{"id":20845,"date":"2023-07-13T08:50:13","date_gmt":"2023-07-13T06:50:13","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=20845"},"modified":"2023-07-18T08:51:54","modified_gmt":"2023-07-18T06:51:54","slug":"microsoft-patch-tuesday-july-2023","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/microsoft-patch-tuesday-july-2023\/20845\/","title":{"rendered":"Une solution de fortune : Microsoft corrige \u00e0 nouveau Internet Explorer"},"content":{"rendered":"

Les correctifs effectu\u00e9s par Microsoft en juillet sont assez surprenants. Tout d\u2019abord, parce qu\u2019ils semblent corriger un programme th\u00e9oriquement mort, Internet Explorer. Ensuite, parce que pas moins de six des vuln\u00e9rabilit\u00e9s sont activement exploit\u00e9es par les cybercriminels. Enfin, deux de ces six vuln\u00e9rabilit\u00e9s n\u2019ont pas \u00e9t\u00e9 r\u00e9solues via un correctif mais \u00e0 partir de conseils<\/em>.<\/p>\n

Au total, 132 failles ont \u00e9t\u00e9 corrig\u00e9es, dont neuf critiques. Les vuln\u00e9rabilit\u00e9s peuvent \u00eatre exploit\u00e9es de diverses fa\u00e7ons\u00a0: 37 permettent l\u2019ex\u00e9cution d\u2019un code arbitraire, 33 sont li\u00e9es \u00e0 l\u2019\u00e9l\u00e9vation de privil\u00e8ges, 13 contournent des fonctions de s\u00e9curit\u00e9 et 22 pourraient provoquer un d\u00e9ni de service.<\/p>\n

Pourquoi corriger Internet Explorer ?<\/h2>\n

Nous avons r\u00e9cemment publi\u00e9<\/a> un article pour vous annoncer qu\u2019Internet Explorer avait rendu l\u2019\u00e2me, ou presque. Nous avons notamment parl\u00e9 du fait que Microsoft conseille d\u2019installer encore les mises \u00e0 jour de s\u00e9curit\u00e9 li\u00e9es \u00e0 Internet Explorer puisque la plupart des composants se trouvent encore dans le syst\u00e8me. Aujourd\u2019hui, nous comprenons mieux pourquoi l\u2019entreprise disait \u00e7a. Le patch de juillet corrige trois vuln\u00e9rabilit\u00e9s qui se trouvent dans MSHTML, le moteur qui se trouve dans le l\u00e9gendaire navigateur. Les descriptions de la CVE de Microsoft indiquent ce qui suit\u00a0:<\/p>\n

Alors que Microsoft a annonc\u00e9 le retrait de l\u2019application Internet Explorer 11 sur certaines plateformes et l\u2019obsolescence de l\u2019application Microsoft Edge Legacy, les plateformes MSHTML, EdgeHTML et de script sous-jacentes sont encore support\u00e9es. Le mode Internet Explorer utilise la plateforme MSHTML dans Microsoft Edge et dans d\u2019autres applications via le contr\u00f4le WebBrowser. WebView et d\u2019autres applications UWP utilisent la plateforme EdgeHTML. MSHTML, EdgeHTML et d\u2019autres applications existantes utilisent les plateformes de script. Les mises \u00e0 jour qui corrigent les vuln\u00e9rabilit\u00e9s qui se trouvent dans la plateforme MSHTML et dans le moteur du script sont inclues dans les mises \u00e0 jour de s\u00e9curit\u00e9 cumulatives pour les syst\u00e8mes Internet Explorer. Les changements relatifs \u00e0 EdgeHTML et Chakra ne s\u2019appliquent pas \u00e0 ces plateformes.<\/p>\n

Pour \u00eatre pleinement prot\u00e9g\u00e9s, nous conseillons aux utilisateurs qui n\u2019installent que les mises \u00e0 jour de s\u00e9curit\u00e9 d\u2019installer aussi les mises \u00e0 jour de s\u00e9curit\u00e9 cumulatives.<\/p><\/blockquote>\n

\u00a0<\/p>\n

Parmi les vuln\u00e9rabilit\u00e9s r\u00e9cemment d\u00e9couvertes dans Internet Explorer, la faille CVE-2023-32046<\/a> est la plus dangereuse, notamment parce qu\u2019elle est utilis\u00e9e pour lancer de r\u00e9elles attaques. Si les cybercriminels exploitent bien cette faille, ils peuvent \u00e9lever les privil\u00e8ges et avoir les m\u00eames que la victime. Les sc\u00e9narios d\u2019attaque impliquent la cr\u00e9ation d\u2019un fichier malveillant qui est envoy\u00e9 par e-mail \u00e0 la victime ou qui est h\u00e9berg\u00e9 sur un site compromis. Ensuite, les cybercriminels n\u2019ont qu\u2019\u00e0 convaincre la victime de cliquer sur le lien et d\u2019ouvrir le fichier.<\/p>\n

Les deux autres vuln\u00e9rabilit\u00e9s, CVE-2023-35308<\/a> et CVE-2023-35336<\/a>, peuvent \u00eatre utilis\u00e9es pour contourner des fonctions de s\u00e9curit\u00e9. Gr\u00e2ce \u00e0 la premi\u00e8re, le cybercriminel peut cr\u00e9er un fichier qui contourne le m\u00e9canisme Mark-of-the-Web pour que le fichier puisse \u00eatre ouvert par les applications Microsoft Office sans utiliser le mode prot\u00e9g\u00e9. Les deux failles peuvent \u00eatre exploit\u00e9es pour leurrer la victime et la convaincre d\u2019acc\u00e9der \u00e0 l\u2019URL d\u2019une zone de s\u00e9curit\u00e9 Internet moins restrictive que pr\u00e9vue.<\/p>\n

Des conseils au lieu d\u2019un correctif<\/h2>\n

Les deux vuln\u00e9rabilit\u00e9s sont activement exploit\u00e9es mais, au lieu de correctifs complets, les utilisateurs n\u2019ont re\u00e7u que quelques conseils<\/em> de s\u00e9curit\u00e9.<\/p>\n

La premi\u00e8re, CVE-2023-36884<\/a> (avec un score CVSS de 8,3) est exploit\u00e9e lors des attaques Storm-0978\/RomCom<\/a> qui ciblent Office et Windows. Pour vous prot\u00e9ger, Microsoft conseille d\u2019ajouter tous les fichiers Office ex\u00e9cutables \u00e0 la liste FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION.<\/p>\n

Le second probl\u00e8me non-r\u00e9solu est li\u00e9 \u00e0 la signature des pilotes au niveau du noyau. Cette vuln\u00e9rabilit\u00e9 n\u2019a pas de score CVE et ne poss\u00e8de qu\u2019un guide avec des conseils (ADV-23001<\/a>). M\u00eame si Microsoft a r\u00e9voqu\u00e9 tout un ensemble de certificats de d\u00e9veloppeurs utilis\u00e9s lors d\u2019attaques APT<\/a> et a bloqu\u00e9 plusieurs pilotes malveillants, l\u2019origine du probl\u00e8me persiste. Les cybercriminels arrivent \u00e0 signer les pilotes avec des certificats Microsoft, ou \u00e0 les signer \u00e0 une date ant\u00e9rieure pour qu\u2019ils fonctionnent comme une exception et n\u2019aient pas besoin de la signature du d\u00e9veloppeur du portail de MS.<\/p>\n

Comme contre-mesure, Microsoft conseille d\u2019avoir Windows et EDR \u00e0 jour. La seule consolation est que le cybercriminel doit avoir des privil\u00e8ges d\u2019administrateur pour pouvoir exploiter les pilotes.<\/p>\n

Les autres vuln\u00e9rabilit\u00e9s exploit\u00e9es<\/h2>\n

En plus des vuln\u00e9rabilit\u00e9s mentionn\u00e9es ci-dessus, nous trouvons trois autres failles de s\u00e9curit\u00e9 exploit\u00e9es par les cybercriminels.<\/p>\n