Le Patch Tuesday de Microsoft célèbre cette année son vingtième anniversaire. En soulignant que plus de 1,4 milliard d'appareils Windows sont actuellement actifs par mois, Microsoft rappelle les principes fondateurs de ce rendez-vous pour la sécurité.
Ayant lieu le deuxième mardi de chaque mois de manière à être prévisible, il se veut simple dans le déploiement et l'application des correctifs de sécurité, indépendamment des compétences techniques. Le Patch Tuesday doit fournir rapidement des mises à jour à tous les utilisateurs de Windows, sans compromettre la qualité ou la compatibilité, et avec de la transparence en matière d'information.
Voilà pour la théorie… qui a pu connaître quelques couacs par le passé avec des patchs frelatés. Dans la pratique, c'est l'heure du Patch Tuesday du mois de novembre 2023 qui apporte des corrections pour une soixantaine de vulnérabilités de sécurité.
Trois vulnérabilités 0-day
Avant la disponibilité d'un correctif, les vulnérabilités CVE-2023-36025, CVE-2023-36033 et CVE-2023-36036 faisaient déjà l'objet d'une exploitation active dans des attaques.
CVE-2023-36025 permet de prendre à défaut la fonctionnalité de sécurité Windows SmartScreen. Elle sert à la détection et au blocage de sites web et fichiers malveillants. Selon Microsoft, un attaquant peut contourner les contrôles Windows Defender SmartScreen et les invites qui y sont associées, en incitant par exemple l'utilisateur à cliquer sur un lien piégé vers un fichier de raccourci.
Les vulnérabilités CVE-2023-36033 et CVE-2023-36036 concernent respectivement DWM Core Library (en référence au gestionnaire de fenêtre Desktop Windows Manager) et Windows Cloud Files Mini Filter Driver (gestion des opérations de fichiers stockés dans le cloud).
Deux divulgations publiques
Hormis les trois failles 0-day, deux vulnérabilités CVE-2023-36038 et CVE-2023-36413 ont eu droit à une divulgation publique avant le Patch Tuesday, sans toutefois de signalement d'une exploitation active pour le moment.
Elles touchent ASP.NET Core pour un déni de service et Microsoft Office pour le contournement d'une fonctionnalité de sécurité, comme c'est le cas avec CVE-2023-36025. En l'occurrence, c'est le mode protégé d'Office lors de l'ouverture d'un fichier reçu via le Web.