Patch Tuesday de juillet - Patch Tuesday Novembre 2018

50 vulnérabilités dont 8 classées critiques corrigées

Posted On 17 Jan 2020

Tag: janvier 2020, Patch Tuesday

Le Patch Tuesday de Janvier 2020 est costaud, c’est le moins que l’on puisse dire. Parmi ces dernières, une concerne les navigateurs et les moteurs de script, 3 portent sur l’infrastructure .NET et une affecte ASP.NET. En outre, Microsoft a corrigé 3 exécutions de code à distance critiques dans la passerelle Bureau à distance et le client Bureau à distance. Quant à Adobe, l’éditeur a publié des correctifs pour Illustrator CC et Experience Manager.

Usurpation du mécanisme de sécurité CryptoAPI

Une vulnérabilité par usurpation (CVE-2020-0601) a été corrigée dans la bibliothèque cryptographique CryptoAPI (Crypt32.dll) de Windows. Un attaquant peut en effet lancer des attaques de type Man-in-the-Middle et déchiffrer des données confidentielles concernant les connexions des utilisateurs vers le logiciel ciblé à l’aide d’un certificat de signature de code usurpé. Même si Microsoft a classé cette vulnérabilité comme importante, la NSA en a directement informé Microsoft en précisant que la faille devait être corrigée en priorité sur tous les systèmes. La NSA recommande d’installer le correctif dès que possible pour atténuer efficacement la vulnérabilité sur tous les systèmes Windows 10 et Windows Server 2016/2019.

Correctifs pour postes de travail

Le déploiement de patches pour les moteurs de script, les navigateurs et l’Infrastructure .NET est une priorité pour les équipements de type poste de travail, c’est-à-dire tout système utilisé pour accéder à la messagerie ou à Internet depuis un navigateur. Sont également concernés les serveurs multi-utilisateurs faisant office de postes de travail distants.

Exécution de code RCE sur le client Bureau à distance

Une vulnérabilité par exécution de code à distance (CVE-2020-0611) a été corrigée sur le client Bureau à distance. Pour que cette vulnérabilité puisse être exploitée, l’utilisateur ciblé doit se connecter à un serveur Bureau à distance malveillant.

RCE sur la passerelle Bureau à distance

Deux vulnérabilités avec exécution de code à distance (CVE-2020-0610 et CVE-2020-0609) ont été corrigées dans la passerelle Bureau à distance. Elle permettait à un attaquant d’envoyer une requête créée exprès de toutes pièces à la passerelle Bureau à distance des systèmes ciblés, le tout via le protocole RDP. Ces patchs doivent être déployés en priorité sur tous les systèmes utilisant la passerelle Bureau à distance.

Adobe

Ce mois-ci, peu de publications d’Adobe. L’éditeur a corrigé une vulnérabilité critique dans Illustrator CC et dont le correctif doit être déployé en priorité sur tous les systèmes de type poste de travail. Adobe a également corrigé des vulnérabilités de divulgation d’information dont trois étaient classées comme importantes et une considérée comme modérée dans Experience Manager. La correction des vulnérabilités critiques est une priorité pour tous les équipements.

A noter aussi cette faille Windows 10 corrigée après une alerte de la NSA, la National Security Agency. (Par Animesh Jain dans The Laws of Vulnerabilities)

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.