Pas de répit pour les administrateurs systèmes avec le Patch Tuesday délivré par Microsoft. L’édition d’avril compte une centaine de correctifs (97 pour être exact) dont 7 sont classées comme critiques. Mais une faille intéresse plus particulièrement la firme de Redmond, il s’agit de la CVE-2023-28252. La vulnérabilité de type zero day touche le pilote Windows Common Log System File System (CLFS), un composant central de l’OS.

Les spécialistes auront le sentiment d’un goût de déjà-vu. « Si cela vous semble familier, c’est parce qu’une vulnérabilité similaire a été corrigée dans le même composant il y a tout juste deux mois », explique Dustin Childs, de la Trend Micro Zero Day Initiative. Et d’ajouter, « pour moi, cela signifie que le correctif original était insuffisant et que les attaquants ont trouvé une méthode pour contourner ce correctif. Comme en février, nous ne disposons d’aucune information sur l’ampleur des attaques. Ce type d’exploit est généralement associé à un bug d’exécution de code pour diffuser des malwares ou des ransomwares ».

Des groupes de ransomware déjà à la manoeuvre

Sur ce dernier point, Qualys estime que le groupe derrière le ransomware Nokoyawa se sert de cette faille zero day. Elle pourrait également être liée au ransomware Hive, assure l’éditeur. De son côté, Tenable constate que la CVE-2023-28252 est la deuxième faille zero day sur CLFS découverte par les équipes de Mandiant et DBAPP Security (l’autre est classée CVE-2022-37969).

Parmi les autres correctifs, les CVE-2023-28285, CVE-2023-28295, CVE-2023-28287 et CVE-2023-28311 sont à regarder avec attention. Il s’agit de failles aboutissant à de l’exécution de code à distance dans la suite Office, Word et Publisher. Elles peuvent être exploitées dans des campagnes de phishing pour distribuer des malwares. Attention aussi aux CVE-2023-28220 et CVE-2023-28219 qui affectent les serveurs d’accès à distance de Windows.