
Le point sur les failles zero-day
Dans la suite de cet article, nous allons étudier les trois failles zero-day corrigées par Microsoft.
CVE-2023-41763 - Skype for Business (Server)
Bien que les serveurs Skype for Business soient un peu mis de côté au profit de la solution Microsoft Teams, ils sont impactés par une faille de sécurité zero-day classée comme "élévation de privilèges". Pourtant, c'est avant tout une vulnérabilité pouvant permettre à l'attaquant de récupérer des informations sur sa cible (adresse IP, port, etc...) et faciliter la compromission du réseau local.
Comme le précise Microsoft, l'attaque passe par un appel malveillant à destination du serveur Skype for Business : "Un attaquant peut effectuer un appel réseau spécialement conçu vers le serveur Skype for Business cible." - Elle affecte Skype for Business Server 2015 CU13 et Skype for Business Server 2019 CU7.
CVE-2023-36563 - Microsoft WordPad
La célèbre application WordPad, intégrée à Windows depuis des années, est impactée par une faille de sécurité qui peut être utilisée pour voler les hash NTLM simplement à l'ouverture d'un document avec WordPad.
Si un attaquant parvient à convaincre un utilisateur pour qu'il ouvre un fichier malveillant (à partir d'une campagne de phishing, par exemple), ceci pourra lui permettre de voler ces informations sensibles sur la machine. La vulnérabilité peut aussi être exploitée par un attaquant ayant un accès local à la machine, mais qui n'en a pas encore le contrôle total. Ensuite, le hash NTLM peut être réutilisé, "craqué" ou exploité dans le cadre d'attaque NTLM Relay.
Toutes les versions de Windows et Windows Server sont affectées (y compris les installations en mode Core).
CVE-2023-44487 - HTTP/2 Rapid Reset
Microsoft a introduit un correctif pour vous protéger de la faille de sécurité HTTP/2 Rapid Reset qui est activement exploitée depuis fin août et qui est à l'origine de plusieurs attaques DDoS records. D'ailleurs, trois géants du Web viennent de publier des rapports à son sujet : AWS, Google et Cloudflare. Cette faille de sécurité zero-day tire profit du fonctionnement normal du protocole HTTP/2 et repose sur l'envoie successif de requêtes et de paquets pour réinitialiser les connexions afin de saturer le serveur distant.
- En savoir plus sur les attaques DDoS HTTP/2 Rapid Reset
Microsoft recommande l'installation des correctifs de sécurité, ou si ce n'est pas possible, de désactiver le protocole HTTP/2 sur vos serveurs Web en guise de mesure d'atténuation.
The post Patch Tuesday – Octobre 2023 : 104 failles de sécurité corrigées (dont 3 failles zero-day) first appeared on IT-Connect.