Microsoft publie son Patch Tuesday d'avril

Microsoft a publié son Patch Tuesday du mois d’avril. Celui-ci traite 74 nouvelles vulnérabilités sur un grand nombre de produits. L’éditeur a évalué 14 des vulnérabilités comme étant critiques et 60 comme importantes. Il est à souligner qu’aucun correctif a déjà été publié en dehors de ce bulletin (voir le lien).

Deux de ces vulnérabilités sont qualifiées de « jour-zéro », et font déjà l’objet d’une exploitation effective.

Sur les 14 vulnérabilités critiques corrigées dans ce correctif, 13 permettent de réaliser de l’exécution de code arbitraire à distance et une élévation de privilèges. L'évaluation de la criticité renseignée par Microsoft relève par ailleurs d'une appréciation subjective et doit être réévaluée au cas par cas.

Détails techniques :

Vulnérabilités critiques

CVE-2019-0739 [CVSS V3 : 7.5], CVE-2019-0806 [CVSS V3 : 7.5], CVE-2019-0810 [CVSS : 4.2], CVE-2019-0812 [CVSS V3 : 7.5], CVE-2019-0860 [CVSS V3 : 7.5], CVE-2019-0861 [CVSS V3 : 7.5], CVE-2019-0829 [CVSS V3 : 7.5]  : Plusieurs vulnérabilités dans le navigateur Microsoft Edge permettraient à un attaquant d’exécuter du code arbitraire au travers de la mémoire du moteur de script. Il pourrait alors obtenir les mêmes droits que ceux de l’utilisateur au travers duquel s’exécute le code malveillant. L’attaque peut se faire en local, mais également par Internet en incitant l’utilisateur à visiter un site malveillant.
CVE-2019-0753 [CVSS : 7.5] :  Même type de vulnérabilité que précédemment, affectant Internet Explorer.  
CVE-2019-0786 [CVSS : 9.8] : Cette vulnérabilité concerne Microsoft Server Message Block (SMB), le protocole SMB est un protocole permettant le partage de ressources sur des réseaux locaux avec des PC sous Windows. Elle permettrait à un attaquant possédant des authentifiants valides d’effectuer une élévation de privilèges en contournant les mécanismes de sécurité du système d’exploitation.
CVE-2019-0791[CVSS : 8.8], CVE-2019-0792[CVSS : 8.8], CVE-2019-0793 [CVSS : 8.8] : Vulnérabilités sur MSXML  permettant une exécution de code à distance au moment où l’analyseur traite les entrées utilisateur. Un attaquant doit utiliser un site Web spécialement conçu pour invoquer MSXML lorsque l’utilisateur le visite.  
CVE-2019-0845 [CVSS : 8.8] : Une vulnérabilité sur l’interface de Microsoft Windows IOleCvt permettrait à un attaquant non authentifié d’exécuter du code à distance. Cela est dûe à un rendu ASP (Active Server Page) incorrect lors de l’utilisation d’un logiciel affecté. Ainsi un attaquant persuaderait un utilisateur de visiter un site web malveillant pour injecter et exécuter du code dans le logiciel.
CVE-2019-0853 [CVSS : 8.8] : GDI+ (Graphic Device Interface) une API Windows possède une vulnérabilité d’exécution de code à distance entrainant une divulgation d’information.

Vulnérabilité importante

CVE-2019-0803 [CVSS : 7.8] : C’est la première des vulnérabilités « jour zéro ». Elle a été rendue publique une semaine auparavant par Microsoft et affecte les utilisateurs de Windows 32 bits. Elle pourrait être exploitée pour effectuer une élévation de privilèges dans le noyau Win32 mais requiert tout de même une authentification sur le système.
CVE-2019-0859 [CVSS : 8.8] : La deuxième vulnérabilité qualifiée de « jour zéro » permet, comme la première, une élévation de privilège dans les systèmes Win32. Cette vulnérabilité permettrait à un attaquant ayant accès au système d’installer des programmes pour prendre le contrôle de la machine. 

Du fait de leur criticité, les utilisateurs sont invités à appliquer ces mises à jour le plus rapidement possible. Elles sont disponibles dans le catalogue en ligne de mise à jour de Microsoft, ou directement depuis les systèmes d'exploitation.