Le Patch Tuesday de Microsoft est déjà un classique, mais il prend de plus en plus d'importance. Les entreprises doivent donc toujours corriger les systèmes immédiatement. Deux vulnérabilités Zero Day actuelles ne sont pas jugées extrêmement élevées avec un score CVSSv3 de 6.2 et 7.8 respectivement, mais elles sont actuellement attaquées en raison de leur très grande diffusion.
Le Patch Tuesday de ce mois-ci comprend des correctifs pour 61 CVE, dont cinq sont classés critiques, 55 importants et un modéré. Microsoft a également corrigé deux vulnérabilités zero-day qui ont déjà été exploitées dans la nature. Satnam Narang, ingénieur de recherche senior chez Tenable, a commenté le Patch Tuesday de ce mois-ci..
La parole vaut toujours la peine d'être attaquée
CVE-2023-36761 est une vulnérabilité de fuite d'informations dans Microsoft Word classée Important avec un score CVSSv3 de 6.2. L'exploitation de cette vulnérabilité ne se limite pas à une victime d'attaque ouvrant un document Word malveillant. Le simple fait de prévisualiser le fichier peut déclencher l’exploitation de la vulnérabilité. L’exploitation permettrait la divulgation des hachages New Technology LAN Manager (NTLM). Il s’agit de la deuxième vulnérabilité Zero Day dans les produits Microsoft en 2023 qui a conduit à la divulgation de hachages NTLM. La première était CVE-2023-23397, une vulnérabilité dans Microsoft Outlook qui a été divulguée dans la version Patch Tuesday de mars.
CVSS 7.8 : Service de diffusion en continu Microsoft
CVE-2023-36802 est une vulnérabilité dans Microsoft Streaming Service Proxy qui a un score CVSSv3 de 7.8 et est classée comme importante. Il s’agit de la huitième vulnérabilité zero-day élevée exploitée à l’état sauvage en 2023. Les attaquants disposent d’innombrables moyens de s’introduire dans les entreprises. Le simple fait d’accéder à un système ne suffit pas toujours. Les vulnérabilités d’élévation de privilèges deviennent d’autant plus précieuses, en particulier dans les attaques zero-day.
Parmi les correctifs de 61 CVE, seuls cinq ont été classés comme critiques. Cependant, les lacunes critiques affectent de nombreux produits et modules Microsoft. Nous vous recommandons donc de jeter un œil à la liste de tous les correctifs mentionnés publiée par Microsoft.
Plus sur Microsoft.com
À propos de Microsoft Allemagne Microsoft Deutschland GmbH a été fondée en 1983 en tant que filiale allemande de Microsoft Corporation (Redmond, USA). Microsoft s'engage à donner à chaque personne et à chaque organisation de la planète les moyens d'en faire plus. Ce défi ne peut être relevé qu'ensemble, c'est pourquoi la diversité et l'inclusion sont solidement ancrées dans la culture d'entreprise depuis le tout début. En tant que premier fabricant mondial de solutions logicielles productives et de services modernes à l'ère du cloud intelligent et de la périphérie intelligente, ainsi qu'en tant que développeur de matériel innovant, Microsoft se considère comme un partenaire de ses clients afin de les aider à tirer parti de la transformation numérique. La sécurité et la confidentialité sont des priorités absolues lors du développement de solutions. En tant que plus grand contributeur au monde, Microsoft pilote la technologie open source via sa principale plateforme de développement, GitHub. Avec LinkedIn, le plus grand réseau de carrière, Microsoft promeut le réseautage professionnel dans le monde entier.