Discussion :

[Stéphane le calme]

Patch Tuesday : Microsoft corrige une faille zero day largement exploitée dans Internet Explorer,
ainsi qu'une faille dans Exchange Server dont le code du PoC était disponible publiquement

Le traditionnel Patch Tuesday de Microsoft ce mois-ci avait des enjeux plus élevés que d’habitude avec des correctifs pour une vulnérabilité zero day sur Internet Explorer qui était activement exploitée et une faille dans Exchange Server révélée le mois dernier avec un code de PoC.

Dans son avis de sécurité, Microsoft indique

Il existe une vulnérabilité de divulgation d’informations lorsqu’Internet Explorer traite de manière incorrecte les objets en mémoire. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait tester la présence de fichiers sur disque. Pour réussir son attaque, l’attaquant doit persuader un utilisateur à ouvrir un site web malveillant.

Cette mise à jour de sécurité corrige la vulnérabilité en modifiant la façon dont Internet Explorer traite les objets en mémoire.

La vulnérabilité liée à Internet Explorer permet donc aux attaquants de vérifier si un ou plusieurs fichiers sont stockés sur des disques de PC vulnérables. Les pirates doivent d’abord attirer les cibles sur un site malveillant. Microsoft, sans plus de précisions, a indiqué qu'il avait détecté des exploits actifs contre la vulnérabilité, qui est indexé sous la référence CVE-2019-0676 et qui affecte IE version 10 ou 11 s'exécutant sur toutes les versions de Windows prises en charge. La faille a été découverte par des membres de l’équipe de recherche de vulnérabilité de Project Zero de Google.

Notons que Microsoft n’a trouvé aucun facteur atténuant pour cette vulnérabilité.

Mais il est aussi question de Microsoft Exchange Server. À ce propos, Microsoft indique que

Il existe une vulnérabilité d’élévation de privilèges dans Microsoft Exchange Server. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait tenter d’usurper l’identité d’un autre utilisateur du serveur Exchange.

Pour exploiter cette vulnérabilité, un attaquant devrait effectuer une attaque de l’intercepteur (MitM) afin de transférer une demande d’authentification à un serveur Microsoft Exchange Server et d’autoriser l’usurpation d’un autre utilisateur Exchange.

Pour corriger cette vulnérabilité, une stratégie de limitation pour EWSMaxSubscriptions peut être définie et appliquée à l’organisation avec la valeur zéro. Ainsi, le serveur Exchange ne peut pas envoyer de notifications EWS et les applications clientes reposant sur les notifications EWS risquent de ne pas fonctionner normalement. Outlook pour Mac, Skype Entreprise, les applications LOB dépendant des notifications et certains clients de messagerie natifs iOS constituent des exemples d’applications concernées.

Microsoft a donc également publié un patch correctif sur Exchange pour le protéger contre une vulnérabilité qui permettait à des attaquants distants disposant d'un compte mail non privilégié de prendre le contrôle administratif du serveur. Surnommé PrivExchange, CVE-2019-0686 a été rendu public le mois dernier, ainsi que le code de validation technique qui permettait de reproduire l’exploit. Dans l’avis de sécurité de mardi, les responsables de Microsoft ont déclaré qu’ils n’avaient pas encore vu d’exploits actifs, mais ont indiqué « exploitation plus probable » au niveau ds colonnes « dernière version de logicielle » et « versions logicielles antérieures ».

Ici, pour corriger cette vulnérabilité, une stratégie de limitation pour EWSMaxSubscriptions peut être définie et appliquée à l’organisation avec la valeur zéro. Ainsi, le serveur Exchange ne peut pas envoyer de notifications EWS et les applications clientes reposant sur les notifications EWS risquent de ne pas fonctionner normalement. Outlook pour Mac, Skype Entreprise, les applications LOB dépendant des notifications et certains clients de messagerie natifs iOS constituent des exemples d’applications concernées.

De peur que les lecteurs ne soient tentés de penser que Microsoft est le seul grand fabricant de logiciels dont les produits ont été activement exploités ces dernières semaines, il faut noter qu'Apple a corrigé la semaine dernière trois vulnérabilités zero day iOS qui, selon les chercheurs, étaient largement exploitées. Deux de ces failles zero day ont été découvertes par Project Zero.

Au total, Microsoft a corrigé plus de 70 vulnérabilités, dont 20 considérées comme critiques. Les produits vulnérables comprenaient :

• Adobe Flash Player
• Internet Explorer
• Microsoft Edge
• Microsoft Windows
• Microsoft Office, Services Microsoft Office et Microsoft Office Web Apps
• ChakraCore
• .NET Framework
• Microsoft Exchange Server
• Microsoft Visual Studio
• Azure IoT SDK
• Microsoft Dynamics
• Team Foundation Server
• Visual Studio Code

Source : Microsoft (CVE-2019-0686, CVE-2019-0676, aperçu général)

Et vous ?

Que pensez-vous du fait de divulguer publiquement l'existence d'une faille avec le code PoC permettant de l'exploiter ?
Les chercheurs doivent-ils attendre que l'éditeur ait publié un correctif ou laisser passer un certain délai pour se rassurer que la majorité des utilisateurs ont déjà installé le patch ?

Voir aussi :

Microsoft annonce deux nouvelles mises à jour pour sa plateforme Azure analytics et met en avant un meilleur rapport qualité/prix
Microsoft rejoint le projet OpenChain aux côtés de Google, pour participer à la définition de normes pour la conformité des logiciels open source
Microsoft Office 365 reste l'application la plus populaire en entreprise et bat Google G Suite, d'après un rapport
Laissez tomber Office 2019 et optez plutôt pour Office 365 et ses fonctionnalités basées sur l'IA, le nouveau slogan publicitaire de Microsoft

[Zefling]

Franchement la meilleur chose à faire ça serait d'annoncer sa date de retrait.

Internet Explorer est un navigateur sous perfusion, à l'instar de Flash, il est toujours là est tous les dévs voudraient l’euthanasier pour de bon. Au moins pour Flash on sait.