CERTFR-2019-ACT-004
 
Mise à jour mensuelle de Microsoft
 
Le 12 mars 2019, Microsoft a publié ses mises à jour mensuelles de sécurité corrigeant ainsi soixante-cinq vulnérabilités. Parmi celles-ci, dix-huit sont considérées comme critiques et quarante-cinq comme importantes. Deux autres problèmes de sécurité, l’un d’impact modéré et le second d’impact faible, sont également corrigés. Les produits suivants sont affectés :
 
- Adobe Flash Player
- Internet Explorer
- Microsoft Edge
- Microsoft Windows
- Microsoft Office et Microsoft Office SharePoint
- ChakraCore
- Team Foundation Server
- Skype Entreprise
- Visual Studio
- NuGet
 
Navigateurs
 
Lors de ce correctif du mois de mars 2019, Microsoft a corrigé douze vulnérabilités dans son navigateur Internet Explorer.
 
Pour la majorité d’entre elles, il s’agit de correctifs pour des failles pouvant conduire à une exécution de code à distance. Dans cette catégorie, cinq vulnérabilités seront considérées comme critiques et quatre comme faisant courir un risque important au système.
Les autres problèmes de sécurité corrigés ce mois pour le navigateur de Microsoft, tous trois considérés comme importants, sont des failles de nature à mener à un contournement des fonctionnalités de sécurité.
 
Quatorze vulnérabilités sont corrigées dans Microsoft Edge pour le mois de mars 2019.
 
Tout comme pour Internet Explorer, le plus grand nombre de ces problèmes de sécurité peut mener à une exécution de code arbitraire à distance. Les neuf vulnérabilités de cette catégorie sont critiques pour six d’entre elles et importantes pour les trois dernières. Elles touchent majoritairement le moteur de script utilisé au sein du navigateur.
 
Aussi considérée comme critique, la faille identifiée comme CVE-2019-0592 peut conduire à une élévation de privilèges lors de son exploitation.
Les quatre derniers correctifs pour Microsoft Edge, tous considérés comme importants, concernent un problème de divulgation d’informations dans deux cas et un contournement d’une fonctionnalité de sécurité pour les deux autres. Pour ce dernier risque, la vulnérabilité CVE-2019-0612 est due à une faiblesse dans l’application de la protection Click2Play pour les objets Flash.
 
Bureautique
 
Deux correctifs sont apportés aux différents composants de la suite Office. Dans le premier cas, il s’agit d’une faille importante de type injection de code indirecte à distance (XSS) dans Microsoft SharePoint.
 
La seconde faille affectant la suite bureautique de Microsoft est identifiée comme CVE-2019-0748. Elle correspond à une vulnérabilité importante d’exécution de code à distance dans le moteur Microsoft Office Access Connectivity Engine.
 
Windows
 
Pour le mois de mars 2019, trente-cinq correctifs sont rendus disponibles pour Microsoft Windows.
 
Neuf failles corrigées sont en lien avec une exécution de code à distance.
Il s’agit pour six d’entre elles d’un problème critique, quand les trois dernières sont évaluées comme importantes. Parmi les vulnérabilités critiques, on notera que le client DHCP est affecté par trois failles d’identifiants CVE-2019-0726, CVE-2019-0697 et CVE-2019-0698 qui pourraient permettre une exécution de code lors de l’envoi de réponses DHCP malveillantes.
 
Douze problèmes de sécurité, tous considérés comme importants et pouvant conduire à une divulgation d’informations, sont également corrigés ce mois. Plusieurs d’entre eux, identifiés comme CVE-2019-0821, CVE-2019-0704 et CVE-2019-0703, affectent le serveur SMB de Windows et pourraient entraîner des fuites d’informations en réponse à des requêtes d’un attaquant authentifié.
 
De sévérité importante, dix failles d’élévation de privilèges sont aussi corrigées lors de cette mise à jour. Parmi ces vulnérabilités, la CVE-2019-0797 ainsi que la CVE-2019-0808, toutes deux impactant Win32k, sont notées comme étant exploitées au moment de la parution des correctifs de Microsoft. On pourra également noter la présence de la CVE-2019-0683, permettant une élévation de privilèges dans Active Directory, connue publiquement avant la publication du 12 mars 2019.
 
Les quatre derniers correctifs pour Windows concernent des failles importantes pouvant conduire à un déni de service, à l’instar de la CVE-2019-0754 elle aussi connu publiquement avant la publication des mises à jour mensuelle.
 
Produits Microsoft
 
Le cadriciel .NET reçoit un correctif de sécurité important en lien avec un contournement d’une fonctionnalité de sécurité dans le gestionnaire de package NuGet pour Linux et Mac.
 
Pour les autres produits Microsoft, quatorze vulnérabilités sont corrigées.
Sept le sont pour un risque d’exécution de code, évalué comme critique pour cinq failles et comme important pour les deux autres. Parmi ces dernières, la CVE-2019-0809 impacte Visual Studio et était connu publiquement avant la sortie d’un correctif.
 
Deux autres vulnérabilités critiques, de type élévation de privilèges, sont également corrigées. L’une d’elle, la CVE-2018-8654, impacte Microsoft Dynamics 365.
 
Les cinq derniers correctifs couvrent des problèmes de divulgation d’informations, de contournement des fonctionnalités de sécurité ou encore d’usurpation d’identité. Les impacts de ces failles sont jugés comme allant d’important à faible.
 
Recommandations
 
Le CERT-FR recommande l’application de ces correctifs de sécurité dès que possible.
 
Documentation
 
- Notes de publication Microsoft du 12 mars 2019
- Guide des mises à jour de sécurité Microsoft