Patch Tuesday du mois de septembre

Nous sommes au ¾ de l’année et nous avons passé le seuil des 100 bulletins avec les 12 nouveaux de la rentrée. Préparons-nous désormais à plus de 145 bulletins d’ici fin 2015, c’est-à-dire un peu plus que notre projection de mai dernier qui tablait 140 bulletins pour cette année.

Cette augmentation est en partie due aux nouveaux produits, et notamment le bulletin MS15-095 consacré au navigateur Microsoft Edge qui résout quatre vulnérabilités critiques qui n’existaient pas avant le lancement de Windows 10. Mais la véritable raison de l’envolée du nombre de bulletins est probablement l’attention toujours plus importante accordée à la sécurité informatique. À tel point que les problèmes de sécurité IT motivent légitimement de plus en plus de personnes à choisir un métier dans ce domaine. Les récentes failles de données chez OPM, Target et Ashley Madison ont démontré que les vulnérabilités et leur résolution plutôt lente pouvaient avoir un impact au delà du coût financier.

Ce mois-ci, la première place revient au bulletin MS15-097 dédié à Windows GDI+. Ce bulletin est classé comme critique pour Windows Vista et Server 2008, pour Microsoft Office 2007 et 2010 ainsi que pour Lync 2007, 2010 et 2013. De plus, l’une des vulnérabilités seulement classée comme importante dans ce bulletin est victime d’attaques non ciblées. La vulnérabilité CVE-2015-2546 facilite en effet une escalade de privilèges une fois présente sur la machine ciblée, ce qui permet à l’attaquant de devenir administrateur de cette dernière. CVE-2015-2546 affecte toutes les versions de Windows dont Windows 10.

Notre deuxième priorité concerne MS15-094, la mise à jour pour Internet Explorer. Ce bulletin résout 17 vulnérabilités dont 14 considérées comme critiques car permettant à un pirate de prendre le contrôle de votre navigateur et d’exécuter du code sur votre machine, tout simplement par le truchement d’une page Web. À base d’exécution de code à distance (RCE) et prisées par de nombreux groupes de pirates, ces vulnérabilités sont un vecteur majeur d’infections de masse. Ces attaquants sont « opportunistes » car ils ne choisissent pas spécifiquement leurs cibles mais infectent autant de machines que possible. Jetez un œil au schéma de Brian Krebs pour savoir comment faire de l’argent en attaquant une machine et vous comprendrez mieux l’impact de ce type d’attaque (cf Shema en PJ)

 Plus spécifiquement, les prises d’otage de données (en bas à droite du schéma) ont augmenté ces deux derniers mois avec de nouvelles variantes qui apparaissent régulièrement.

Le bulletin MS15-095 corrige le navigateur Microsoft Edge et si vous utilisez déjà Windows 10 il s’agit d’un patch important à appliquer. Ce dernier résout quatre vulnérabilités critiques, toutes déjà présentes dans l’« ancien » navigateur Internet Explorer.

Quatre autres vulnérabilités pour Microsoft Office et Excel sont résolues dans le bulletin critique MS15-099. En effet, toutes autorisent l’exécution de code à distance lors de l’ouverture d’un fichier malveillant. Pour ce faire, l’attaquant incite un utilisateur à ouvrir ce type de fichier non sans les avoir au préalable maquillés sous forme de contenu inoffensif et intéressant, qu’il s’agisse d’un CV suite à une offre d’emploi publiée sur votre site, d’un article sur un sujet qui vous intéresse, d’un abonnement gratuit ou encore d’avantages réservés à certains de vos collaborateurs. Un récent rapport d’incidents publié par Bitstamp fournit des détails intéressants sur le niveau de personnalisation et de détails de ces attaques.

Côté serveur, le bulletin MS15-103 résout trois vulnérabilités dans Exchange Server (toutes au niveau d’Outlook Web Access) tandis que le bulletin MS15-096 traite un état de déni DoS dans Active Directory. Ces vulnérabilités seront résolues dans le cadre de votre calendrier normal de déploiement de patches si vous exécutez ces services.

Les bulletins MS15-100, MS15-101et MS15-102 résolvent des vulnérabilités dans Windows Media Center, .NET et Windows Task Manager. Elles sont toutes classées comme importantes car elles ne peuvent être exploitées que si l’attaquant est déjà installé sur la machine. Là encore, votre programme de patches standard devrait vous permettre d’éradiquer ces vulnérabilités.

Concernant Adobe, aucune mise à jour de Flash ce mois-ci, sauf pour Shockwave (APSB15-22). C’est bien la première fois depuis octobre 2013, peut-être grâce aux modifications apportées à Flash qui rendent son exploitation plus difficile et à un partitionnement qui évite le débordement mémoire. (Analyse et commentaires – Publiés par Wolfgang Kandek, CTO de Qualys dans The Laws of Vulnerabilities)

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.