ZATAZ Magazine » Patch Tuesday du mois de septembre

zataz.com
ZATAZ Magazine » Patch Tuesday du mois
de septembre
By : Damien Bancal
Nous sommes au ¾ de l’année et nous avons passé le seuil des 100 bulletins avec les 12
nouveaux de la rentrée. Préparons-nous désormais à plus de 145 bulletins d’ici fin 2015,
c’est-à-dire un peu plus que notre projection de mai dernier qui tablait 140 bulletins
pour cette année.
Cette augmentation est en partie due aux nouveaux produits, et notamment le bulletin MS15095 consacré au navigateur Microsoft Edge qui résout quatre vulnérabilités critiques qui
n’existaient pas avant le lancement de Windows 10. Mais la véritable raison de l’envolée du
nombre de bulletins est probablement l’attention toujours plus importante accordée à la
sécurité informatique. À tel point que les problèmes de sécurité IT motivent légitimement de
plus en plus de personnes à choisir un métier dans ce domaine. Les récentes failles de données
chez OPM, Target et Ashley Madison ont démontré que les vulnérabilités et leur résolution
plutôt lente pouvaient avoir un impact au delà du coût financier.
Ce mois-ci, la première place revient au bulletin MS15-097 dédié à Windows GDI+. Ce
bulletin est classé comme critique pour Windows Vista et Server 2008, pour Microsoft Office
2007 et 2010 ainsi que pour Lync 2007, 2010 et 2013. De plus, l’une des vulnérabilités
seulement classée comme importante dans ce bulletin est victime d’attaques non ciblées. La
vulnérabilité CVE-2015-2546 facilite en effet une escalade de privilèges une fois présente sur
la machine ciblée, ce qui permet à l’attaquant de devenir administrateur de cette dernière.
CVE-2015-2546 affecte toutes les versions de Windows dont Windows 10.
Notre deuxième priorité concerne MS15-094, la mise à jour pour Internet Explorer. Ce
bulletin résout 17 vulnérabilités dont 14 considérées comme critiques car permettant à un
pirate de prendre le contrôle de votre navigateur et d’exécuter du code sur votre machine, tout
simplement par le truchement d’une page Web. À base d’exécution de code à distance (RCE)
et prisées par de nombreux groupes de pirates, ces vulnérabilités sont un vecteur majeur
d’infections de masse. Ces attaquants sont « opportunistes » car ils ne choisissent pas
spécifiquement leurs cibles mais infectent autant de machines que possible. Jetez un œil au
schéma de Brian Krebs pour savoir comment faire de l’argent en attaquant une machine et
vous comprendrez mieux l’impact de ce type d’attaque (cf Shema en PJ)
Plus spécifiquement, les prises d’otage de données (en bas à droite du schéma) ont augmenté
ces deux derniers mois avec de nouvelles variantes qui apparaissent régulièrement.
Le bulletin MS15-095 corrige le navigateur Microsoft Edge et si vous utilisez déjà
Windows 10 il s’agit d’un patch important à appliquer. Ce dernier résout quatre vulnérabilités
critiques, toutes déjà présentes dans l’« ancien » navigateur Internet Explorer.
Quatre autres vulnérabilités pour Microsoft Office et Excel sont résolues dans le bulletin
critique MS15-099. En effet, toutes autorisent l’exécution de code à distance lors de
l’ouverture d’un fichier malveillant. Pour ce faire, l’attaquant incite un utilisateur à ouvrir ce
type de fichier non sans les avoir au préalable maquillés sous forme de contenu inoffensif et
intéressant, qu’il s’agisse d’un CV suite à une offre d’emploi publiée sur votre site, d’un
article sur un sujet qui vous intéresse, d’un abonnement gratuit ou encore d’avantages
réservés à certains de vos collaborateurs. Un récent rapport d’incidents publié par Bitstamp
fournit des détails intéressants sur le niveau de personnalisation et de détails de ces attaques.
Côté serveur, le bulletin MS15-103 résout trois vulnérabilités dans Exchange Server (toutes
au niveau d’Outlook Web Access) tandis que le bulletin MS15-096 traite un état de déni DoS
dans Active Directory. Ces vulnérabilités seront résolues dans le cadre de votre calendrier
normal de déploiement de patches si vous exécutez ces services.
Les bulletins MS15-100, MS15-101et MS15-102 résolvent des vulnérabilités dans Windows
Media Center, .NET et Windows Task Manager. Elles sont toutes classées comme
importantes car elles ne peuvent être exploitées que si l’attaquant est déjà installé sur la
machine. Là encore, votre programme de patches standard devrait vous permettre d’éradiquer
ces vulnérabilités.
Concernant Adobe, aucune mise à jour de Flash ce mois-ci, sauf pour Shockwave (APSB1522). C’est bien la première fois depuis octobre 2013, peut-être grâce aux modifications
apportées à Flash qui rendent son exploitation plus difficile et à un partitionnement qui évite
le débordement mémoire. (Analyse et commentaires – Publiés par Wolfgang Kandek, CTO de
Qualys dans The Laws of Vulnerabilities)