Windows : n'attendez pas avant d'installer ces mises à jour de sécurité
Comme chaque mois, Microsoft a publié son Patch Tuesday de Windows, cette fois-ci pour le mois d'avril. Comme l'écrit GNT, cette mise à jour vient corriger « 97 vulnérabilités de sécurité, dont sept sont jugées critiques. » L'éditeur du système d'exploitation invite ses utilisateurs à installer ce patch de sécurité.
97 failles corrigées dans la dernière mise à jour de Windows
C'est sur le site du Microsoft Security Reponse Center (MSRC) que l'on trouve la liste des correctifs ajoutés à l'OS. Au total, 97 sont référencés dans la liste publiée par Microsoft. Elles peuvent toucher différentes versions de Windows, de Windows 10 à Windows 11 en passant par les versions pour les serveurs. Mais il y a aussi certains logiciels qui sont concernés, comme Raw Image Extension, Microsoft 365 App for Enterprise ou Visual Studio.
Sur chaque faille, on peut voir une évaluation des risques, de son exploitabilité, de si elle est exploitée et ce qu'elle permet de faire. On y trouve aussi une section de remerciements à destination des entreprises ou experts faisant remonter les vulnérabilités.
Une des failles déjà utilisée par des pirates
Le média GNT fait remarquer qu'une des vulnérabilités est plus importante que les autres : elle est référencée sous le doux nom de CVE-2023-28252 et concerne l'élévation des privilèges. Il s'agit d'une méthode utilisée par des hackers pour obtenir un accès à des privilèges qu'il ne pourrait avoir normalement. La faille concerne le pilote Windows Common Log File System. On peut lire sur le site de Microsoft qu'il s'agit d'un « service de journalisation à usage général qui peut être utilisé par les clients logiciels en s'exécutant en mode utilisateur ou en mode noyau. »
Le MSRC désigne cette vulnérabilité de gravité maximale et dit avoir détecté une exploitation. Utilisée, elle peut permettre à un attaquant d'« obtenir des privilèges Système ». Sur la page qui lui est dédiée, on peut lire que Microsoft remercie Boris Larin avec Kasperskly, Genwei Jiang avec Mandiant et Quan Jin avec le DBAPPSecurity WeBin Lab.
Sur le blog de Kasperksy, le premier indique que « les technologies Kaspersky ont détecté un certain nombre de tentatives d'exécution d'exploits similaires d'élévation de privilèges sur des serveurs Microsoft Windows appartenant à des petites et moyennes entreprises au Moyen-Orient, en Amérique du Nord et précédemment dans les régions asiatiques » et ce « contre les secteurs du commerce de détail et de gros, de l'énergie, de la fabrication, de la santé, du développement de logiciels et d'autres industries. » Des exploitations déjà mises en place sur ce pilote CLFS (Common Log File System). Boris Larin note que « ce zero-day particulier a été utilisé par un groupe cybercriminel sophistiqué qui mène des attaques par ransomware » depuis au moins juin 2022.
https://twitter.com/oct0xor/status/1646145666102489093
Mais pour Boris Larin, connu sur Twitter sous le nom de @oct0xor, « malgré toutes les communications que nous avons eues à propos de ce bogue, Microsoft a oublié de nous accuser réception lors de la publication. Du coup, tous les médias ne mentionnent pas notre contribution. » Pour lui, « MSRC ne se soucie pas vraiment de donner un crédit approprié ». Par la suite, le compte Twitter du MSRC a déclaré avoir mis à jour cet accusé de réception et a crédité Boris Larin.