Microsoft publie des mises à jour de correctifs pour 5 nouvelles vulnérabilités Zero-Day

Microsoft a publié des correctifs pour corriger 63 bogues de sécurité dans son logiciel pour le mois de novembre 2023, dont trois vulnérabilités qui ont été activement exploitées dans la nature.

Sur les 63 failles, trois sont classées critiques, 56 sont classées importantes et quatre sont classées de gravité modérée. Deux d’entre eux étaient répertoriés comme étant publiquement connus au moment de la publication.

Les mises à jour s’ajoutent à plus de 35 failles de sécurité corrigées dans son navigateur Edge basé sur Chromium depuis la sortie des mises à jour du Patch Tuesday d’octobre 2023.

Les cinq jours zéro à noter sont les suivants :

CVE-2023-36025 (score CVSS : 8,8) – Vulnérabilité de contournement de la fonctionnalité de sécurité Windows SmartScreen
CVE-2023-36033 (score CVSS : 7,8) – Vulnérabilité d’élévation de privilèges de la bibliothèque principale Windows DWM
CVE-2023-36036 (score CVSS : 7,8) – Vulnérabilité d’élévation de privilèges du pilote de mini-filtre Windows Cloud Files
CVE-2023-36038 (score CVSS : 8,2) – Vulnérabilité de déni de service dans ASP.NET Core
CVE-2023-36413 (score CVSS : 6,5) – Vulnérabilité de contournement des fonctionnalités de sécurité de Microsoft Office

CVE-2023-36033 et CVE-2023-36036 pourraient être exploités par un attaquant pour obtenir les privilèges SYSTÈME, tandis que CVE-2023-36025 pourrait permettre de contourner les contrôles Windows Defender SmartScreen et leurs invites associées.

« L’utilisateur devra cliquer sur un raccourci Internet spécialement conçu (.URL) ou sur un lien hypertexte pointant vers un fichier de raccourci Internet pour être compromis par l’attaquant », a déclaré Microsoft à propos de CVE-2023-36025.

CVE-2023-36025 est la troisième vulnérabilité zero-day de Windows SmartScreen exploitée à l’état sauvage en 2023 et la quatrième au cours des deux dernières années. En décembre 2022, Microsoft a patché CVE-2022-44698 (score CVSS : 5,4), tandis que CVE-2023-24880 (score CVSS : 5,1) a été corrigé en mars et CVE-2023-32049 (score CVSS : 8,8) a été corrigé en juillet. .

Le fabricant de Windows n’a cependant fourni aucune indication supplémentaire sur les mécanismes d’attaque utilisés et sur les acteurs malveillants qui pourraient les utiliser comme arme. Mais l’exploitation active des failles d’élévation de privilèges suggère qu’elles sont probablement utilisées conjointement avec un bug d’exécution de code à distance.

« Il y a eu 12 élévations de vulnérabilités de privilèges dans la bibliothèque principale DWM au cours des deux dernières années, bien que ce soit la première à avoir été exploitée en tant que jour zéro », a déclaré Satnam Narang, ingénieur de recherche senior chez Tenable. dans une déclaration partagée avec The Hacker News.

Ce développement a incité l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) à ajouter les trois problèmes à son catalogue de vulnérabilités exploitées connues (KEV), exhortant les agences fédérales à appliquer les correctifs d’ici le 5 décembre 2023.

Microsoft a également corrigé deux failles critiques d’exécution de code à distance dans Protected Extensible Authentication Protocol et Pragmatic General Multicast (CVE-2023-36028 et CVE-2023-36397, scores CVSS : 9,8) qu’un acteur malveillant pourrait exploiter pour déclencher l’exécution de programmes malveillants. code.

La mise à jour de novembre inclut en outre un correctif pour CVE-2023-38545 (score CVSS : 9,8), une faille critique de dépassement de tampon basée sur le tas dans la bibliothèque curl qui a été révélée le mois dernier, ainsi qu’une vulnérabilité de divulgation d’informations dans Azure CLI ( CVE-2023-36052, score CVSS : 8,6).

« Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait récupérer les mots de passe et les noms d’utilisateur en clair à partir des fichiers journaux créés par les commandes CLI concernées et publiés par Azure DevOps et/ou GitHub Actions », a déclaré Microsoft.

Aviad Hahami, chercheur chez Palo Alto Networks, qui a signalé le problème, a déclaré que la vulnérabilité pourrait permettre l’accès aux informations d’identification stockées dans le journal du pipeline et permettre à un adversaire d’augmenter potentiellement ses privilèges pour des attaques ultérieures.

En réponse, Microsoft a déclaré avoir apporté des modifications à plusieurs commandes Azure CLI pour renforcer Azure CLI (version 2.54) contre une utilisation accidentelle pouvant conduire à la divulgation de secrets.

Correctifs logiciels d’autres fournisseurs

Outre Microsoft, des mises à jour de sécurité ont également été publiées par d’autres fournisseurs au cours des dernières semaines pour corriger plusieurs vulnérabilités, notamment :

Microsoft publie des mises à jour de correctifs pour 5 nouvelles vulnérabilités Zero-Day

Correctifs logiciels d’autres fournisseurs

De multiples failles dans les produits CyberPower et Dataprobe mettent les centres de données en danger

Le FBI et la CISA mettent en garde contre l’augmentation des attaques du ransomware AvosLocker contre les infrastructures critiques

L’extorsion de ransomware monte en flèche en 2023, atteignant 449,1 millions de dollars et comptant

Microsoft publie des correctifs d’octobre 2023 pour 103 failles, dont 2 exploits actifs

Turla met à jour la porte dérobée Kazuar avec une anti-analyse avancée pour échapper à la détection

De faux profils de chercheurs propagent des logiciels malveillants via les référentiels GitHub en tant qu’exploits PoC

Correctifs logiciels d’autres fournisseurs

A lire également