Microsoft publie son Patch Tuesday de Septembre corrigeant 80 vulnérabilités.

Microsoft a publié son « Patch Tuesday » de Septembre 2019 corrigeant de nombreuses vulnérabilités ayant été identifiées sur plusieurs de ses produits. Le patch de ce mois-ci corrige 80 vulnérabilités dont 17 considérées comme critiques. Ce patch corrige 2 vulnérabilités de type « jour-zéro » (0-day).

Parmi celles-ci, 4 vulnérabilités concernent de l’exécution de code à distance affectant le protocole RDP (Remote Desktop Protocol) de Windows.

Détails techniques :

Les deux vulnérabilités de type « jour-zéro » sont les suivantes :

  • CVE-2019-1214 [Score CVSS v3 7.8] : Une élévation de privilège existe sur le driver du Windows Common Log File System (système de journalisation Windows), qui gère incorrectement les objets en mémoire. Un attaquant connecté sur le système pourrait, en lançant une application malveillante, tourner un processus avec des privilèges élevés et prendre le contrôle du système.
  • CVE-2019-1215 [Score CVSS v3 7.8] : La façon dont le driver ws2ifsl.sys gère les objets en mémoire peut permettre à un attaquant connecté sur le système d’élever ses privilèges. Pour cela, il peut lancer une application malveillante pour prendre le contrôle du système.

Concernant les failles affectant le protocole RDP :

  • CVE-2019-0787, CVE-2019-0788, CVE-2019-1290, CVE-2019-1291 [Score CVSS v3 7.5] : Ces 4 vulnérabilités concernent une exécution de code dans le client de bureau à distance (Remote Desktop Client) de Windows. L’exploitation de ces vulnérabilités permettrait à un attaquant d’installer des programmes sur la machine cible, de consulter, modifier ou supprimer des données, ou encore de créer un compte privilégié sur le système. Pour ce faire l’attaquant doit contrôler un serveur RDP (ou compromettre un serveur légitime), et encourager la cible à s’y connecter, via de l’ingénierie sociale ou encore en se  plaçant en tant qu’homme du milieu sur le réseau.

Microsoft a aussi corrigé deux vulnérabilités qui étaient déjà publiques :

  • CVE-2019-1235 [Score CVSS v3 7.8] : Un attaquant authentifié sur une machine pourrait élever ses privilèges à l’aide du Text Service Framework de Windows (une application qui gère notamment certaines entrées utilisateurs sur le système d’exploitation), à cause d’un manque de validation des entrées utilisateurs. Un attaquant ayant exploité cette vulnérabilité pourrait injecter des commandes à travers un IME (méthode de saisie) malveillant.
  • CVE-2019-1294 [Score CVSS v3 5.3] : Cette vulnérabilité concerne le Secure Boot de Windows (mécanisme qui permet notamment de contrôler le système d’exploitation au démarrage de la machine). Un attaquant ayant un accès physique lors du démarrage de la machine pourrait exploiter cette vulnérabilité pour accéder à de la mémoire protégée du noyau du système. Elle concerne un manque de restriction à l’accès à des fonctionnalités de débogage.
Informations
+

Risques

  • Exécution de code arbitraire
  • Elévation de privilèges

Criticité

  • Score CVSS : 7.8 (score de la vulnérabilité la plus critique)

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d’exploitation n’est disponible.

Composants & versions vulnérables

  • Windows 7 SP1
  • Windows 8.1
  • Windows 10
  • Windows Server 2008 R2 SP1
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Internet Explorer
  • Microsoft Exchange Server 2019
  • Microsoft Exchange Server 2016

CVE

  • CVE-2019-1214
  • CVE-2019-1215
  • CVE-2019-0787
  • CVE-2019-0788
  • CVE-2019-1290
  • CVE-2019-1291
  • CVE-2019-1235
  • CVE-2019-1294

Recommandations
+

Mise en place de correctif de sécurité

Des correctifs de sécurité sont déployés par Microsoft pour les systèmes d’exploitation affectés :

  • Windows 7 SP1
  • Windows 8.1
  • Windows 10
  • Windows Server 2008 R2 SP1
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Internet Explorer
  • Microsoft Exchange Server 2019
  • Microsoft Exchange Server 2016

Solution de contournement

  • Aucune solution n'a été proposée.