Microsoft publie son patch Tuesday de mai

Date de publication :

Microsoft a publié son Patch Tuesday du mois de mai. Celui-ci traite 79 nouvelles vulnérabilités sur un grand nombre de produits. L’éditeur a évalué 21 des vulnérabilités comme étant critiques, 56 comme importantes et 2 comme modérées.

Par ailleurs, deux de ces vulnérabilités sont publiques et sont activement exploitées par les attaquants.

Les 21 vulnérabilités critiques corrigées dans ce correctif permettent de réaliser de l’exécution de code arbitraire à distance. L'évaluation de la criticité renseignée par Microsoft relève par ailleurs d'une appréciation subjective et doit être réévaluée au cas par cas.

Détails techniques des vulnérabilités critiques :

CVE-2019-0708 [CVSS V3 : 9.8] : Une vulnérabilité rendue publique sur RDP (Remote Desktop Services) a été découverte et permettrait à un attaquant non authentifié d’exécuter des commandes à distance en envoyant des requêtes forgées. La vulnérabilité réside dans la pré-authentification et ne nécessite aucune interaction avec un utilisateur.

CVE-2019-7837 [CVSS V3 : 8.8] : Une exécution de code arbitraire est possible sur le système suite à une gestion incorrecte de la mémoire lorsque celle-ci a été libérée.

CVE-2019-0903 [CVSS V3 : 8.8] : Une exécution de commande est possible suite à une gestion incorrecte des accès aux objets mémoire de GDI (Windows Graphics Device Interface). Un attaquant ayant exploité cette vulnérabilité pourrait obtenir les mêmes droits que la victime et compromettre son poste.

CVE-2019-0725 [CVSS V3 : 9.8] : Une vulnérabilité de corruption de mémoire existante dans le service DHCP de Windows Server lors du traitement de paquets spécialement conçus. Un attaquant non authentifié et à distance qui exploitait avec succès la vulnérabilité pourrait exécuter du code arbitraire sur le serveur DHCP.

CVE-2019-0863 [CVSS V3 : 7.8] : Une vulnérabilité rendue publique sur WER (Windows Error Reporting) permettrait l’élévation de privilège. L’attaquant a néanmoins besoin du droit d’exécution pour exploiter cette vulnérabilité.

CVE-2019-0926 [CVSS V3 : 7.5], CVE-2019-0929 [CVSS V3 :7.5] : Plusieurs vulnérabilités dans le navigateur Internet Explorer permettraient à un attaquant d’exécuter du code à distance suite à un accès illégitime aux objets mémoire. Un attaquant ayant exploité cette vulnérabilité pourrait alors obtenir les mêmes droits que ceux de la victime. L’attaque peut être réalisée en local, mais également par Internet en incitant l’utilisateur à visiter un site malveillant.

CVE-2019-0953 [CVSS V3 : 7.8] : Une exécution de commande à distance est possible dans Microsoft Word due à une gestion incorrecte des objets en mémoire. Un attaquant pourrait exploiter cette vulnérabilité en créant un fichier Word malveillant et pourrait exécuter des commandes arbitraires dans le contexte de l’utilisateur.

CVE-2019-0913CVE-2019-0914, CVE-2019-0915, CVE-2019-0916, CVE-2019-0917, CVE-2019-0922, CVE-2019-0924, CVE-2019-0925CVE-2019-0927CVE-2019-0937 [CVSS V3 : 7.5] : Une exécution de commande arbitraire à distance est possible due à une gestion incorrecte des objets en mémoire dans le moteur de script Chakra. La vulnérabilité permettrait à un attaquant d’exécuter du code arbitraire avec les droits de la victime. Un attaquant pourrait, par exemple, réaliser un site malveillant et inciter les utilisateurs à le visiter afin d’exploiter la vulnérabilité.

CVE-2019-0884 [CVSS V3 : 7.5], CVE-2019-0911 [CVSS V3 : 7.5], CVE-2019-0918 [CVSS V3 : 7.5] : Les navigateurs Microsoft sont vulnérables à une gestion incorrecte des objets mémoires menant à une exécution de code arbitraire à distance. Un attaquant pourrait exécuter des commandes avec les droits de la victime sur le poste. L’attaque peut, par exemple, se faire à l’aide d’un site malveillant où les victimes seraient invitées à le visiter.

Du fait de leur criticité, les utilisateurs sont invités à appliquer ces mises à jour le plus rapidement possible. Elles sont disponibles dans le catalogue en ligne de mise à jour de Microsoft, ou directement depuis les systèmes d'exploitation.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Exécution de code arbitraire ;
  • Elevation de privilège.

Criticité

  • Score CVSS maximum: 9.8

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d'exploitation n'a été diffusé.

Composants & versions vulnérables

  • Adobe Flash Player
  • Microsoft Windows
  • Internet Explorer
  • Microsoft Edge
  • Microsoft Office and Microsoft Office Services and Web Apps,
  • Team Foundation Server
  • Visual Studio
  • Azure DevOps Server, SQL Server
  • .NET Framework
  • .NET Core
  • ChakraCore
    Online Services Azure,
  • NuGet,
  • Skype pour Android

CVE

  • CVE-2019-0708
  • CVE-2019-0725
  • CVE-2019-0863
  • CVE-2019-7837
  • CVE-2019-0926
  • CVE-2019-0929
  • CVE-2019-0903
  • CVE-2019-0953
  • CVE-2019-0913
  • CVE-2019-0914
  • CVE-2019-0915
  • CVE-2019-0916
  • CVE-2019-0917
  • CVE-2019-0922
  • CVE-2019-0924
  • CVE-2019-0925
  • CVE-2019-0927
  • CVE-2019-0937
  • CVE-2019-0884
  • CVE-2019-0911
  • CVE-2019-0918

 

Solutions ou recommandations

Mise en place de correctif de sécurité

Solution de contournement

  • Pour la CVE-2019-0708
    • Des mesures d'atténuation partielles sont appliquées aux systèmes touchés pour lesquels l'authentification au niveau du réseau (Network Level Authentication - NLA) est activée.Les systèmes affectés sont en effet protégés contre des logiciels malveillants de type "vers" (worms). 
    • Cependant, les systèmes affectés sont toujours vulnérables à l'exploitation du RCE (Remote Code Execution) si l'attaquant possède des identifiants valides qui peuvent être utilisés pour une authentification réussie.