...

Un nouveau Patch Tuesday copieux pour Microsoft et c’est même un record mensuel historique en raison d’un large spectre. Il est encore question de SMB.

Microsoft poursuit sa série 2019 de Patch Tuesday volumineux à plus d’une centaine de vulnérabilités de sécurité. Après 111 en mai, 113 en avril et 115 en mars (99 en février), c’est un total record de 129 failles comblées pour ce mois de juin.
Il faut dire que les corrections ratissent large, allant des traditionnels Windows, navigateurs web, Office, en passant par Windows Defender, HoloLens ou encore les applications Microsoft pour Android. En l’occurrence, il s’agit pour ce dernier cas de Microsoft Word pour Android.

Sur les 129 bugs de sécurité corrigés, 11 sont critiques dont plusieurs pour le moteur VBScript qui sont les plus susceptibles de voir apparaître une exploitation (elle est dite ” plus probable ” par un attaquant), même si cela concerne Internet Explorer.

La bonne nouvelle est justement que pour l’ensemble des vulnérabilités (critiques ou non), Microsoft ne fait pas état d’une quelconque divulgation publique ou exploitation active. Pas de 0day donc qui fait référence à des vulnérabilités activement exploitées dans des attaques alors qu’il n’y avait pas de correctifs disponibles.

Microsoft
Un correctif apporté est pour une vulnérabilité (non critique) d’exécution de code à distance dans SMBv1 (la technologie de partage de fichiers réseau) intégré dans Windows 7 pour lequel le support a pris fin en janvier. SMBv3 est également de la partie pour Windows 10 (y compris la version 2004), mais pas pour des vulnérabilités d’exécution de code à distance.

Évidemment, cela fait penser à SMBGhost avec la récente apparition d’un code de preuve de concept fonctionnel pour une exploitation de cette vulnérabilité disposant d’un correctif depuis mars (une période avant le confinement qui a pu avoir un impact sur l’application des mises à jour). Néanmoins, les choses sont différentes dans la mesure où SMBGhost ne nécessite pas qu’un attaquant soit authentifié sur le réseau pris pour cible.