Objet: Bulletin d’actualité CERTFR-2019-ACT-006

Mise à jour mensuelle de Microsoft

Le 14 mai 2019, Microsoft a publié ses mises à jour mensuelles de sécurité. Soixante-dix-neuf vulnérabilités ont été corrigées à cette occasion dont vingt-deux sont considérées comme critiques et cinquante-sept comme importantes. Les produits affectés sont :

• Adobe Flash Player
• Microsoft Windows
• Internet Explorer
• Microsoft Edge
• Microsoft Office, Services Microsoft Office et Microsoft Office Web Apps
• Team Foundation Server
• Visual Studio
• Azure DevOps Server
• SQL Server
• .NET Framework
• .NET Core
• ASP.NET Core
• ChakraCore
• Online Services
• Azure
• NuGet
• Skype pour Android

Navigateurs

Huit vulnérabilités sont corrigées dans le navigateur Internet Explorer pour le mois de mai 2019.

Cinq d’entre elles, toutes évaluées comme critiques, peuvent provoquer une exécution de code arbitraire à distance.

Les trois autres vulnérabilités corrigées pour le navigateur de Microsoft sont jugées importantes. Il s’agit dans le premier cas d’un problème de sécurité identifié comme CVE-2019-0930 et menant à une divulgation d’informations. Les deux autres cas concernent un risque d’usurpation d’identité ainsi qu’un risque de contournement d’une fonctionnalité de sécurité.

Pour le navigateur Edge, dix-huit correctifs sont fournis par Microsoft.

Dix-sept des vulnérabilités corrigées le sont pour un risque d’exécution de code à distance avec un impact considéré comme critique pour seize des cas et important pour le dernier. La majorité de ces failles, treize d’entre elles, trouvent leur origine dans le moteur de script Chakra utilisé par le navigateur.

Une dernière mise à jour couvrant un risque d’élévation de privilèges considéré comme important vient compléter le lot de correctif pour Edge.

Un correctif pour Adobe Flash correspondant à la vulnérabilité traitée dans le bulletin APSB19-26 est également intégré. Cela concerne la faille d’identifiant CVE-2019-7837 considérée comme critique et pouvant conduire à une exécution de code arbitraire.

Bureautique

Douze mises à jour sont disponibles pour les différents composants de la suite Office.

Dans une première catégorie, cinq failles d’exécution de code à distance, une critique et quatre importantes, sont corrigées. Ici, la vulnérabilité critique, aussi connue sous l’identifiant CVE-2019-0953, affecte Microsoft Word et pourrait être exploitée via un fichier malveillant construit spécifiquement.

Les mises à jour pour la suite bureautique de Microsoft couvrent également quatre failles importantes impliquant un risque d’usurpation d’identité qui affectent la solution Microsoft SharePoint.

La liste des failles corrigées est complétée par les vulnérabilités d’identifiant CVE-2019-0958, CVE-2019-0957 et CVE-2019-0956, les deux premières débouchant sur une élévation de privilèges dans SharePoint quand la dernière correspond à une divulgation d’informations dans le serveur de SharePoint. Ces trois dernières failles sont elles aussi considérées comme importantes par l’éditeur.

Windows

La mise à jour mensuelle de Microsoft comprend également trente-et-un correctifs pour Windows.

Pour le système d’exploitation de l’éditeur, dix-sept vulnérabilités d’exécution de code à distance, quatorze importantes et trois autres évaluées comme critiques, seront corrigées.
Parmi ces trois dernières, la vulnérabilité CVE-2019-0708 affecte les services de Bureau à distance qui utilise le protocole RDP. Cette faille ne nécessitant pas d’action d’un utilisateur et pouvant être exploitée à distance sans authentification a été considérée comme particulièrement critique par l’éditeur. Elle a ainsi fait l’objet d’une publication annexe spécifique visant à mettre en exergue les risques qui découleraient d’une attaque de type ver informatique exploitant cette faille (cf. section documentation).
La CVE-2019-0708 a par ailleurs donné lieu à une alerte du CERT-FR disponible sous la référence CERTFR-2019-ALE-006 (cf. section documentation).

On trouvera également la faille CVE-2019-0725 affectant elle le serveur DHCP de Windows et qui pourrait permettre l’exécution de code sur le serveur via l’envoi de paquets spécialement conçus.

Dans une seconde catégorie, neuf problèmes de sécurité menant à une élévation de privilèges reçoivent également un correctif ce mois.
Tous sont jugés comme importants mais on pourra cependant indiquer que la vulnérabilité CVE-2019-0863 a été rapportée comme étant exploitée dans le cadre d’attaques par Microsoft.
Les derniers correctifs pour le système Windows couvriront quatre failles importantes de divulgations d’informations ainsi qu’une autorisant un contournement d’une fonctionnalité de sécurité dans Windows Defender Application Control.

Produits Microsoft

Le cadriciel .NET reçoit cinq correctif de sécurité importants, tous pour des problèmes de déni de service.

Les autres produits Microsoft bénéficiant de correctifs ce mois totalisent vingt-deux mises à jour.

Cela comprend treize failles critiques d’exécution de code à distance concernant le moteur de script Chakra tel qu’évoqué dans la section Navigateurs de ce bulletin.
Les autres correctifs, tous importants, adressent dans deux cas des risques d’élévation de privilèges, pour deux autres un danger de contournement d’une fonctionnalité de sécurité et pour deux autres encore un risque d’usurpation d’identité. Les trois derniers correctifs fournis le sont pour un problème de divulgation d’informations, à l’instar de la CVE-2019-0932 affectant Skype pour Android et qui en outre avait été rendue publique avant la sortie du correctif mensuel de ce mois de mai 2019.

Recommandations

Le CERT-FR recommande l’application de ces correctifs de sécurité dès que possible.

Documentation

• Notes de publication Microsoft du 14 mai 2019
  https://portal.msrc.microsoft.com/fr-fr/security-guidance/releasenotedetail/e5989c8b-7046-e911-a98e-000d3a33a34d
• Guide des mises à jour de sécurité Microsoft
  https://portal.msrc.microsoft.com/fr-fr/security-guidance
• Publication de blogue de Microsoft sur la vulnérabilité CVE-2019-0708
  https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/
• Bulletin d’alerte CERT-FR CERTFR-2019-ALE-006
  https://cert.ssi.gouv.fr/alerte/CERTFR-2019-ALE-006/

Rappel des avis émis

Dans la période du 29 juillet au 04 août 2019, le CERT-FR a émis les publications suivantes :

• CERTFR-2019-AVI-361 : Multiples vulnérabilités dans le noyau Linux de Red Hat
• CERTFR-2019-AVI-362 : Vulnérabilité dans OpenSSL
• CERTFR-2019-AVI-363 : Multiples vulnérabilités dans Google Chrome
• CERTFR-2019-AVI-364 : Vulnérabilité dans Symantec Endpoint Protection
• CERTFR-2019-AVI-365 : Vulnérabilité dans Cisco Nexus
• CERTFR-2019-AVI-366 : Multiples vulnérabilités dans PHP
• CERTFR-2019-AVI-367 : Multiples vulnérabilités dans la pile TCP/IP IPnet
• CERTFR-2019-AVI-368 : Multiples vulnérabilités dans le noyau Linux d’Ubuntu