Une bonne cuvée de patchs pour ce mois de juillet 2020 du côté de Microsoft. Pour son Patch Tuesday, 123 correctifs ont été proposés par la firme de Redmond, marquant un 5e mois consécutif à plus de 110 CVE comblées, dont 18 classées critiques. De nombreux services et applications sont concernés, à savoir Windows, Edge, ChakraCore, Internet Explorer, Office Services et Web Apps, Windows Defender, Skype for Business, Visual Studio, .NET Framework, OneDrive, Azure DevOp et Open Source Software. Aucune faille patchée par Microsoft n'est actuellement exploitée, ce qui constitue en soi une bonne nouvelle. Pour autant, l'une des CVE corrigée attire particulièrement l'attention et nécessite la réactivité des équipes informatiques et sécurité. Il s'agit de la CVE-2020-1350 qui permet l'exécution de code distant malveillant dans Windows DNS Server.

« Ce correctif corrige un bogue évalué CVSS 10 dans le service Windows DNS Server qui pouvait permettre l'exécution de code non authentifié au niveau du compte système local si un système affecté recevait une requête spécifique », expliquent les chercheurs de la Zero Day Initiative. Toutes les versions de Windows sont concernées. L'un des principaux problèmes liée à cette faille consiste à s'en servir pour répandre un ver à travers les machines infectées sans intervention humaine. Un débordement de mémoire tampon déclenché par une requête DNS malveillante peut ainsi permettre à un pirate de prendre le contrôle d'un système et réaliser différentes actions (interception et manipulation d'e-mails, collecte d'informations d'identification...). 

Du code malveillant exécuté par simple visualisation d'un courriel piégé

Outre cette faille DNS Server, le Patch Tuesday de juillet 2020 comble la CVE-2020-1025 présentant un risque d'élévation de privilèges dans Office (Sharepoint et Skype for Business), ou encore la  CVE-2020-1349 concernant Outlook. « Ce correctif corrige un bogue dans Outlook qui pouvait permettre à un attaquant d'exécuter du code au niveau de l'utilisateur connecté s'il ouvrait ou visualisait un courrier électronique spécifiquement piégé. Ce qui distingue cette vulnérabilité, c'est le fait que la simple visualisation du courrier électronique dans le volet de visualisation suffit pour déclencher le bogue », explique la Zero Day Initiative.