Microsoft publie son patch Tuesday de janvier

Microsoft a publié son Patch Tuesday du mois de janvier. Celui-ci traite 49 nouvelles vulnérabilités et 1 avis de sécurité portant sur 237 références différentes des produits suivants : Internet Explorer, Edge, Windows, Office, ChakraCore, .NET, ASP.NET, Exchange Server, Visual Studio et Adobe Flash Player. Microsoft a également réalisé sa propre évaluation de la criticité vis-à-vis de ses produits. Dans certains cas, une même vulnérabilité a pu être évaluée par plusieurs niveaux de criticité. 

Ainsi, il a évalué 7 vulnérabilités comme critiques, 40 comme importantes, 7 comme modérées et 2 comme faibles. Le niveau de la criticité renseignée par Microsoft relève par ailleurs d'une appréciation subjective et doit être réévaluée au cas par cas. 

Vulnérabilités critiques : 

Les 7 vulnérabilités critiques corrigées dans ce patch permettent toutes de réaliser de l’exécution de code arbitraire à distance. Tout comme le mois dernier, la plupart d'entre elles affectent le navigateur Edge et ont pour origine Chakra qui est le moteur Javascript utilisé par ce navigateur. Le scénario d'attaque pour chacune de ces vulnérabilités est identique : un attaquant pourrait concevoir un site malveillant conçu pour exploiter cette vulnérabilité ou bien implémenter un code arbitraire au sein d'un site légitime.

En visitant l'un de ces sites, un utilisateur déclencherait alors le code défini par l'attaquant. Si cet utilisateur est administrateur, un attaquant qui parviendrait à exploiter ces vulnérabilités pourrait installer des programmes, afficher, modifier ou supprimer des données, ou encore créer de nouveaux comptes d'utilisateur.

3 vulnérabilités critiques plus spécifiques ont été corrigées dans ce patch, elles sont référencées de la manière suivante :

  • CVE-2019-0547 [CVSS v3 9.8] : Une vulnérabilité dans le client pour le protocole de configuration dynamique des hôtes (Dynamic Host Configuration Protocol ou DHCP) Windows permettant de l’exécution de code arbitraire à distance. Cette vulnérabilité est due à une mauvaise gestion de certaines réponses DHCP reçues. Un attaquant pourrait l'exploiter en se plaçant passivement dans un réseau de manière à recevoir les requêtes DHCP transmises et envoyer une réponse DHCP spécifique en retour. Cette vulnérabilité n'est présente que dans les versions récentes de Windows 10, mais le client y est installé par défaut. L'exploitation de cette vulnérabilité peut se faire simplement et ne requiert pas de privilège.
  • CVE-2019-0550 et CVE-2019-0551 CVE-2019-0550 [CVSS v3 8.4]  : Deux vulnérabilités sur le système de virtualisation Windows Hyper-V. Un attaquant disposant d'un accès à une machine virtuelle pourrait réussir à exécuter du code arbitraire sur le système hôte. Microsoft indique que cette vulnérabilité est due à une mauvaise gestion des entrées fournies par des utilisateurs authentifiés. Néanmoins, la vulnérabilité serait difficile à exploiter.

Vulnérabilités importantes : 

  • CVE-2019-0550 [CVSS v3 8.4]  : La vulnérabilité référencée a été rendue publique quelques jours avant la publication de ce patch. Elle affecte le moteur de base de données JET de Microsoft. Cette vulnérabilité permettrait de réaliser de l’exécution de code arbitraire à distance et pourrait être exploitée en faisant ouvrir à un utilisateur un fichier malveillant. Elle ne requiert cependant aucun privilège.
  • CVE-2019-0586 [CVSS v3 9.8] : La vulnérabilité référencée , considérée comme importante, affecte le logiciel de serveur de messagerie électronique Exchange. En envoyant un mail spécifique, un attaquant pourrait alors exécuter du code arbitraire avec des droits d'administration.

Enfin les deux vulnérabilités révélées fin décembre par une chercheuse en sécurité indépendante n'ont pas été corrigées dans les mises à jour de janvier. Elles permettaient de lire le contenu de n'importe quel fichier sur le disque ou d'en remplacer le contenu de manière arbitraire.

Du fait de leur criticité, les utilisateurs sont invités à appliquer ces mises à jour le plus rapidement possible. Elles sont disponibles dans le catalogue en ligne de mise à jour de Microsoft, ou directement depuis les systèmes d'exploitation.

Informations
+

Risques

  • Elevation de privilège
  • Exécution d'un code arbitraire

Criticité

  • Score CVSS : 9.8

Existence d’un code d’exploitation de la vulnérabilité

  • Aucune des vulnérabilités n'est activement exploitée, mais l'une avait été rendue publique avant la publication du patch Tuesday.

Composants & versions vulnérables

  • Dans son bulletin, Microsoft liste toutes les versions affectées par les vulnérabilités

Recommandations
+

Mise en place de correctif de sécurité

  • Dans son bulletin, Microsoft liste toutes les les correctifs associés aux versions affectées.

Solution de contournement

  • Aucune solution de contournement a été diffusée.