Le 14 avril, 2ème mardi du mois, Microsoft a livré une mise à jour de sécurité à peu près équivalente à celle du mois dernier en termes de failles corrigées, 113 contre 115 en mars, en intervenant sur 19 vulnérabilités critiques (contre 26 en mars) et 94 notées importantes. La livraison inclut les correctifs pour trois vulnérabilités zero-day qui sont déjà exploitées, CVE-2020-1020, CVE-2020-0938 et CVE-2020-1027, les deux premières étant jugées critiques ou importantes selon les versions de Windows, tandis que la sévérité de la 3ème est importante. Même si le niveau critique n’est pas déclaré pour cette dernière, l’application des patches est prioritaire pour ces trois failles sur les terminaux Windows, pointe le spécialiste en sécurité Qualys sur son blog. La vulnérabilité CVE-2020-1027 concerne un risque d’élévation de privilèges dans la façon dont le noyau Windows manipule les objets dans la mémoire, explique Microsoft. En cas d'exploitation par un attaquant, authentifié localement en utilisant une application conçue à cet effet, elle permettrait d’exécuter du code avec des permissions élevées. Le correctif est prioritaire sur tous les terminaux Windows, estime Jimmy Graham de Qualys. 

Les deux autres failles zero-day, CVE-2020-1020 et CVE-2020-0938, ont été annoncées en mars. Ces vulnérabilités d’exécution de code à distance apparaissent dans Windows lorsque la bibliothèque Adobe Type Manager gère de façon impropre une police Adobe Type 1 PostScript multi-maître spécialement développée dans ce but. Du code pourrait alors être exécuté à distance. A part Windows 10, toutes les versions de l’OS de Microsoft sont concernées. Dans Windows 10, le risque est partiellement réduit mais un attaquant pourrait néanmoins exécuter du code dans un contexte de sandbox AppContainer avec des privilèges et des capacités limités, explique Microsoft. Il pourrait installer des programmes, voir, changer ou supprimer des données, ou bien créer de nouveaux comptes avec des droits utilisateurs complets. De nombreux moyens peuvent être utilisés pour exploiter ces failles. L’attaquant pourrait par exemple tenter de convaincre l’utilisateur d’ouvrir un document malveillant ou de l’afficher en prévisualisation. Même si le risque est moindre pour Windows 10, ces patches doivent être installés en priorité sur tous les postes de travail sous Windows.

Hyper-V, SharePoint et Dynamics BC/NAV à corriger vite

Hyper-V, le système de virtualisation de Microsoft, figure parmi les autres logiciels à corriger ce mois-ci. Une faille d’exécution de code à distance, CVE-2020-0910, permettrait à un utilisateur authentifié sur un système invité d’exécuter du code arbitraire sur le système hôte. Même si c’est peu probable selon Microsoft, ce patch est également prioritaire. Par ailleurs, la solution de partage de documents SharePoint compte cinq vulnérabilités à corriger, quatre sont exécutables à distance, CVE-2020-0929, CVE-2020-0931, CVE-2020-0932, CVE-2020-0974, la 5ème est une faille de type XSS (cross-site scripting), CVE-2020-0927, qui se présente lorsque SharePoint Server n’intervient pas correctement sur des requêtes spécifiquement développées, ce qui pourrait conduire à l’injection de contenus malveillants dans le navigateur web de l’utilisateur.  

L’ERP pour PME, Dynamics Business Central, est également concerné par les mises à jour, avec une faille d’exécution de code à distance, CVE-2020-1022, permettant de lancer des commandes noyau arbitraire sur le serveur de la victime. Pour l’exploiter, l’attaquant doit convaincre cette dernière de se connecter sur un client Dynamics Business Central malveillant ou élever la permission d’accès au système. Quoique jugée peu exploitable par Microsoft, Qualys estime que sa correction est prioritaire sur tous les systèmes Dynamics BC/NAV car les cibles sont des serveurs sensibles pour leurs utilisateurs. 

Des correctifs pour Edge, IE, Visual Studio, Apps...

Outre Windows et les logiciels déjà cités, plusieurs versions d’Office (incluant Word, Excel, Visio, Publisher, Access), Office Services, Web Apps et Project sont concernés par ce Patch Tuesday, de même que les navigateurs web Edge (sur EdgeHTML et sur Chromium) et Internet Explorer et le moteur ChakraCore, mais aussi Windows Defender, Visual Studio, ainsi que Apps pour Mac et Android. 

Du côté des correctifs Adobe livrés, ceux-ci s’appliquent notamment aux logiciels ColdFusion, After Effects et Digital Editions pour des failles jugées importantes.