Patch Tuesday - Juillet 2020

Infosec juil. 22, 2020

123 vulnérabilités dont 18 critiques affectant Hyper-V RemoteFX, DNS Server
et les postes de travail et correctifs Adobe


Par Jimmy Graham Directeur des produits Qualys

Le Patch Tuesday de ce mois traite 123 vulnérabilités dont 18 classées comme critiques. Ces 18 vulnérabilités critiques concernent Hyper-V, DNS Server, PerformancePoint, SharePoint Server, Office, Outlook, Remote Desktop tandis que plusieurs autres vulnérabilités affectent les postes de travail. De son côté, Adobe a publié des correctifs pour Download Manager, Media Encoder, Genuine Service, ColdFusion et Creative Cloud.

Correctifs pour les postes de travail

De nombreuses vulnérabilités sont susceptibles d'impacter les postes de travail.
Les vulnérabilités affectant Office, Outlook, Remote Desktop Client, DirectWrite, Address Book, LNK, GDI+, Font Library et VBScript sont une priorité pour les équipements de type poste de travail, c'est-à-dire tout système utilisé pour accéder à la messagerie ou à Internet via un navigateur. Sont également concernés les serveurs multi-utilisateurs faisant office de postes de travail distants.

RCE dans Windows DNS Server

Une vulnérabilité par exécution de code à distance (RCE) extrêmement critique (CVE-2020-1350) est corrigée aujourd'hui-même dans toutes les versions de Windows DNS Server. Microsoft classe cette vulnérabilité dans la catégorie « Exploitation plus probable » et, selon Microsoft et les chercheurs de CheckPoint, cette vulnérabilité peut se propager sous la forme de vers. Il est hautement recommandé de prioriser le déploiement de ces correctifs sur tous les serveurs Microsoft DNS, y compris les serveurs Active Directory.

Dans un document d'assistance, Microsoft propose une solution de contournement en définissant la valeur maximum pour TcpReceivePacketSize afin de prévenir tout risque d'exploitation. Cette solution de contournement doit être privilégiée s'il n'est pas possible de déployer les patchs immédiatement.

RCO dans Hyper-V RemoteFX vGPU

Microsoft a corrigé six vulnérabilités RCE similaires (CVE-2020-1032, CVE-2020-1036, CVE-2020-1040, CVE-2020-1041, CVE-2020-1042 et CVE-2020-1043) en lien avec la gestion des pilotes graphiques dans Hyper-V. Dans la mesure où ces vulnérabilités entraînent une attaque directe des pilotes graphiques du serveur, ce correctif désactive tout simplement la fonctionnalité RemoteFX.

Selon Microsoft, « RemoteFX vGPU a été déprécié dans Windows Server 2019, il est donc conseillé aux clients d'utiliser Discrete Device Assignment (DDA) en lieu et place de RemoteFX vGPU. DDA avait été lancé à l'occasion de Windows Server 2016. »

Désérialisation des RCE dans PerformancePoint Services, SharePoint, .NET et Visual Studio

Microsoft a également corrigé deux RCE dans PerformancePoint Services pour SharePoint Server (CVE-2020-1439) ainsi que dans .NET Framework, SharePoint Server et Visual Studio (CVE-2020-1147). Ces vulnérabilités entraînent à la fois la désérialisation de contenu XML et pourraient déclencher une exécution de code à distance si elles venaient à être exploitées.

Adobe

Adobe a publié des correctifs pour de nombreuses vulnérabilités au sein de Download Manager, Media Encoder, Genuine Service, ColdFusion et Creative Cloud. Les patchs pour Creative Cloud et ColdFusion sont définis comme de Priorité 2 tandis que les correctifs restants sont définis comme étant de Priorité 3.

Même si aucune des vulnérabilités rapportées par Adobe n'est a priori activement attaquée pour l'instant, tous les correctifs doivent être déployés en priorité sur les systèmes où ces produits sont installés.

Nota : Les ID Qualys relatifs au Patch Tuesday sont publiés sur la page dédiée aux alertes de sécurité généralement à la fin de journée où est publié le Patch Tuesday mensuel.

Mots clés

Julien HOMMET

Bercé par l'informatique depuis mon plus jeune âge, je transforme ma passion en expertise.