Microsoft publie son patch Tuesday de février

Microsoft a publié son Patch Tuesday du mois de février. Celui-ci traite 77 nouvelles vulnérabilités sur les produits suivants : ChakraCore, Java SDK pour Azure IoT, Microsoft Visual Studio 2017, Microsoft Visual Studio 2017 version 15.9, Skype pour Business Server 2015 CU 8, Team Foundation Server 2017 Update 3.1, Team Foundation Server 2018 Update 3.2, Team Foundation Server 2018 Updated 1.2, Visual Studio Code. L'éditeur a jugé 20 vulnérabilités critiques, 54 comme importantes, 3 comme modérées.

Il est à souligner que quatre correctifs avaient déjà été publiés en dehors de ce bulletin. Une de ces vulnérabilités est qualifiée de "jour-zéro", et fait déjà l'objet d'une exploitation effective. La moitié des vulnérabilités référencées dans ce bulletin Microsoft permettraient d'exécuter du code arbitraire à distance.

Vulnérabilités critiques :

Les 20 vulnérabilités critiques corrigées dans ce patch permettent toutes de réaliser de l’exécution de code arbitraire à distance. Un quart de ces vulnérabilités concernent le navigateur Microsoft Edge qui dispose de failles de type corruption de mémoire.

• CVE-2019-0626 [CVSS v3 9.8]  : Une vulnérabilité présente au sein du protocole de configuration dynamique des hôtes (Dynamic Host Configuration Protocol ou DHCP) de Windows. En envoyant un paquet spécialement conçu au serveur DHCP, un attaquant pourrait réaliser de l’exécution de code arbitraire rendue possible grâce à une corruption de la mémoire. L'exploitation de cette vulnérabilité peut se faire simplement.
• CVE-2019-0686 [CVSS v3 7.4] et CVE-2019-0724 [CVSS v3 8.1] : Deux vulnérabilités dans Microsoft Exchange Server permettraient à un attaquant de procéder à une élévation de privilèges. L'attaquant pourrait ensuite accéder à la messagerie d'autres utilisateurs.
  Une configuration spécifique est requise pour l'exploitation de cette vulnérabilité dans les services Exchange Web Services (EWS) et Push Notifications. Une attaque de type homme du milieu permettrait à un attaquant d'envoyer des demandes d'authentification au serveur Microsoft Exchange en usurpant l'identité d'un autre utilisateur (cliquer ici pour voir le bulletin d'origine).
• CVE-2019-0594 [CVSS v3 7.8] et CVE-2019-0604 [CVSS v3 7.8] : Deux vulnérabilités dans SharePoint permettraient à un attaquant d'exécuter du code arbitraire à distance suite à l'échec de la vérification du langage de balisage (source markup) du paquet d'une application. L'exploitation de ces vulnérabilités nécessite le téléversement d'un paquet spécialement conçu pour les versions vulnérables SharePoint (tant pour les applications que pour les portails).
• CVE-2019-0618 [CVSS v3 8.8] et CVE-2019-0662 [CVSS v3 8.8] : Deux vulnérabilités dans Windows Graphics Device Interface (GDI) permettraient la prise de contrôle des systèmes compromis. Un attaquant pourrait alors installer des programmes, écrire, modifier ou supprimer des données.

Vulnérabilité importante

• CVE-2019-0676 [CVSS v3 6.5] : Une vulnérabilité dans Internet Explorer qui permettrait à un attaquant de leurrer ses victimes en lui faisant visiter une page web spécialement créée pour exploiter cette vulnérabilité. L'attaquant pourrait tester la présence de fichiers sur le disque.
  Cette vulnérabilité a été identifiée par le Threat Analysis Group de Google. De plus, l'exploitation de cette vulnérabilité peut se faire simplement et n'est pas détectée.

Du fait de leur criticité, les utilisateurs sont invités à appliquer ces mises à jour le plus rapidement possible.