Mise à jour mensuelle de Microsoft
Le 13 mars 2018, Microsoft a publié ses mises à jour mensuelles de sécurité. Soixante-quatorze vulnérabilités ont été corrigées, parmi lesquelles quatorze d’entre elles sont considérées comme critiques et cinquante-neuf comme modérées. Les produits suivants sont affectés :
- Internet Explorer
- Microsoft Edge
- Microsoft Windows
- Microsoft Office, Services Microsoft Office et Microsoft Office Web Apps
- Microsoft Exchange Server
- ASP.NET Core
- .NET Core
- PowerShell Core
- ChakraCore
- Adobe Flash
Navigateurs
Sept vulnérabilités ont été corrigées pour le navigateur Internet Explorer.
Parmi celles-ci, deux concernent des failles d’exécution de code à distance. Identifiées en tant que CVE-2018-0889 et CVE-2018-0935, ces deux vulnérabilités découlent d’altérations de la mémoire dans le moteur de script du navigateur. Elles sont respectivement considérées comme critiques et importantes par Microsoft.
Quatre correctifs sont également fournis pour un risque de divulgation d’informations. Il s’agit de trois vulnérabilités jugées importantes et d’une notée comme critique.
Enfin, un dernier correctif pour Internet Explorer est délivré par Microsoft pour le mois de mars 2018 pour un risque d’élévation de privilèges. Identifiée comme un de niveau important, la vulnérabilité CVE-2018-0942 pourrait permettre de réaliser une évasion de bac à sable.
Microsoft corrige seize vulnérabilités dans le navigateur Edge pour le mois de mars.
Pour onze d’entre elles, il s’agit d’exécution de code à distance, considérées comme critiques pour dix et comme importante pour la dernière. Toutes sont causées par une altération de la mémoire dans un moteur de script utilisé dans le navigateur. Dans neuf de ces cas il s’agit du moteur de script Chakra.
Cinq autres vulnérabilités sont corrigées ce mois dans Edge. Ces failles pouvant conduire à une divulgation d’informations sont importantes pour trois d’entre elles et critiques pour les deux dernières.
Microsoft a également intégré le correctif Adobe Flash Player pour les navigateurs Edge et Internet Explorer qui corrigent deux vulnérabilités critiques d’exécution de code à distance.
Bureautique
Dix-sept vulnérabilités ont été corrigées pour les différents composants de la suite Office.
Deux des failles corrigées sont considérées comme importantes et peuvent mener à une exécution de code à distance. Il s’agit de la CVE-2018-0903 qui affecte Microsoft Access et de la CVE-2018-0944 qui concerne Microsoft SharePoint.
Treize vulnérabilités liées à un risque d’élévation de privilèges reçoivent également un correctif ce mois. Toutes affectent l’outil Microsoft SharePoint et sont d’une sévérité importante. Une faille permettant de contourner les mécanismes de sécurité limitant la possibilité d’exécution de macro dans Excel est aussi corrigée. Enfin, la CVE-2018-0919, une faille importante menant à de la divulgation d’informations, reçoit un correctif lors de la mise à jour du mois de mars.
Windows
Trente vulnérabilités ont été corrigées dans Windows.
Deux failles importantes pouvant conduire à une exécution de code à distance reçoivent un correctif. L’une d’elle, la vulnérabilité CVE-2018-0886, affecte le protocole CredSSP utilisé dans plusieurs mécanismes d’authentification. CredSSP est par exemple mis en œuvre dans le cadre de RDP (Remote Desktop Procol) et des scénarios d’attaques contre RDP exploitant cette vulnérabilité sont donc envisageables.
Dix vulnérabilités importantes ayant pour impact une élévation de privilèges ainsi que quinze liées à une divulgation d’informations sont également corrigées. Les failles de cette dernière catégorie affectent différents composants de Windows, notamment le noyau Windows, et pourraient fournir à un attaquant des éléments pour compromettre pleinement le système, à l’image d’informations sur la distribution aléatoire de l’espace d’adressage (ASLR).
Enfin, deux failles permettant de contourner des fonctionnalités de sécurité et une menant à un déni de service sont aussi corrigées. Cette dernière, la vulnérabilité CVE-2018-0885, affecte Windows Hyper-V et pourrait permettre à un attaquant sur un système d’exploitation invité de provoquer un déni de service sur la machine hôte.
Cadriciel .NET
Trois vulnérabilités sont corrigées dans plusieurs composants du cadriciel .NET.
Les failles identifiées en tant que CVE-2018-0875 et CVE-2018-0808, toutes deux importantes, peuvent conduire à un déni de service. Pour la seconde, la vulnérabilité découlent du traitement des requêtes web dans les applications ASP.NET Core. Il est à noter que cette faille était connue publiquement antérieurement à la publication du correctif de Microsoft le 13 mars 2018.
La dernière vulnérabilité qui affecte .NET est jugée comme un problème de sécurité important par Microsoft et peut conduire à une élévation de privilèges.
Produits Microsoft
Dix-neuf failles sont corrigées dans plusieurs produits Microsoft.
On notera notamment la présence d’un correctif pour la vulnérabilité CVE-2018-0925, une faille critique d’exécution de code à distance impactant le moteur de script ChakraCore.
Parmi ces correctifs, on en trouvera également trois adressant des vulnérabilités dans Microsoft Exchange. Toutes trois importantes, elles sont identifiées comme CVE-2018-0924, CVE-2018-0941 et CVE-2018-0940. Elles peuvent conduire à des divulgations d’informations pour les deux premières et à un risque d’élévation de privilèges pour la dernière. Dans le cas de cette dernière, la vulnérabilité CVE-2018-0940, les informations sur le problème de sécurité étaient connues publiquement avant la parution des mises à jour Microsoft du mois de mars.
Recommandations
Le CERT-FR recommande l’application de ces correctifs de sécurité dès que possible.
Rappel des avis émis
Dans la période du 12 au 18 mars 2018, le CERT-FR a émis les publications suivantes :
- CERTFR-2018-AVI-118 : Vulnérabilité dans le noyau Linux d’Ubuntu
- CERTFR-2018-AVI-119 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2018-AVI-120 : Multiples vulnérabilités dans Moxa OnCell
- CERTFR-2018-AVI-121 : Multiples vulnérabilités dans Samba
- CERTFR-2018-AVI-122 : Vulnérabilité dans Moxa MXview
- CERTFR-2018-AVI-123 : Multiples vulnérabilités dans Mozilla Firefox
- CERTFR-2018-AVI-124 : Multiples vulnérabilités dans le noyau Linux de RedHat
- CERTFR-2018-AVI-125 : Vulnérabilité dans Joomla!
- CERTFR-2018-AVI-126 : Multiples vulnérabilités dans Google Chrome
- CERTFR-2018-AVI-127 : Multiples vulnérabilités dans Adobe Flash Player
- CERTFR-2018-AVI-128 : Multiples vulnérabilités dans Microsoft Internet Explorer
- CERTFR-2018-AVI-129 : Multiples vulnérabilités dans Microsoft Edge
- CERTFR-2018-AVI-130 : Multiples vulnérabilités dans Microsoft Office
- CERTFR-2018-AVI-131 : Multiples vulnérabilités dans Microsoft Windows
- CERTFR-2018-AVI-132 : Multiples vulnérabilités dans Microsoft .Net
- CERTFR-2018-AVI-133 : Multiples vulnérabilités dans les produits Microsoft
- CERTFR-2018-AVI-134 : Multiples vulnérabilités dans le noyau Linux d’Ubuntu
- CERTFR-2018-AVI-135 : Vulnérabilité dans VMware Workstation et Fusion
