Microsoft a corrigé un total de 74 failles dans son logiciel dans le cadre des mises à jour Patch Tuesday de la société pour août 2023, en baisse par rapport aux volumineuses 132 vulnérabilités que la société a corrigées le mois dernier.
Cela comprend six vulnérabilités de sécurité critiques et 67 importantes. Le géant de la technologie a également publié deux mises à jour de défense en profondeur pour Microsoft Office (ADV230003) et l’outil d’analyse de l’état de préparation du système d’intégrité de la mémoire (ADV230004).
Cela s’ajoute aux 31 problèmes résolus par Microsoft dans son navigateur Edge basé sur Chromium depuis l’édition Patch Tuesday du mois dernier et à une faille de canal latéral affectant certains modèles de processeurs proposés par AMD (CVE-2023-20569 ou Inception).
ADV230003 concerne une faille de sécurité déjà connue sous le nom de CVE-2023-36884, une vulnérabilité d’exécution de code à distance dans Office et Windows HTML qui a été activement exploitée par l’acteur de menace RomCom lié à la Russie dans des attaques ciblant l’Ukraine ainsi que des cibles pro-ukrainiennes dans Europe de l’Est et Amérique du Nord.
Microsoft a déclaré que l’installation de la dernière mise à jour « arrête la chaîne d’attaque » conduisant au bogue d’exécution de code à distance.
L’autre mise à jour de défense en profondeur pour l’outil d’analyse de l’état de préparation du système d’intégrité de la mémoire, qui est utilisé pour vérifier les problèmes de compatibilité avec l’intégrité de la mémoire (alias intégrité du code protégé par hyperviseur ou HVCI), prend en charge un bogue publiquement connu dans lequel le « original version a été publiée sans section RSRC, qui contient des informations sur les ressources pour un module. »
Le géant de la technologie a également corrigé de nombreuses failles d’exécution de code à distance dans Microsoft Message Queuing (MSMQ) et Microsoft Teams, ainsi qu’un certain nombre de vulnérabilités d’usurpation d’identité dans Azure Apache Ambari, Azure Apache Hadoop, Azure Apache Hive, Azure Apache Oozie, Azure DevOps Server. , Azure HDInsight Jupyter et .NET Framework.
En plus de cela, Redmond a résolu six failles de déni de service (DoS) et deux failles de divulgation d’informations dans MSMQ, et suit un certain nombre d’autres problèmes découverts dans le même service qui pourraient entraîner l’exécution de code à distance et DoS.
Trois autres vulnérabilités à noter sont CVE-2023-35388, CVE-2023-38182 (score CVSS : 8,0) et CVE-2023-38185 (score CVSS : 8,8) – des failles d’exécution de code à distance dans Exchange Server – dont les deux premières ont été étiquetés avec une évaluation « Exploitation plus probable ».
« L’exploitation de CVE-2023-35388 et CVE-2023-38182 est quelque peu restreinte en raison de la nécessité d’un vecteur d’attaque adjacent et d’informations d’identification d’échange valides », a déclaré Natalie Silva, ingénieure principale du contenu chez Immersive Labs.
« Cela signifie que l’attaquant doit être connecté à votre réseau interne et pouvoir s’authentifier en tant qu’utilisateur Exchange valide avant de pouvoir exploiter ces vulnérabilités. Toute personne qui y parvient peut exécuter du code à distance à l’aide d’une session de communication à distance PowerShell. »
Microsoft a en outre reconnu la disponibilité d’un exploit de preuve de concept (PoC) pour une vulnérabilité DoS dans .NET et Visual Studio (CVE-2023-38180, score CVSS : 7,5), notant que « le code ou la technique n’est pas fonctionnel dans toutes les situations et peut nécessiter une modification substantielle par un attaquant expérimenté. »
Enfin, la mise à jour inclut également des correctifs pour cinq failles d’escalade de privilèges dans le noyau Windows (CVE-2023-35359, CVE-2023-35380, CVE-2023-35382, CVE-2023-35386 et CVE-2023-38154, scores CVSS : 7.8) qui pourrait être militarisé par un acteur malveillant avec un accès local à la machine cible pour obtenir des privilèges SYSTEM.
Correctifs logiciels d’autres fournisseurs
En plus de Microsoft, des mises à jour de sécurité ont également été publiées par d’autres fournisseurs au cours des dernières semaines pour corriger plusieurs vulnérabilités, notamment –
