IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Patch Tuesday : Microsoft corrige une faille zero day largement exploitée dans Internet Explorer


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 684
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 684
    Points : 202 170
    Points
    202 170
    Par défaut Patch Tuesday : Microsoft corrige une faille zero day largement exploitée dans Internet Explorer
    Patch Tuesday : Microsoft corrige une faille zero day largement exploitée dans Internet Explorer,
    ainsi qu'une faille dans Exchange Server dont le code du PoC était disponible publiquement

    Le traditionnel Patch Tuesday de Microsoft ce mois-ci avait des enjeux plus élevés que d’habitude avec des correctifs pour une vulnérabilité zero day sur Internet Explorer qui était activement exploitée et une faille dans Exchange Server révélée le mois dernier avec un code de PoC.

    Dans son avis de sécurité, Microsoft indique

    Citation Envoyé par Microsoft
    Il existe une vulnérabilité de divulgation d’informations lorsqu’Internet Explorer traite de manière incorrecte les objets en mémoire. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait tester la présence de fichiers sur disque. Pour réussir son attaque, l’attaquant doit persuader un utilisateur à ouvrir un site web malveillant.

    Cette mise à jour de sécurité corrige la vulnérabilité en modifiant la façon dont Internet Explorer traite les objets en mémoire.
    La vulnérabilité liée à Internet Explorer permet donc aux attaquants de vérifier si un ou plusieurs fichiers sont stockés sur des disques de PC vulnérables. Les pirates doivent d’abord attirer les cibles sur un site malveillant. Microsoft, sans plus de précisions, a indiqué qu'il avait détecté des exploits actifs contre la vulnérabilité, qui est indexé sous la référence CVE-2019-0676 et qui affecte IE version 10 ou 11 s'exécutant sur toutes les versions de Windows prises en charge. La faille a été découverte par des membres de l’équipe de recherche de vulnérabilité de Project Zero de Google.

    Notons que Microsoft n’a trouvé aucun facteur atténuant pour cette vulnérabilité.

    Mais il est aussi question de Microsoft Exchange Server. À ce propos, Microsoft indique que

    Citation Envoyé par Microsoft
    Il existe une vulnérabilité d’élévation de privilèges dans Microsoft Exchange Server. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait tenter d’usurper l’identité d’un autre utilisateur du serveur Exchange.

    Pour exploiter cette vulnérabilité, un attaquant devrait effectuer une attaque de l’intercepteur (MitM) afin de transférer une demande d’authentification à un serveur Microsoft Exchange Server et d’autoriser l’usurpation d’un autre utilisateur Exchange.

    Pour corriger cette vulnérabilité, une stratégie de limitation pour EWSMaxSubscriptions peut être définie et appliquée à l’organisation avec la valeur zéro. Ainsi, le serveur Exchange ne peut pas envoyer de notifications EWS et les applications clientes reposant sur les notifications EWS risquent de ne pas fonctionner normalement. Outlook pour Mac, Skype Entreprise, les applications LOB dépendant des notifications et certains clients de messagerie natifs iOS constituent des exemples d’applications concernées.
    Microsoft a donc également publié un patch correctif sur Exchange pour le protéger contre une vulnérabilité qui permettait à des attaquants distants disposant d'un compte mail non privilégié de prendre le contrôle administratif du serveur. Surnommé PrivExchange, CVE-2019-0686 a été rendu public le mois dernier, ainsi que le code de validation technique qui permettait de reproduire l’exploit. Dans l’avis de sécurité de mardi, les responsables de Microsoft ont déclaré qu’ils n’avaient pas encore vu d’exploits actifs, mais ont indiqué « exploitation plus probable » au niveau ds colonnes « dernière version de logicielle » et « versions logicielles antérieures ».

    Nom : microsoft.png
Affichages : 2807
Taille : 8,5 Ko

    Ici, pour corriger cette vulnérabilité, une stratégie de limitation pour EWSMaxSubscriptions peut être définie et appliquée à l’organisation avec la valeur zéro. Ainsi, le serveur Exchange ne peut pas envoyer de notifications EWS et les applications clientes reposant sur les notifications EWS risquent de ne pas fonctionner normalement. Outlook pour Mac, Skype Entreprise, les applications LOB dépendant des notifications et certains clients de messagerie natifs iOS constituent des exemples d’applications concernées.

    De peur que les lecteurs ne soient tentés de penser que Microsoft est le seul grand fabricant de logiciels dont les produits ont été activement exploités ces dernières semaines, il faut noter qu'Apple a corrigé la semaine dernière trois vulnérabilités zero day iOS qui, selon les chercheurs, étaient largement exploitées. Deux de ces failles zero day ont été découvertes par Project Zero.

    Au total, Microsoft a corrigé plus de 70 vulnérabilités, dont 20 considérées comme critiques. Les produits vulnérables comprenaient :

    • Adobe Flash Player
    • Internet Explorer
    • Microsoft Edge
    • Microsoft Windows
    • Microsoft Office, Services Microsoft Office et Microsoft Office Web Apps
    • ChakraCore
    • .NET Framework
    • Microsoft Exchange Server
    • Microsoft Visual Studio
    • Azure IoT SDK
    • Microsoft Dynamics
    • Team Foundation Server
    • Visual Studio Code


    Source : Microsoft (CVE-2019-0686, CVE-2019-0676, aperçu général)

    Et vous ?

    Que pensez-vous du fait de divulguer publiquement l'existence d'une faille avec le code PoC permettant de l'exploiter ?
    Les chercheurs doivent-ils attendre que l'éditeur ait publié un correctif ou laisser passer un certain délai pour se rassurer que la majorité des utilisateurs ont déjà installé le patch ?

    Voir aussi :

    Microsoft annonce deux nouvelles mises à jour pour sa plateforme Azure analytics et met en avant un meilleur rapport qualité/prix
    Microsoft rejoint le projet OpenChain aux côtés de Google, pour participer à la définition de normes pour la conformité des logiciels open source
    Microsoft Office 365 reste l'application la plus populaire en entreprise et bat Google G Suite, d'après un rapport
    Laissez tomber Office 2019 et optez plutôt pour Office 365 et ses fonctionnalités basées sur l'IA, le nouveau slogan publicitaire de Microsoft
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Expert confirmé Avatar de Zefling
    Homme Profil pro
    Développeur Web
    Inscrit en
    Avril 2007
    Messages
    1 179
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Avril 2007
    Messages : 1 179
    Points : 4 712
    Points
    4 712
    Par défaut
    Franchement la meilleur chose à faire ça serait d'annoncer sa date de retrait.

    Internet Explorer est un navigateur sous perfusion, à l'instar de Flash, il est toujours là est tous les dévs voudraient l’euthanasier pour de bon. Au moins pour Flash on sait.

Discussions similaires

  1. Réponses: 0
    Dernier message: 12/09/2018, 11h13
  2. Réponses: 0
    Dernier message: 09/08/2017, 02h21
  3. Réponses: 0
    Dernier message: 15/09/2016, 11h56
  4. Microsoft corrige trois failles zero-day dans Windows
    Par Hinault Romaric dans le forum Windows
    Réponses: 23
    Dernier message: 31/10/2014, 17h38
  5. Microsoft confirme une faille Zero-Day dans IE8
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 3
    Dernier message: 10/05/2013, 09h17

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo