Microsoft a publié des correctifs pour neuf vulnérabilités critiques dans le cadre de sa mise à jour de sécurité du correctif d'octobre, dont un pour un bogue du Bureau à distance qui pourrait permettre à un attaquant distant d'exécuter du code sur les ordinateurs des victimes.
Globalement, Microsoft a publié des correctifs pour 59 vulnérabilités - dont 9 critiques, 49 importantes et une gravité modérée.
"Ce mois-ci, la version de Microsoft est plus petite, avec des correctifs de sécurité pour 59 CVE et aucun nouvel avis", a déclaré Dustin Childs, de Zero Day Initiative. «Les mises à jour couvrent Microsoft Windows, Internet Explorer, Edge (basé sur EdgeHTML), ChakraCore, Microsoft Office et les applications Web Office, SQL Server Management Studio, Microsoft Dynamics 365, l'Assistant de mise à jour Windows et le logiciel Open Source», écrit-il. sa répartition des mises à jour de sécurité Microsoft Patch mardi .
L’une des failles critiques mises en évidence par Childs est une vulnérabilité d’exécution de code à distance ( CVE-2019-1333 ) qui «existe dans le client de bureau à distance Windows lorsqu'un utilisateur se connecte à un serveur malveillant».
La faille concerne spécifiquement les machines clientes Remote Desktop qui se connectent aux serveurs via le protocole RDP (Remote Desktop Protocol). RDP est un protocole proposé par Microsoft - et utilisé par des milliers d'entreprises à travers le monde - qui permet aux travailleurs de connecter à distance leurs ordinateurs clients à des serveurs afin de se connecter aux ressources de l'entreprise. Les clients de bureau à distance installés sur les ordinateurs des utilisateurs leur permettent de se connecter à un hôte de serveur distant à l'aide du protocole RDP. Cette vulnérabilité existe spécifiquement lorsqu'un client RDP se connecte à un serveur RDP malveillant.
Pour que l'attaquant puisse exploiter cette vulnérabilité, il doit d'abord compromettre un serveur RDP légitime en y hébergeant du code malveillant. Ensuite, ils doivent convaincre l'utilisateur d'un ordinateur client de se connecter au serveur (probablement via l'ingénierie sociale). Si un attaquant réussit et convainc un utilisateur client de se connecter au serveur malveillant, il peut alors envoyer à distance des commandes à la machine de la victime pour installer des programmes, afficher et modifier des données et créer de nouveaux comptes avec des droits d'utilisateur complets, a déclaré Microsoft.
Les vulnérabilités dans Windows Remote Desktop continuent de nuire à Microsoft. En juillet, une vulnérabilité critique infâme (CVE-2019-0708) a été révélée. La faille, appelée BlueKeep , était hautement vermifuge et permettait l’exécution de code à distance.
Cependant, heureusement, «contrairement à la fameuse vulnérabilité BlueKeep RDP (CVE-2019-1333), l’interaction de l’utilisateur nécessite l’interaction de l’utilisateur pour qu'une attaque réussisse», a déclaré Robert Foggia de Trustwave dans une analyse . «Un attaquant pourrait exploiter cette vulnérabilité en persuadant une victime de se connecter à un serveur RDP malveillant.
Malgré cela, Microsoft pense toujours que CVE-2019-1333 est une faille à haut risque, la classant selon son outil "d’exploitabilité" comme un 1 sur 3, ce qui signifie que "l’exploitation est plus probable". Pour corriger la faille, a déclaré Microsoft. qu'il a corrigé «la manière dont le client Bureau à distance Windows traite les demandes de connexion».
Mardi, Microsoft a également publié un correctif "important" pour une faille de déni de service (CVE-2019-1326) dans RDP. Un attaquant pourrait exploiter cette vulnérabilité en se connectant à un serveur utilisant RDP et en envoyant au serveur des requêtes spécialement conçues. Les demandes entraîneraient le blocage du service RDP sur le serveur vulnérable.
Autres défauts critiquesParmi les autres vulnérabilités critiques à noter figurent deux failles d’exécution de code à distance (CVE-2019-1238, CVE-2019-1239) dans VBScript, langage développé par Microsoft et modelé sur Visual Basic. Ces vulnérabilités proviennent de la façon dont VBScript traite la mémoire et pourraient être exploitées pour exécuter du code arbitraire sur la machine de la victime. Pour exploiter cette faille, un mauvais acteur doit d’abord amener les utilisateurs à consulter un site Web malveillant spécialement conçu via Internet Explorer.
Quatre failles critiques de corruption de la mémoire (CVE-2019-1307, CVE-2019-1308, CVE-2019-1335 et CVE-2019-1366) ont été corrigées dans le Chakra Scripting Engine, un moteur JavaScript développé par Microsoft pour son navigateur Web Microsoft Edge. .
«Un attaquant pourrait utiliser ces bogues pour corrompre la mémoire de la machine victime de manière à leur permettre d'exécuter du code arbitraire à distance», a déclaré Jon Munshaw avec Cisco Talos dans une analyse . "Un utilisateur peut déclencher ces vulnérabilités en visitant un site Web malveillant spécialement conçu dans Edge."