Vulnérabilités dans des produits Microsoft (Patch Tuesday Octobre 2020)
Date de publication :
Microsoft a publié plusieurs correctifs de sécurité (Patch Tuesday) afin de corriger 87 vulnérabilités au total pouvant permettre l’exécution de code à distance, la fuite d’informations, l’élévation de privilèges, le déni de service, l’usurpation d’identité et le contournement de dispositifs de sécurité. 11 des vulnérabilités sont considérées comme critiques par Microsoft, 75 comme importantes et une comme étant d’importance modérée.
Les produits suivants sont concernés :
- Microsoft Windows
- Microsoft Office, Services Microsoft Office et Microsoft Office Web Apps
- Moteur de base de données Microsoft Jet
- Azure Functions
- Logiciels open source
- Microsoft Exchange Server
- Visual Studio
- PowerShellGet
- Microsoft .NET Framework
- Microsoft Dynamics
- Adobe Flash Player
- Windows Hyper-V
- Bibliothèque de codecs Microsoft Windows
CVE-2020-16898 [Score CVSS v3 : 9.8] : Une vulnérabilité pouvant conduire à une exécution de code arbitraire à distance a été découverte lors du traitement incorrect de paquets de publication de routeur ICMPv6 par la pile TCP/IP de Windows. Un attaquant peut exploiter cette vulnérabilité via l’envoi de paquet de publication de routeur ICMPv6 spécialement conçus.
Cette vulnérabilité a été nommée “Bad Neighbor” et des preuves de concept la concernant sont disponibles publiquement.
CVE-2020-16891 [Score CVSS v3 : 8.8] : Une vulnérabilité pouvant conduire à une exécution de code arbitraire à distance a été découverte dans Windows Hyper-V. Elle est due à une validation incorrecte d’entrées d’un utilisateur authentifié sur un système d’exploitation invité. Un attaquant peut exploiter cette vulnérabilité en exécutant une application spécialement conçue sur un système d’exploitation invité qui ferait en sorte que le système d’exploitation Hyper-V hôte exécute du code arbitraire.
CVE-2020-16911 [Score CVSS v3 : 8.8] : Une vulnérabilité de type exécution de code arbitraire à distance a été découverte dans l’interface Windows GDI. Elle est due à la manière dont l’interface traite les objets en mémoire. Un attaquant peut exploiter cette vulnérabilité en amenant un utilisateur à ouvrir un fichier spécialement conçu ou en lui faisant visiter une page web spécialement conçue et hébergeant du code JavaScript malveillant.
CVE-2020-16951, CVE-2020-16952 [Score CVSS v3 : 8.6] : Des vulnérabilités de type exécution de code arbitraire à distance ont été découvertes dans Microsoft SharePoint. Elles sont dues à une vérification incorrecte du balisage source d’un package d’application. Un attaquant peut exploiter cette vulnérabilité en amenant un utilisateur à télécharger un package d’application SharePoint spécialement conçu.
CVE-2020-16947 [Score CVSS v3 : 8.1] : Une vulnérabilité de type exécution de code arbitraire à distance a été découverte dans Microsoft Outlook. Elle est due à la manière dont le programme traite les objets en mémoire. Un attaquant peut exploiter cette vulnérabilité en envoyant un mail spécialement conçu.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code à distance
- Elévation de privilèges
- Déni de service
- Usurpation d’identité
- Contournement de la politique de sécurité
- Fuite d'informations
Criticité
- Score CVSS v3 : 9.8 au maximum
Existence d’un code d’exploitation
- Des preuves de concept sont disponibles pour les vulnérabilités CVE-2020-16898 et CVE-2020-16952
Composants vulnérables
- La liste complète des composants et versions vulnérables pour chaque CVE est disponible ici.
CVE
- La liste complète des CVE est disponible ici (filtrer sur le mois d’octobre 2020)
Solutions ou recommandations
Mise en place de correctifs de sécurité
Appliquer les correctifs de sécurité proposés par Microsoft dans son Patch Tuesday de Octobre 2020
Solution de contournement
Aucune solution de contournement n’est disponible