Pluie de correctifs de vulnérabilités critiques à l’occasion du Patch Tuesday de Microsoft

L’édition de mars du Patch Tuesday était particulièrement consistante car elle intègre des correctifs qui ont été retardés avec l'annulation du Patch Tuesday de Février. Le lot de mars couvre 18 bulletins de sécurité Windows, dont neuf sont qualifiés de critiques.

Les experts savaient que le Patch Tuesday de mars serait plus conséquent que d’habitude, car il couvre deux mois de rustines. Mais les professionnels de la sécurité devraient être bien occupés à traiter les correctifs pour une vulnérabilité inédite et au moins cinq vulnérabilités publiquement dévoilées avant d’être corrigées. Les neuf bulletins de sécurité critiques de Windows ce mois-ci concernent des vulnérabilités susceptibles de permettre l'exécution de code à distance (RCE) par un attaquant.

Pour Amol Sarwate, directeur des laboratoires Qualys, le bulletin prioritaire de ce mois-ci porte la référence MS17-013, et concerne la vulnérabilité découverte par les équipes du projet zéro de Google dans la bibliothèque d’interface avec les dispositifs d’affichage (GDI), et communiquée à Microsoft en novembre 2016.

Sarwate place ce correctif en tête de ses priorités parce que la vulnérabilité pourrait être exploitée « si un utilisateur visite un site Web ou ouvre un document spécialement conçu ». Surtout, il indique que la vulnérabilité en question est « actuellement exploitée activement ». Selon lui, elle pourrait « être incorporée bientôt par des kits d'exploitation utilisant Silverlight comme vecteur d’attaque ».

Sarwate accorde également une haute priorité au bulletin MS17-012, qui recouvre notament une autre faille publiquement dévoilée en février : un chercheur avait publié un démonstrateur d’attaque en déni de service visant SMB, après avoir été frustré par le temps mis par Microsoft à proposer un correctif. Mais pour l’éditeur, ce bug ne posait qu’un risque relativement limité. Aujourd’hui, il ne qualifie que d’importante cette vulnérabilité. Le bogue critique couvert par MS17-012 concerne un défaut de corruption de mémoire dans le serveur iSNS.

Le bulletin MS17-010 concerne également le protocole SMB, visant une faille soupçonnée de faire partie de l’arsenal de piratage de la NSA et qui a incité le Cert-US à recommander de désactiver SMB v1.

Bien qu'il ne soit pas jugé critique par Microsoft, Craig Young, chercheur en sécurité chez Tripwire, estime que MS17-016 mérite une attention particulière ; il concerne IIS, le serveur Web de Microsoft : « il s’agit d’un problème de scripting inter-sites qui pourrait affecter n’importe quel site hébergé par IIS, et exploitable via un simple lien. Microsoft a indiqué qu’il n’y a pas de de remède simple ou de facteur limitant le risque et que l’attaque pourrait ne pas être bloquée par les filtres anti-XSS courants ». Selon Young, un « attaquant pourrait exploiter cette vulnérabilité pour saper complètement les protections offertes HTTPS, s’il est en mesure d'obtenir d’une victime qu’elle clique sur un lien conçu spécifiquement. Ce problème est aggravé par la prévalence d’IIS sur Internet et par le fait que les serveurs Web sont souvent négligés en termes de correctifs, afin d'éviter les indisponibilités et les éventuels effets secondaires des patchs ».

Pour finir, les bulletins critiques de sécurité de Windows ce mois-ci sont MS17-008, MS17-009 et MS17-011, qui comblent des vulnérabilités dans Windows Hyper-V, la bibliothèque PDF de Windows, et Microsoft Uniscribe, respectivement.