Multiples vulnérabilités dans les produits Microsoft (Patch Tuesday Février 2020)

Microsoft a publié un correctif de sécurité (Patch Tuesday) afin de corriger plusieurs vulnérabilités permettant l’exécution de code à distance, la fuite d’informations, l’élévation de privilèges, le déni de service, l’usurpation d’identité et le contournement de dispositifs de sécurité. Ces vulnérabilités affectent plusieurs produits, dont :

  • Microsoft Windows
  • Microsoft Edge (basé sur EdgeHTML)
  • Microsoft Edge (basé sur Chromium)
  • ChakraCore
  • Internet Explorer
  • Microsoft Exchange Server
  • Microsoft SQL Server
  • Microsoft Office, Services Microsoft Office et Microsoft Office Web Apps
  • Outil de suppression de logiciels malveillants Windows
  • Windows Surface Hub

Les vulnérabilités suivantes ont été annoncées comme critiques par Microsoft :

CVE-2020-0662 [Score CVSS v3 : 8.6] : Il existe une vulnérabilité d’exécution de code à distance quant à la manière dont Windows traite les objets en mémoire. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire avec des autorisations élevées sur un système cible.

Pour exploiter cette vulnérabilité, un attaquant disposant d'un compte d'utilisateur de domaine pourrait créer une demande spécialement créée afin que Windows exécute du code arbitraire avec des autorisations élevées.

CVE-2020-0673, CVE-2020-0674 [Score CVSS v3 : 7.5] : Il existe une vulnérabilité d’exécution de code à distance due à la manière dont le moteur de script traite les objets en mémoire dans Internet Explorer. Cette vulnérabilité se situe dans la bibliothèque, intitulée JScript.dll. Cette bibliothèque permet la compatibilité avec une version obsolète de JScript.

CVE-2020-0681, CVE-2020-0734, CVE-2020-0817 [Score CVSS v3 : 7.5] : Il existe une vulnérabilité d’exécution de code à distance dans le client Bureau à distance de Windows quand un utilisateur se connecte à un serveur malveillant. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire sur l’ordinateur du client qui se connecte. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes dotés de tous les privilèges.

Pour exploiter cette vulnérabilité, un attaquant devrait disposer du contrôle d’un serveur, puis convaincre un utilisateur de s’y connecter.

CVE-2020-0710, CVE-2020-0711, CVE-2020-0712, CVE-2020-0713, CVE-2020-0767 [Score CVSS v3 : 4.2] : Il existe une vulnérabilité d’exécution de code à distance due à la manière dont le moteur de script ChakraCore traite des objets en mémoire.

CVE-2020-0729 [Score CVSS v3 : 7.5] : Il existe une vulnérabilité d’exécution de code à distance dans Microsoft Windows qui est due à la façon dont les fichiers .LNK sont traités. Un attaquant exploitant cette vulnérabilité pourrait obtenir des droits similaires à ceux d’un utilisateur local connecté.

CVE-2020-0738 [Score CVSS v3 : 8.8] : Il existe une vulnérabilité d’altération de mémoire lorsque Windows Media Foundation traite de façon incorrecte les objets en mémoire. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait installer des programmes, afficher, modifier ou supprimer des données ou créer des comptes dotés de tous les privilèges. Il existe plusieurs façons d'exploiter la vulnérabilité, par exemple en incitant un utilisateur à ouvrir un document spécialement conçu ou à visiter une page web malveillante.

Les vulnérabilités suivantes ont été annoncées comme importantes par Microsoft :

CVE-2020-0689 [Score CVSS v3 : 8.2] : Il existe une vulnérabilité de contournement de la fonctionnalité de sécurité dans le démarrage sécurisé. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait contourner le démarrage sécurisé et charger un logiciel non approuvé. Pour exploiter cette vulnérabilité, un attaquant pourrait exécuter une application spécialement conçue.

CVE-2020-0759 [Score CVSS v3 : En cours de calcul] : Il existe une vulnérabilité d’exécution de code à distance dans Microsoft Excel lorsque celui-ci ne parvient pas à traiter correctement des objets en mémoire.

Informations
+

Risques

  • Exécution de code à distance
  • Fuite d’informations
  • Elévation de privilèges
  • Déni de service
  • Usurpation d’identité
  • Contournement de dispositifs de sécurité

Criticité

  • Score CVSS v3 : 8.8 au maximum

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible publiquement. La CVE-2020-0674 est exploitée activement dans la nature.

Composants vulnérables

  • La liste complète des composants et versions vulnérables pour chaque CVE est disponible ici.

CVE

  • La liste complète des CVE est disponible ici (filtrer sur le mois de février 2020)

Recommandations
+

Mise en place de correctifs de sécurité

  • Appliquer les correctifs de sécurité proposés par Microsoft dans son Patch Tuesday de Février

Solution de contournement

  • Pour la CVE-2020-0674, l’ANSSI recommande d’utiliser un navigateur autre qu’Internet Explorer.
  • Si cela n'est pas possible, Microsoft (cf. section Documentation) propose de restreindre l'accès à JScript.dll tout en indiquant qu'une telle action peut affecter le bon fonctionnement de certains composants, notamment les scripts de configuration automatique de proxy.

Microsoft insiste sur le fait que si cette mesure de contournement est appliquée, il sera obligatoire d'en inverser les effets avant d'appliquer le correctif.

Les commandes à entrer sont disponibles ici.