Microsoft publie son Patch Tuesday de Septembre corrigeant 80 vulnérabilités.

Microsoft a publié son « Patch Tuesday » de Septembre 2019 corrigeant de nombreuses vulnérabilités ayant été identifiées sur plusieurs de ses produits. Le patch de ce mois-ci corrige 80 vulnérabilités dont 17 considérées comme critiques. Ce patch corrige 2 vulnérabilités de type « jour-zéro » (0-day).

Parmi celles-ci, 4 vulnérabilités concernent de l’exécution de code à distance affectant le protocole RDP (Remote Desktop Protocol) de Windows.

Détails techniques :

Les deux vulnérabilités de type « jour-zéro » sont les suivantes :

• CVE-2019-1214 [Score CVSS v3 7.8] : Une élévation de privilège existe sur le driver du Windows Common Log File System (système de journalisation Windows), qui gère incorrectement les objets en mémoire. Un attaquant connecté sur le système pourrait, en lançant une application malveillante, tourner un processus avec des privilèges élevés et prendre le contrôle du système.
• CVE-2019-1215 [Score CVSS v3 7.8] : La façon dont le driver ws2ifsl.sys gère les objets en mémoire peut permettre à un attaquant connecté sur le système d’élever ses privilèges. Pour cela, il peut lancer une application malveillante pour prendre le contrôle du système.

Concernant les failles affectant le protocole RDP :

• CVE-2019-0787, CVE-2019-0788, CVE-2019-1290, CVE-2019-1291 [Score CVSS v3 7.5] : Ces 4 vulnérabilités concernent une exécution de code dans le client de bureau à distance (Remote Desktop Client) de Windows. L’exploitation de ces vulnérabilités permettrait à un attaquant d’installer des programmes sur la machine cible, de consulter, modifier ou supprimer des données, ou encore de créer un compte privilégié sur le système. Pour ce faire l’attaquant doit contrôler un serveur RDP (ou compromettre un serveur légitime), et encourager la cible à s’y connecter, via de l’ingénierie sociale ou encore en se  plaçant en tant qu’homme du milieu sur le réseau.

Microsoft a aussi corrigé deux vulnérabilités qui étaient déjà publiques :

• CVE-2019-1235 [Score CVSS v3 7.8] : Un attaquant authentifié sur une machine pourrait élever ses privilèges à l’aide du Text Service Framework de Windows (une application qui gère notamment certaines entrées utilisateurs sur le système d’exploitation), à cause d’un manque de validation des entrées utilisateurs. Un attaquant ayant exploité cette vulnérabilité pourrait injecter des commandes à travers un IME (méthode de saisie) malveillant.
• CVE-2019-1294 [Score CVSS v3 5.3] : Cette vulnérabilité concerne le Secure Boot de Windows (mécanisme qui permet notamment de contrôler le système d’exploitation au démarrage de la machine). Un attaquant ayant un accès physique lors du démarrage de la machine pourrait exploiter cette vulnérabilité pour accéder à de la mémoire protégée du noyau du système. Elle concerne un manque de restriction à l’accès à des fonctionnalités de débogage.