Microsoft a publié son mai 2023 Patch Tuesday mises à jour pour s'attaquer 38 les problèmes de sécurité, dont un zero-day bogue qui serait exploité dans la nature.
Mai de Microsoft 2023 Patch Tuesday
Selon l'initiative Zero Day de Trend Micro (PENSEZ), c'est le plus petit nombre de failles depuis août 2021, bien qu'ils aient suggéré que le montant augmentera dans les mois à venir. Du 38 défauts, six ont été classés comme critiques et 32 comme important en ce qui concerne la gravité. Microsoft a également attribué le “Exploitation plus probable” évaluation de huit des vulnérabilités. L'entreprise s'est adressée 18 défauts, Y compris 11 depuis début mai, dans leur navigateur Edge basé sur Chromium après leurs mises à jour d'avril Patch Tuesday.
La vulnérabilité la plus sévère, CVE-2023-29336, est un faille d'élévation de privilèges dans Win32k. Cette faille est actuellement activement exploitée, bien qu'il ne soit pas certain de l'étendue du problème.
Une attention particulière doit également être accordée à deux faiblesses révélées publiquement, dont l'une est une vulnérabilité majeure d'exécution de code à distance dans Windows OLE (CVE-2023-29325, Note CVSS: 8.1) qui pourrait être utilisé à des fins malveillantes par un attaquant qui envoie un e-mail spécialement conçu à la cible.
A titre préventif, Microsoft suggère aux utilisateurs de lire les e-mails au format texte brut pour éviter cette vulnérabilité. L'autre vulnérabilité publiquement connue est CVE-2023-24932 (Note CVSS: 6.7), un contournement de la fonction de sécurité Secure Boot exploitée par le bootkit BlackLotus UEFI pour CVE-2022-21894 (alias Baton Drop), qui a été résolu en janvier 2022.
En savoir plus sur CVE-2023-29336
Comme l'expliquent les chercheurs de Tenable, Microsoft a corrigé CVE-2022-21882 en janvier 2022, qui aurait été un contournement de correctif pour CVE-2021-1732, une vulnérabilité Win32k EoP zero day à partir de février 2021. Puis, dans Octobre 2021, Microsoft a corrigé CVE-2021-40449, qui était lié à un cheval de Troie d'accès à distance connu sous le nom de MysterySnail et aurait été un contournement de correctif pour CVE-2016-3309. CVE-2023-29336 est une autre vulnérabilité EoP dans Win32k de Microsoft, un pilote central côté noyau utilisé dans Windows.
Cette vulnérabilité a reçu un score CVSSv3 de 7.8 et a été exploité à l'état sauvage comme un zero-day. L'exploitation de cette vulnérabilité permettrait à un attaquant d'obtenir des privilèges de niveau SYSTEM sur un hôte affecté. Il n'est pas clair si CVE-2023-29336 est également un contournement de patch, car il y a eu plusieurs jours zéro Win32k EoP exploités dans la nature au cours des dernières années.