Microsoft publie des mises à jour de correctifs pour 5 vulnérabilités Zero-Day

Sur les 63 failles, trois sont considérées comme critiques, 56 comme importantes et quatre comme modérées. Deux d’entre elles ont été répertoriées comme étant connues du public au moment de la publication.

Ces mises à jour s’ajoutent à plus de 35 failles de sécurité corrigées dans son navigateur Edge basé sur Chromium depuis la publication des mises à jour du Patch Tuesday d’octobre 2023.

Les cinq failles de sécurité à signaler sont les suivantes : – CVE-2023-36033 et CVE-2023-36036 pourraient être exploitées par un attaquant pour obtenir les privilèges SYSTEM, tandis que CVE-2023-36025 pourrait permettre de contourner les vérifications SmartScreen de Windows Defender et les invites qui y sont associées. « L’utilisateur doit cliquer sur un raccourci Internet (.URL) spécialement conçu ou sur un lien hypertexte pointant vers un fichier de raccourci Internet pour être compromis par l’attaquant », a déclaré Microsoft à propos de CVE-2023-36025.

CVE-2023-36025 est la troisième vulnérabilité zero-day de Windows SmartScreen exploitée dans la nature en 2023 et la quatrième au cours des deux dernières années. En décembre 2022, Microsoft a corrigé la vulnérabilité CVE-2022-44698 (score CVSS : 5,4), tandis que la vulnérabilité CVE-2023-24880 (score CVSS : 5,1) a été corrigée en mars et la vulnérabilité CVE-2023-32049 (score CVSS : 8,8) a été corrigée en juillet.
Le fabricant de Windows n’a toutefois pas fourni d’indications supplémentaires sur les mécanismes d’attaque utilisés et les acteurs de la menace susceptibles de les exploiter. Mais l’exploitation active des failles d’élévation de privilèges suggère qu’elles sont probablement utilisées en conjonction avec un bogue d’exécution de code à distance. « Il y a eu 12 vulnérabilités d’élévation de privilèges dans la bibliothèque DWM Core au cours des deux dernières années, mais c’est la première à avoir été exploitée dans la nature en tant que jour zéro », a déclaré Satnam Narang, ingénieur de recherche senior chez Tenable, dans un communiqué transmis à The Hacker News. Cette évolution a incité l’agence américaine de cybersécurité et de sécurité des infrastructures (CISA) à ajouter trois problèmes à son catalogue de vulnérabilités exploitées connues (KEV), en demandant aux agences fédérales d’appliquer les correctifs d’ici le 5 décembre 2023. Microsoft a également corrigé deux failles critiques d’exécution de code à distance CVE – 2023 – 36028 et CVE – 2023 – 36397 , scores CVSS : 9 . 8 ) qu’un acteur de la menace pourrait exploiter pour déclencher l’exécution d’un code malveillant . La mise à jour de novembre comprend également un correctif pour CVE – 20 23 – 38545 , une faille critique de débordement de mémoire tampon basée sur le tas de la bibliothèque curl qui a été révélée le mois dernier, ainsi qu’une vulnérabilité de divulgation d’informations Azure CLI (CVE – 20 23 – 36052 , CVSS score : 8 . 6 ). « Un attaquant qui réussirait à exploiter cette vulnérabilité pourrait récupérer des mots de passe et des noms d’utilisateur en clair à partir des fichiers journaux créés par les commandes CLI affectées publiées dans Azure DevOps GitHub Actions », a déclaré Microsoft. Le chercheur de Palo Alto Networks Aviad Hahami, qui a signalé le problème, a déclaré que la vulnérabilité permet d’accéder aux informations d’identification stockées dans le journal du pipeline, ce qui permet à l’adversaire d’escalader potentiellement ses privilèges à la suite d’attaques. En réponse, Microsoft a apporté des modifications à plusieurs commandes Azure CLI pour renforcer Azure CLI (version 2.54) contre l’utilisation par inadvertance qui pourrait conduire à l’exposition des secrets. En plus de Microsoft, des mises à jour de sécurité ont également été publiées par d’autres fournisseurs au cours des dernières semaines pour corriger plusieurs vulnérabilités, y compris – Inscrivez-vous gratuitement pour commencer à recevoir une dose quotidienne de conseils sur les nouvelles de cybersécurité.