S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 14 mai 2018
N° CERTFR-2018-ACT-008
Affaire suivie par: CERT-FR
le 14 mai 2018

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité CERTFR-2018-ACT-008

Gestion du document

Référence CERTFR-2018-ACT-008
Titre Bulletin d’actualité CERTFR-2018-ACT-008
Date de la première version 14 mai 2018
Date de la dernière version 14 mai 2018
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Mise à jour mensuelle de Microsoft

Le 8 mai 2018, Microsoft a publié ses mises à jour mensuelles de sécurité. Soixante-sept vulnérabilités ont été corrigées, parmi lesquelles vingt-deux d’entre elles sont considérées comme critiques, quarante-cinq comme importantes et deux comme faibles. Les produits suivants sont affectés :

  • Internet Explorer
  • Microsoft Edge
  • Microsoft Windows
  • Microsoft Office, Services Microsoft Office et Microsoft Office Web Apps
  • ChakraCore
  • Adobe Flash Player
  • Cadriciel .NET
  • Microsoft Exchange Server

Navigateurs

Pour le mois de mai 2018, neuf vulnérabilités ont été corrigées pour le navigateur Internet Explorer.

Parmi les correctifs apportés au navigateur ce mois, six s’appliquent à des failles critiques, toutes relatives à un risque d’exécution de code à distance. Deux autres corrections visant à combler une faiblesse pouvant conduire à une divulgation d’informations sont aussi proposées pour Internet Explorer. Ces fuites d’informations mémoires pourraient être exploitées dans le cadre d’attaques visant à compromettre le système. Ces failles sont jugées d’une sévérité importante selon l’éditeur.
Microsoft intègre également dans sa mise à jour un correctif pour un problème important de contournement d’une fonctionnalité de sécurité. Un attaquant exploitant la vulnérabilité identifiée comme CVE-2018-8126 pourrait en effet passer outre la fonctionnalité de vérification de l’intégrité du code en mode utilisateur (UMCI) de Device Guard, avec comme conséquence la possibilité d’exécuter du code non signé.

Microsoft corrige dix-neuf vulnérabilités pour Edge lors sa mise à jour mensuelle de mai.

Pour quatorze d’entre elles, il s’agit d’un risque d’exécution de code à distance. Toutes sont considérées comme critiques par Microsoft, à l’exception d’une jugée importante. Quatre autres correctifs concernent des failles importantes de divulgation d’informations. Celles-ci, à l’instar des faiblesses de même type impactant Internet Explorer, pourrait permettre à un attaquant d’obtenir des informations mémoire de nature à faciliter la compromission du système. On notera par ailleurs que la vulnérabilité d’identifiant CVE-2018-1025 impacte les deux navigateurs de Microsoft.
Enfin un possible contournement de la fonctionnalité de sécurité de même origine (SOP, Same Origin Policy), d’impact important, reçoit aussi un correctif ce mois.

Un correctif pour Adobe Flash Player est également intégré par Microsoft à sa mise à jour mensuelle. Ce dernier adresse une vulnérabilité critique d’exécution de code qui pourrait être exploitée au travers des navigateurs Internet Explorer et Edge.

Bureautique

Treize vulnérabilités sont corrigées dans les différents composants de la suite Office.

Six concernent un risque d’exécution de code à distance qualifié d’important par Microsoft. Quatre autres sont relatives à une possibilité d’élévation de privilèges dans Microsoft SharePoint. Ces failles connues comme CVE-2018-8149, CVE-2018-8155, CVE-2018-8156 et CVE-2018-8168 sont toutes considérées comme importantes et pourraient être exploitées en émettant une requête malveillante à un serveur vulnérable.
Les trois dernières vulnérabilités corrigées dans la suite de bureautique de Microsoft s’appliquent pour Microsoft Outlook dans le cas des deux premières et pour Microsoft Excel dans le cas de la dernière. Le client de messagerie est ainsi impacté par les failles importantes de sécurité identifiées en tant que CVE-2018-8150 et CVE-2018-8160, la première correspondant à un contournement de la fonctionnalité de sécurité dans le filtrage des pièces jointes et la seconde à un problème de divulgation d’informations. Microsoft Excel est quant à lui aussi impacté par une vulnérabilité de divulgation d’informations importante.

Windows

Vingt-et-un correctifs sont fournis pour les produits Windows.

Cinq d’entre eux s’appliquent pour des failles pouvant mener à exécution de code. Ces failles sont jugées critiques pour trois d’entre elles, importante et faible pour les deux dernières.
Parmi ces vulnérabilités, la CVE-2018-8174, considérée comme critique, a été annoncé comme ayant été exploitée dans la nature avant la publication d’un correctif lors de cette mise à jour mensuelle. Elle impacte le moteur VBScript utilisé dans Windows et pourrait être exploitée dans le cadre d’une attaque contre tout composant de Windows utilisant ce moteur. Cela pourrait ainsi cibler le navigateur Internet Explorer via une page web conçue à cet effet, ou encore Microsoft Office au travers d’un document malveillant.
Neuf failles de sécurité en lien avec une élévation de privilèges sont également corrigées ce mois dans Windows et toutes sont évaluées comme importantes. On notera que l’une d’elles, la CVE-2018-8170, qui affecte le noyau Windows, avait été rendue publique avant la publication d’un correctif.
Cinq vulnérabilités de contournement de la fonctionnalité de sécurité sont aussi corrigées pour ce mois de mai. Toutes sont considérées comme importantes et affectent des fonctionnalités comme l’UMCI ou la validation par Windows des signatures des pilotes noyau.
Enfin, deux problèmes de divulgation d’informations qualifiés d’importants reçoivent aussi un correctif. Parmi eux, la faille identifiée comme CVE-2018-4141 affectant le noyau Windows avait été rendue publique antérieurement à la publication des correctifs Microsoft de ce mois.

Cadriciel .NET

Deux vulnérabilités ont été corrigées dans le cadriciel .NET pour le mois de mai 2018.

Il s’agit pour la première d’un problème de déni de service considéré comme important par Microsoft. Des erreurs dans le traitement des entrées XML par .NET sont en effet susceptibles de mener à un déni de service d’une application .NET.
La seconde faille, elle aussi importante, permettrait à un attaquant de contourner une fonctionnalité de sécurité de Device Guard dans le cadriciel.

Produits Microsoft

Vingt-et-une vulnérabilités sont corrigées dans différents produits Microsoft lors de cette mise à jour mensuelle.

Dans quatorze cas, il s’agit de problèmes de sécurité pouvant conduire à une exécution de code arbitraire à distance. Tous sont considérés comme critiques et sont dues dans la majeure partie des cas à des altérations de la mémoire dans différents moteurs de scripts.
On trouvera également six correctifs importants, trois concernant des risques de divulgation d’informations, les trois autres liés à un risque d’élévation de privilèges. Dans cette dernière catégorie, on notera notamment la présence des vulnérabilités CVE-2018-8152 et CVE-2018-8159 qui affectent le service de messagerie Microsoft Exchange Outlook Web Access (OWA) en profitant de faiblesses dans la façon dont certaines requêtes web sont validées. Enfin, une vulnérabilité d’un impact jugé comme faible et permettant une usurpation d’identité, affectant là aussi OWA, est corrigée par Microsoft.

Recommandations

Le CERT-FR recommande l’application de ces correctifs de sécurité dès que possible.

Rappel des avis émis

Dans la période du 07 au 13 mai 2018, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 14 mai 2018
    Version initiale