Patch Tuesday Novembre 2018

Posted On 22 Nov 2018

Patch Tuesday Novembre 2018 : 62 vulnérabilités, dont 12 classées critiques, corrigées par Microsoft.

Le Patch Tuesday du mois traite 62 vulnérabilités dont 12 classées critiques. Parmi elles, 8 concernent le moteur de script Chakra utilisé par Microsoft Edge. Une vulnérabilité entraînant une exécution de code à distance (RCE) sur le serveur TFTP qui exécute les services de déploiement Windows corrigée. En outre, Adobe résout trois vulnérabilités importantes, dont un exploit de type PoC pour Adobe Acrobat et Reader.

Correctifs pour les postes de travail

Les patches pour navigateurs et au moteur de script sont la priorité sur tous les systèmes bureautiques qui utilisent un navigateur pour accéder à la messagerie et à Internet. Également, les serveurs multi-utilisateurs faisant office de postes de travail distants. Parmi les 12 vulnérabilités critiques, 10 peuvent exploitées via des navigateurs ou en ouvrant des fichiers malveillants.

Code RCE sur le serveur TFTP exécutant les services de déploiement Windows (WDS)

Les services de déploiement Windows de Microsoft utilisent TFTP pour déployer des images via l’initialisation PXE. La vulnérabilité découverte sur le serveur TFTP peut entraîner l’exécution de code à distance sur un équipement. Le patch pour la vulnérabilité CVE-2018-8476 à déployer rapidement, si le service WDS existe dans l’environnement.

Exécution de code RCE pour Microsoft Dynamics 365

Les requêtes Web ne sont pas correctement nettoyees dans la version 8 de Microsoft Dynamics 365 sur site. Cette vulnérabilité peut entraîner l’exécution de code à distance (RCE) pour l’utilisateur SQL. Pour tout déploiement sur site de Dynamics 365, la vulnérabilité CVE-2018-8609 doit être traitée en priorité.

Attaques actives sur l’élévation de privilèges Win32k

Microsoft a signalé des attaques actives contre la vulnérabilité CVE-2018-8589. Cette dernière affecte Windows 7, Server 2008 et 2008 R2. Microsoft a classé ce correctif comme Important.

Bitlocker

Microsoft a publié la semaine dernière un avis de sécurité sur l’utilisation du chiffrement au niveau logiciel plutôt que matériel qui s’est récemment avéré inefficace pour certains déploiements. De plus, un patch pour une vulnérabilité affectant Bitlocker (CVE-2018-8566) a été publié ce mardi. Cette vulnérabilité permet à un attaquant d’accéder aux données chiffrées s’il dispose d’un accès physique au système. Microsoft a classé ce correctif comme Important.

Patches Adobe, fuite de hash NTLM et atténuations

Adobe vient de publier trois correctifs pour Flash, Acrobat/Reader et Photoshop, tous classés comme Importants. Le code PoC pour la vulnérabilité dans Acrobat et Reader étant disponible publiquement, le patch correspondant devra être déployé au plus tôt. En effet, cette vulnérabilité permet de casser le hash NTLM d’un utilisateur via une attaque par force brute afin de trouver le mot de passe de l’utilisateur. Adobe a également publié un document sur les moyens d’atténuer cette vulnérabilité, il suggère notamment d’activer une fonctionnalité dans Windows 10 pour prévenir ce type d’attaque en bloquant l’utilisation de l’authentification SSO via le protocole NTLM par des ressources externes. (Publié par Jimmy Graham dans The Laws of Vulnerabilities)

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.