Patch Tuesday du mois de septembre
Nous sommes au ¾ de l’année et nous avons passé le seuil des 100 bulletins avec les 12 nouveaux de la rentrée. Préparons-nous désormais à plus de 145 bulletins d’ici fin 2015, c’est-à-dire un peu plus que notre projection de mai dernier qui tablait 140 bulletins pour cette année.
Cette augmentation est en partie due aux nouveaux produits, et notamment le bulletin MS15-095 consacré au navigateur Microsoft Edge qui résout quatre vulnérabilités critiques qui n’existaient pas avant le lancement de Windows 10. Mais la véritable raison de l’envolée du nombre de bulletins est probablement l’attention toujours plus importante accordée à la sécurité informatique. À tel point que les problèmes de sécurité IT motivent légitimement de plus en plus de personnes à choisir un métier dans ce domaine. Les récentes failles de données chez OPM, Target et Ashley Madison ont démontré que les vulnérabilités et leur résolution plutôt lente pouvaient avoir un impact au delà du coût financier.
Ce mois-ci, la première place revient au bulletin MS15-097 dédié à Windows GDI+. Ce bulletin est classé comme critique pour Windows Vista et Server 2008, pour Microsoft Office 2007 et 2010 ainsi que pour Lync 2007, 2010 et 2013. De plus, l’une des vulnérabilités seulement classée comme importante dans ce bulletin est victime d’attaques non ciblées. La vulnérabilité CVE-2015-2546 facilite en effet une escalade de privilèges une fois présente sur la machine ciblée, ce qui permet à l’attaquant de devenir administrateur de cette dernière. CVE-2015-2546 affecte toutes les versions de Windows dont Windows 10.
Notre deuxième priorité concerne MS15-094, la mise à jour pour Internet Explorer. Ce bulletin résout 17 vulnérabilités dont 14 considérées comme critiques car permettant à un pirate de prendre le contrôle de votre navigateur et d’exécuter du code sur votre machine, tout simplement par le truchement d’une page Web. À base d’exécution de code à distance (RCE) et prisées par de nombreux groupes de pirates, ces vulnérabilités sont un vecteur majeur d’infections de masse. Ces attaquants sont « opportunistes » car ils ne choisissent pas spécifiquement leurs cibles mais infectent autant de machines que possible. Jetez un œil au schéma de Brian Krebs pour savoir comment faire de l’argent en attaquant une machine et vous comprendrez mieux l’impact de ce type d’attaque (cf Shema en PJ)
Plus spécifiquement, les prises d’otage de données (en bas à droite du schéma) ont augmenté ces deux derniers mois avec de nouvelles variantes qui apparaissent régulièrement.
Le bulletin MS15-095 corrige le navigateur Microsoft Edge et si vous utilisez déjà Windows 10 il s’agit d’un patch important à appliquer. Ce dernier résout quatre vulnérabilités critiques, toutes déjà présentes dans l’« ancien » navigateur Internet Explorer.
Quatre autres vulnérabilités pour Microsoft Office et Excel sont résolues dans le bulletin critique MS15-099. En effet, toutes autorisent l’exécution de code à distance lors de l’ouverture d’un fichier malveillant. Pour ce faire, l’attaquant incite un utilisateur à ouvrir ce type de fichier non sans les avoir au préalable maquillés sous forme de contenu inoffensif et intéressant, qu’il s’agisse d’un CV suite à une offre d’emploi publiée sur votre site, d’un article sur un sujet qui vous intéresse, d’un abonnement gratuit ou encore d’avantages réservés à certains de vos collaborateurs. Un récent rapport d’incidents publié par Bitstamp fournit des détails intéressants sur le niveau de personnalisation et de détails de ces attaques.
Côté serveur, le bulletin MS15-103 résout trois vulnérabilités dans Exchange Server (toutes au niveau d’Outlook Web Access) tandis que le bulletin MS15-096 traite un état de déni DoS dans Active Directory. Ces vulnérabilités seront résolues dans le cadre de votre calendrier normal de déploiement de patches si vous exécutez ces services.
Les bulletins MS15-100, MS15-101et MS15-102 résolvent des vulnérabilités dans Windows Media Center, .NET et Windows Task Manager. Elles sont toutes classées comme importantes car elles ne peuvent être exploitées que si l’attaquant est déjà installé sur la machine. Là encore, votre programme de patches standard devrait vous permettre d’éradiquer ces vulnérabilités.
Concernant Adobe, aucune mise à jour de Flash ce mois-ci, sauf pour Shockwave (APSB15-22). C’est bien la première fois depuis octobre 2013, peut-être grâce aux modifications apportées à Flash qui rendent son exploitation plus difficile et à un partitionnement qui évite le débordement mémoire. (Analyse et commentaires – Publiés par Wolfgang Kandek, CTO de Qualys dans The Laws of Vulnerabilities)