Microsoft a livré ce mardi sa mise à jour de sécurité pour le mois d’août (équivalent au patch Tuesday). Celle-ci corrige 27 failles dans Windows, Office, Internet Explorer et Edge, le navigateur web de Windows 10. Les correctifs sont associés à neuf bulletins de sécurité, cinq étant qualifiés de critiques et les autres d’importants. C’est donc un des patches mensuels les plus légers de l’éditeur cette année. Tous les problèmes concernent les déploiements sur desktop, mais suivant leur configuration, des serveurs Windows peuvent aussi être affectés. « Par exemple, ceux qui font tourner Terminal Services fonctionnent à la fois comme des environnements desktop et serveur », pointe Tob Beardsley, responsable de la recherche en sécurité chez Rapid7. De façon générale, la plupart des administrateurs de serveurs Windows pourront mettre en place le patch tranquillement. Il s’agit néanmoins d’une mise à jour de sécurité classique qui donnera comme d’habitude du travail aux équipes IT, note dans son billet Amorl Sarwate, directeur de Vulnerability Labs chez Qualys.

Du côté desktop, les administrateurs devront privilégier la correction des vulnérabilités critiques d’Office et des navigateurs IE et Edge qui peuvent être exploitées à distance pour exécuter du code malveillant, à travers des pages web ou via des documents. Les bulletins correspondants sont référencés MS16-099 (Office), MS16-095 (IE) et MS16-096 (Edge). Un autre bulletin critique, MS16-097, concerne Windows, Office, Skype et Lync. Il porte sur les correctifs de trois vulnérabilités dans Windows Graphics Component. Celles-ci permettent aussi l’exécution de code à travers pages et documents.

Une faille critique permettant d'exploiter Windows PDF Library à distance

Parmi les priorités, il faut aussi placer le bulletin MS16-102 qui concerne une autre faille critique exploitable à distance dans la bibliothèque PDF (Windows PDF Library) qui est livrée avec Windows 8.1, Windows RT 8.1, Windows 10, Windows Server 2012 et Windows Server 2012 R2. Sur Windows 10, avec Edge, des attaquants peuvent exploiter la faille en plaçant un document PDF piégé sur un site web et en entraînant les utilisateurs à télécharger ce fichier dans leur navigateur. Sur d’autres systèmes, ils tromperont l’utilisateur en lui faisant télécharger et ouvrir le document localement, par exemple à travers la pièce jointe d’un email.

Bien que qualifié d’important et non de critique, le bulletin MS16-101 se démarque aussi parce qu’il porte sur deux failles dans les protocoles d’identification de Windows, Kerberos et NetLogon. Mais ces vulnérabilités requièrent que l’attaquant ait déjà pris le contrôle d’une machine du domaine ou qu’il se trouve dans une position de « man-in-the-middle » sur le réseau entre le domaine de l’ordinateur et le domaine de son contrôleur.

Contournement de Windows Secure Boot

Les bulletins MS16-100 et MS16-098, jugés importants, peuvent aussi retenir l’attention des pirates dans la mesure où ils concernent des failles qui peuvent leur permettre de faire progresser leurs attaques. Celle qui est décrite sous la référence MS16-100 leur permet de contourner la fonctionnalité Windows Secure Boot et de désactiver les contrôles d’intégrité de code. Cela permet le chargement d’exécutables et de pilotes dans le système d’exploitation, une technique qui peut être mise à profit pour le déploiement de logiciels malveillants au niveau du système.

Enfin, le bulletin MS16-098 concerne la correction de failles d’escalade de privilèges dans les pilotes de Windows en mode noyau. Ces vulnérabilités permettent à des attaquants qui ont compromis des comptes d’augmenter leurs privilèges pour prendre le contrôle complet des machines des utilisateurs. De telles failles sont couramment exploitées lorsqu’il s’agit de combiner ensemble différentes failles pour compromettre l’ensemble d’un système.