Le Patch Tuesday du mois de mars 2020 apporte une longue liste de correctifs de sécurité. Microsoft corrige pas moins de 115 vulnérabilités dont 26 sont jugées critiques.
Le Patch Tuesday est un rendez-vous mensuel donnant naissance à une importante maintenance. Microsoft apporte des correctifs à l’ensemble de son catalogue logiciel. Cela comprend toutes ses applications allant de la suite bureautique Office au système d’exploitation Windows 10.
Dans le cadre du Patch Tuesday de mars 2020 26 failles critiques sont colmatées. Pas moins de 17 d’entre elles affectent les navigateurs et les moteurs de script. En clair si vous utilisez un navigateur du géant, il est conseillé d’installer tout ce petite monde.
Patch Tuesday de Mars 2020, trois failles RCE
En parallèle Redmond corrige trois défauts d’exécution de code à distance ( RCE).
CVE-2020-0852 par exemple est une vulnérabilité affectant le traitement de texte Word. Son exploitation permet à un pirate d’exécuter un code malveillant. Les versions vulnérables sont Office 2016 pour Mac, Office 2019, Office Online Server et SharePoint Server 2019. Le géant explique
« Pour exploiter cette vulnérabilité, un utilisateur doit ouvrir un fichier spécialement conçu avec une version affectée du logiciel Microsoft Word. Dans un scénario d’attaque par e-mail, un attaquant peut exploiter la vulnérabilité en envoyant le fichier spécialement conçu à l’utilisateur et en le convainquant de l’ouvrir. Dans un scénario d’attaque web, un attaquant peut héberger un site Web qui contient un fichier spécialement conçu pour exploiter cette vulnérabilité. Cependant, un attaquant n’aurait aucun moyen de forcer l’utilisateur à visiter le site Web en question. L’attaquant doit convaincre l’utilisateur de cliquer sur un lien, généralement par le moyen d’un attrait dans un e-mail ou un message instantané, puis convaincre l’utilisateur d’ouvrir le fichier spécialement conçu. »
Le deuxième souci concerne la faille RCE (Remote Code Execution) CVE-2020-0872. Elle touche l’application Inspecter v1.0.23 et permet l’exécution d’un code à distance. Enfin le troisième RCE concerne Dynamics Business Central. Catalogué par CVE-2020-0905 ce problème permet l’exécuter des commandes arbitraires sur le serveur d’une victime. Le pirate authentifié à plusieurs possibilités pour agir. Il peut par exemple convaincre la victime de se connecter à un client malveillant Dynamics Business Central.
Tous ces correctifs sont regroupés dans les dernières mises à jour cumulatives disponibles sous Windows Update ou sur Windows Update.