Microsoft publie des correctifs pour Windows et corrige des vulnérabilités de type "Zero-Day" activement exploitées.
Source : Pc-boost.com
Publié le : jeudi 16 mars 2023 à 06:48
Microsoft publie des correctifs pour Windows et corrige des vulnérabilités de type "Zero-Day" activement exploitées. Microsoft a dévoilé aujourd'hui une série de mises à jour pour son Patch Tuesday de mars afin de corriger environ 80 vulnérabilités de sécurité dans la nature. Pour commencer, les correctifs KB5023696 et KB5023697 de Windows 10 corrigent les problèmes de système et de sécurité dans les versions 22H2, 21H2, 21H1, 1809 et 1607 de Windows 10, ainsi que dans Windows Server 2016. Elles sont déployées en tant que mises à jour non optionnelles et seront automatiquement installées via Windows Update (à moins que vous n'exécutiez une installation modifiée ou verrouillée). Windows 10 1507 a également reçu un petit correctif, KB5023713, qui traite de manière similaire des correctifs de sécurité ainsi que des liens hypertextes dans Excel. Microsoft publie également aujourd'hui des correctifs pour deux vulnérabilités critiques de type "zero-day" qui ont été activement exploitées dès le mois d'avril 2022. Les deux vulnérabilités exploitées sont CVE-2023-23397 et CVE-2023-24880. CVE-2023-23397 est une attaque par élévation de privilèges qui permet de créer des courriels spéciaux qui peuvent forcer l'appareil d'une cible à se connecter à des URL distantes et à transmettre le hachage Net-NTLMv2 du compte Windows. CVE-2023-24880 est une vulnérabilité de Windows SmartScreen qui peut être exploitée pour créer des exécutables qui contournent l'avertissement de sécurité Windows Mark of the Web. Microsoft déclare ce qui suit pour CVE-2023-23397 : CVE-2023-23397 est une vulnérabilité critique EoP dans Microsoft Outlook qui est déclenchée lorsqu'un attaquant envoie un message avec une propriété MAPI étendue avec un chemin UNC vers un partage SMB (TCP 445) sur un serveur contrôlé par un acteur de la menace. Aucune interaction avec l'utilisateur n'est nécessaire. La connexion au serveur SMB distant envoie le message de négociation NTLM de l'utilisateur, que l'attaquant peut ensuite relayer pour l'authentification contre d'autres systèmes qui prennent en charge l'authentification NTLM. Des attaquants externes peuvent envoyer des courriels spécialement conçus qui provoquent une connexion de la victime à un emplacement UNC externe contrôlé par les attaquants. Le hachage Net-NTLMv2 de la victime est alors transmis à l'attaquant qui peut alors le relayer à un autre service et s'authentifier en tant que victime. Le CVE-2023-23397 a été initialement signalé par le CERT-UA (Computer Emergency Response Team of Ukraine) et divulgué par le CERT-UA, Microsoft Incident et Microsoft Threat Intelligence. Dans la divulgation, ce dernier déclare : Microsoft Threat Intelligence évalue qu'un acteur de menace basé en Russie a utilisé l'exploit patché dans CVE-2023-23397 dans des attaques ciblées contre un nombre limité d'organisations dans les secteurs du gouvernement, du transport, de l'énergie et de l'armée en Europe. Le rapport indique également que la faille affecte toutes les versions de Microsoft Outlook pour Windows, mais qu'elle n'a aucun effet sur Outlook pour Mac, iOS, Android ou Outlook sur le web, car les services en ligne n'utilisent pas l'authentification NTLM. Microsoft a publié un script qui permet aux organisations de vérifier si elles ont été ciblées par l'attaque. En ce qui concerne la CVE-2023-24880, les chercheurs Benoît Sevens et Vlad Stolyarov du groupe d'analyse des menaces de Google ainsi que Microsoft partagent leur point de vue : Lorsque vous téléchargez un fichier à partir d'Internet, Windows ajoute l'identifiant de la zone ou la marque du Web (MOTW) en tant que flux NTFS au fichier. Ainsi, lorsque vous exécutez le fichier, Windows SmartScreen vérifie s'il existe un flux de données alternatif (ADS) d'identifiant de zone attaché au fichier. Si l'ADS indique ZoneId=3, ce qui signifie que le fichier a été téléchargé depuis l'internet, le SmartScreen effectue un contrôle de réputation. Les attaquants fournissent des fichiers MSI signés avec une signature Authenticode invalide mais spécialement élaborée. La signature malformée amène SmartScreen à renvoyer une erreur qui permet de contourner la boîte de dialogue d'avertissement de sécurité affichée aux utilisateurs lorsqu'un fichier non fiable contient une marque du Web (MotW), qui indique qu'un fichier potentiellement malveillant a été téléchargé à partir d'Internet. TAG a observé plus de 100 000 téléchargements de fichiers MSI malveillants depuis janvier 2023, dont plus de 80 % vers des utilisateurs en Europe - une divergence notable par rapport au ciblage habituel de Magniber, qui se concentre généralement sur la Corée du Sud et Taïwan. Le rapport détaillé complet des correctifs de sécurité divulgués pour mars 2023 peut être consulté ici. Il ne s'agit pas vraiment d'une lecture légère. TECHPOWERUP