Microsoft publie son Patch Tuesday de août corrigeant 95 vulnérabilités
Date de publication :
Microsoft a publié son "Patch Tuesday" de août 2019 corrigeant de nombreuses vulnérabilités ayant été identifiées sur plusieurs de ses produits. Le patch de ce mois-ci corrige 95 nouvelles vulnérabilités dont 26 considérées comme critiques
CVE-2019-1181, CVE-2019-1182, CVE-2019-1226, CVE-2019-1222 [CVSS v3 9.8]
Ces vulnérabilités sont similaires à la vulnérabilité BlueKeep, touchant le service RDP.
Elles permettent à un attaquant non authentifié de faire de l'exécution de code à distance sur les services de bureau à distance. L'exploitation est possible lorsque celui-ci se connecte au système cible à l'aide de RDP (Remote Desktop Protocol) et envoie des requêtes spécialement conçues.
Ces vulnérabilités se situent dans la pré-authentification et ne nécessitent aucune interaction de la part d'un utilisateur. Un attaquant qui parviendrait à exploiter ces vulnérabilités pourrait exécuter du code arbitraire sur le système cible. Il pourrait ainsi installer des programmes, afficher, modifier ou supprimer des données, ou créer de nouveaux comptes avec des droits d'utilisateur complets.
Ces mises à jour corrigent ces vulnérabilités en modifiant la façon dont les services de bureau à distance traitent les demandes de connexion.
CVE-2019-1144, CVE -2019-1145, CVE -2019-1149, CVE-2019-1150, CVE-2019-1152 [CVSS v3 8.8]
Ces vulnérabilités concernent la bibliothèque de police Windows.
Elles permettent à un attaquant d’exécuter du code à distance en utilisant des polices Windows spécialement conçues. Un attaquant pourrait héberger un site web spécialement conçu pour exploiter cette vulnérabilité. L'attaquant agirait en incitant les utilisateurs à consulter son site malveillant (par courrier électronique ou messagerie instantané).
Dans le cas d’une attaque par partage de fichiers, un attaquant pourrait envoyer un fichier (un document par exemple), puis convaincre les utilisateurs d’ouvrir le fichier, contenant la police spécialement conçu pour exploiter la vulnérabilité. Ainsi il pourrait prendre le contrôle du système affecté et installer des programmes, afficher, modifier ou supprimer des données, créer de nouveaux comptes avec des droits d’utilisateurs complets. Les utilisateurs dont les comptes sont configurés avec moins de droits utilisateur sur le système pourraient être moins touchés que les utilisateurs disposant de droits d’administrateur
La mise à jour de sécurité corrige ces vulnérabilités en modifiant la façon dont la bibliothèque de Windows traite les polices incorporées.
CVE-2019-1200 [CVSS v3 non communiqué]
Cette vulnérabilité concerne Microsoft Outlook.
Elle permet à un attaquant d’exécuter du code à distance lorsque des objets en mémoire ne sont pas gérés correctement par le logiciel Outlook. Pour exploiter cette vulnérabilité, un utilisateur doit ouvrir un fichier spécialement conçu avec une version vulnérable du logiciel Microsoft Outlook.
Dans le cas d’une attaque par courrier électronique, un attaquant pourrait exploiter cette vulnérabilité en envoyant le fichier spécialement conçu à l’utilisateur et en le persuadant de l’ouvrir.
Dans le cas d’une attaque web, un attaquant pourrait héberger un site web (ou exploiter un site web compromis acceptant ou hébergeant un contenu fourni par l’utilisateur), contenant un fichier spécialement conçu pour exploiter cette vulnérabilité. L’attaquant devrait convaincre l’utilisateur de cliquer sur un lien (généralement au moyen d’une incitation dans un courrier électronique ou par messagerie instantané), puis le convaincre d’ouvrir le fichier spécialement conçu. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait effectuer des actions sur l’ordinateur de l’utilisateur avec les mêmes droits que l’utilisateur actuel.
La mise à jour de sécurité corrige cette vulnérabilité en modifiant la façon dont Microsoft Outlook traite les fichiers en mémoire.
CVE-2019-1199 [CVSS v3 non communiqué]
Cette vulnérabilité concerne Microsoft Outlook.
Elle permet à un attaquant d’exécuter du code arbitraire lorsque des objets en mémoire ne sont pas gérés correctement par le logiciel Outlook. Pour exploiter cette vulnérabilité, un utilisateur doit ouvrir un fichier spécialement conçu avec une version vulnérable du logiciel Microsoft Outlook.
Dans le cas d’une attaque par courrier électronique, un attaquant pourrait exploiter cette vulnérabilité en envoyant le fichier spécialement conçu à l’utilisateur et en le persuadant de l’ouvrir.
Dans le cas d’une attaque web, un attaquant pourrait héberger un site web (ou exploiter un site web compromis acceptant ou hébergeant un contenu fourni par l’utilisateur), contenant un fichier spécialement conçu pour exploiter cette vulnérabilité. L’attaquant devrait convaincre l’utilisateur de cliquer sur un lien généralement au moyen d’une incitation dans un courrier électronique ou par messagerie instantané, puis le convaincre d’ouvrir le fichier spécialement conçu. Ainsi il pourrait prendre le contrôle du système affecté et installer des programmes, afficher, modifier ou supprimer des données, créer de nouveaux comptes avec des droits d’utilisateurs complets. Les utilisateurs dont les comptes sont configurés avec moins de droits utilisateur sur le système pourraient être moins touchés que les utilisateurs disposant de droits d’administrateur.
La mise à jour de sécurité corrige cette vulnérabilité en modifiant la façon dont Microsoft Outlook traite les fichiers en mémoire.
CVE-2019-1205 [CVSS v3 non communiqué]
Cette vulnérabilité concerne Microsoft Word.
Elle permet à un attaquant d’exécuter du code à distance lorsque des objets en mémoire ne sont pas gérés correctement par le logiciel Word. Pour exploiter cette vulnérabilité, un utilisateur doit ouvrir un fichier spécialement conçu avec une version vulnérable du logiciel Microsoft Word.
Dans le cas d’une attaque par courrier électronique, un attaquant pourrait exploiter cette vulnérabilité en envoyant le fichier spécialement conçu à l’utilisateur et en le persuadant de l’ouvrir.
Dans le cas d’une attaque web, un attaquant pourrait héberger un site web (ou exploiter un site web compromis acceptant ou hébergeant un contenu fourni par l’utilisateur), contenant un fichier spécialement conçu pour exploiter cette vulnérabilité. L’attaquant devrait convaincre l’utilisateur de cliquer sur un lien généralement au moyen d’une incitation dans un courrier électronique ou par messagerie instantané, puis le convaincre d’ouvrir le fichier spécialement conçu. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait effectuer des actions sur l’ordinateur de l’utilisateur avec les mêmes droits que l’utilisateur actuel.
La mise à jour de sécurité corrige cette vulnérabilité en modifiant la façon dont Microsoft Word traite les fichiers en mémoire.
CVE-2019-1133 [CVSS v3 7.5]
Cette vulnérabilité concerne la façon dont le moteur de Scripting d’Internet Explorer gère les objets en mémoire.
Cette vulnérabilité pourrait corrompre la mémoire et permettre à un attaquant d’exécuter du code arbitraire afin d’effectuer des actions sur l’ordinateur de l’utilisateur avec les mêmes droits que l’utilisateur actuel.
Dans le cas d’une attaque web, un attaquant pourrait héberger un site web (ou exploiter un site web compromis acceptant ou hébergeant un contenu fourni par l’utilisateur), spécialement conçu pour exploiter cette vulnérabilité par le biais d’Internet Explorer. Un attaquant pourrait aussi intégrer un contrôle ActiveX marqué comme « initialisation sûr », au sein d’une application ou un document Microsoft Office hébergeant le moteur de rendu d’internet Explorer. Un attaquant pourrait également profiter d’un site web compromis qui accepte et/ou héberge des publicités ou du contenu fourni par les utilisateurs.
La mise à jour de sécurité corrige cette vulnérabilité en modifiant la façon dont le moteur de Scripting gère les objets en mémoire.
CVE-2019-1131, CVE-2019-1196, CVE-2019-1141, CVE-2019-1197, CVE-2019-1140, CVE-2019-1139 [CVSS v3 8.8]
Ces vulnérabilités concernent la façon dont le moteur de Scripting Chakra gère les objets en mémoire dans Microsoft Edge
Ces vulnérabilités pourraient corrompre la mémoire et permettre à un attaquant d’exécuter du code arbitraire afin d’effectuer des actions sur l’ordinateur de l’utilisateur avec les mêmes droits que l’utilisateur actuel.
Dans le cas d’une attaque web, un attaquant pourrait héberger un site web (ou exploiter un site web compromis acceptant ou hébergeant un contenu fourni par l’utilisateur), spécialement conçu pour exploiter cette vulnérabilité par le biais de Microsoft Edge. Un attaquant pourrait également profiter d’un site web compromis qui accepte et/ou héberge des publicités ou du contenu fourni par les utilisateurs. Ainsi il pourrait prendre le contrôle du système affecté et installer des programmes, afficher, modifier ou supprimer des données, créer de nouveaux comptes avec des droits d’utilisateur complets. Les utilisateurs dont les comptes sont configurés avec moins de droits utilisateur sur le système pourraient être moins touchés que les utilisateurs disposant de droits d’administrateur.
La mise à jour de sécurité corrige ces vulnérabilités en modifiant la façon dont le moteur de Scripting Chakra gère les objets en mémoire.
CVE-2019-1183 [CVSS v3 7.5]
Cette vulnérabilité concerne la façon dont le moteur de Scripting de VBScript gère les objets en mémoire.
Cette vulnérabilité pourrait corrompre la mémoire et permettre à un attaquant d’exécuter du code arbitraire afin d’effectuer des actions sur l’ordinateur de l’utilisateur avec les mêmes droits que l’utilisateur actuel.
Dans le cas d’une attaque web, un attaquant pourrait héberger un site web (ou exploiter un site web compromis acceptant ou hébergeant un contenu fourni par l’utilisateur), spécialement conçu pour exploiter cette vulnérabilité par le biais d’Internet Explorer. Un attaquant pourrait aussi intégrer, au sein d’une application ou un document Microsoft Office hébergeant le moteur de rendu d’internet Explorer, un contrôle ActiveX marqué comme « initialisation sur ». Un attaquant pourrait également profiter d’un site web compromis qui accepte et/ou héberge des publicités ou du contenu fourni par les utilisateurs. Ainsi il pourrait prendre le contrôle du système affecté et installer des programmes, afficher, modifier ou supprimer des données, créer de nouveaux comptes avec des droits d’utilisateurs complets.
La mise à jour de sécurité corrige cette vulnérabilité en modifiant la façon dont le moteur de Scripting gère les objets en mémoire.
CVE-2019-1188 [CVSS v3 7.5]
Cette vulnérabilité concerne la façon dont Microsoft Windows autorise l’exécution de code distant sur les fichiers .lnk
Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait effectuer des actions sur l’ordinateur de l’utilisateur avec les mêmes droits que l’utilisateur actuel.
Les utilisateurs dont les comptes sont configurés avec moins de droits utilisateur sur le système pourraient être moins touchés que les utilisateurs disposant de droits d’administrateur. L’attaquant pourrait fournir à l’utilisateur un support amovible ou un emplacement réseau comprenant le fichier .lnk corrompu associé à un binaire malveillant. Lorsque l’utilisateur accède au support amovible ou emplacement réseau à partir d’internet Explorer, ou toute autre application arrivant à gérer l’extension de fichier .lnk, le binaire malveillant va s’exécuter sur le système cible.
La mise à jour de sécurité corrige cette vulnérabilité en modifiant la façon dont les raccourcis .lnk sont traités.
CVE-2019-0736 [CVSS v3 9.8]
Cette vulnérabilité concerne une corruption mémoire qui existe sur les clients DHCP de Windows lorsqu’un attaquant envoi une réponse DHCP spécialement conçu à un client, lui permettant d’exécuter du code arbitraire sur la machine client.
La mise à jour de sécurité corrige cette vulnérabilité en modifiant la façon dont Windows DHCP gère certaines réponses DHCP.
CVE-2019-1213 [CVSS v3 9.8]
Cette vulnérabilité concerne une corruption mémoire qui existe sur les serveurs DHCP de Windows lorsqu’un attaquant envoie un paquet DHCP spécialement conçu à un serveur, lui permettant d’exécuter du code arbitraire sur le serveur DHCP.
La mise à jour de sécurité corrige cette vulnérabilité en modifiant la façon dont les serveurs Windows DHCP gèrent les paquets réseaux.
CVE-2019-0965 [CVSS v3 8.0]
Cette vulnérabilité concerne une exécution de code distant sur les systèmes Windows Hyper-V lorsqu’un serveur hébergé échoue à valider convenablement une entrée d’un utilisateur authentifié ou d’un invité sur le système d’exploitation.
Pour exploiter cette vulnérabilité, un attaquant peut exécuter une application spécialement conçu sur un système d’exploitation « invité », ce qui force le système d’exploitation hébergé par l’Hyper-V à exécuter du code arbitraire. Ainsi, un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire sur le système hébergé.
La mise à jour de sécurité corrige cette vulnérabilité en modifiant la façon dont Hyper-V valide les entrées des invités sur le système d’exploitation.
CVE-2019-0720 [CVSS v3 8.0]
Cette vulnérabilité concerne une exécution de code distant sur les systèmes Windows Hyper-V Network Switch lorsqu’un serveur hébergé échoue à valider convenablement une entrée d’un utilisateur authentifié ou d’un invité sur le système d’exploitation.
Pour exploiter cette vulnérabilité, un attaquant peut exécuter une application spécialement conçu sur un système d’exploitation « invité », ce qui pourrait forcer le système d’exploitation hébergé par l’Hyper-V à exécuter du code arbitraire . Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire sur le système hébergé.
La mise à jour de sécurité corrige cette vulnérabilité en modifiant la façon dont Windows Hyper-V Network Switch valide le trafic réseau des invités sur le système d’exploitation.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risque
-
Exécution de code arbitraire
Criticité
-
Score CVSS 9.8 [Score le plus élevé]
Existence d’un code d’exploitation de la vulnérabilité
-
Aucun code d’exploitation n’est disponible
Composants et versions vulnérables
-
Windows 7 SP1
Windows 8.1
Windows RT 8.1
Windows 10
Windows Server 2008 R2 SP1
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Windows Server 2016
Windows Server 2019
CVE
- CVE-2019-1181
CVE-2019-1182
CVE-2019-1226
CVE-2019-1222
CVE-2019-1144
CVE-2019-1145
CVE-2019-1149
CVE-2019-1150
CVE-2019-1152
CVE-2019-1200
CVE-2019-1199
CVE-2019-1205
CVE-2019-1133
CVE-2019-1131
CVE-2019-1196
CVE-2019-1141
CVE-2019-1197
CVE-2019-1140
CVE-2019-1139
CVE-2019-1183
CVE-2019-1188
CVE-2019-0736
CVE-2019-1213
CVE-2019-0965
CVE-2019-0720
Solutions ou recommandations
Mise en place de correctif de sécurité
Des correctifs de sécurité sont déployés par Microsoft pour les systèmes d’exploitation affectés
- Windows 7 SP1
- Windows 8.1
- Windows RT 8.1
- Windows 10
- Windows Server 2008 R2 SP1
- Windows Server 2008 R2
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
Solution de contournement
- Aucune solution n'a été proposée.
Liens
- CVE-2019-1181
- CVE-2019-1182
- CVE-2019-1226
- CVE-2019-1222
- CVE-2019-1144
- CVE-2019-1145
- CVE-2019-1149
- CVE-2019-1150
- CVE-2019-1152
- CVE-2019-1199
- CVE-2019-1200
- CVE-2019-1205
- CVE-2019-1133
- CVE-2019-1131
- CVE-2019-1196
- CVE-2019-1141
- CVE-2019-1197
- CVE-2019-1140
- CVE-2019-1139
- CVE-2019-1183
- CVE-2019-1188
- CVE-2019-0736
- CVE-2019-1213
- CVE-2019-0965
- CVE-2019-0720