Dans le cadre du dernier Patch Tuesday de Microsoft, voici le commentaire de Satnam Narang, Senior Staff Research Engineer chez Tenable. Le Patch Tuesday du mois de mai 2023 comprend des correctifs pour 38 CVE, dont sept sont jugées critiques et 31 importantes. La version de ce mois-ci comprend des correctifs pour deux vulnérabilités zero-day qui ont été exploitées dans la nature.
« La CVE-2023-29336 est une élévation de privilèges (EoP) dans Win32k. Selon Microsoft, elle a été exploitée dans la nature en tant que vulnérabilité zero day. C’est le cinquième mois consécutif qu’une vulnérabilité d’élévation de privilèges est exploitée dans la nature en tant que zero day. Nous nous attendons à ce que les chercheurs qui l’ont découverte rendent bientôt publics les détails de son exploitation. Cependant, il n’est pas certain que cette faille soit un contournement de correctif. Par le passé, nous avons observé trois exemples distincts où des vulnérabilités Win32k EoP ont été exploitées en tant que zero day. En janvier 2022, Microsoft a corrigé la vulnérabilité CVE-2022-21882, qui a été exploitée dans la nature et qui serait un contournement de la vulnérabilité CVE-2021-1732, corrigée en février 2021 et elle-même exploitée dans la nature. En octobre 2021, Microsoft a corrigé une autre EoP Win32k, identifiée comme CVE-2021-40449, qui était liée à un cheval de Troie permettant un accès à distance (RAT) connu sous le nom de MysterySnail, et qui était un contournement de correctif pour CVE-2016-3309. Bien que cela soit relativement rare, il est intéressant de constater que plusieurs failles Win32k EoP exploitées en tant que zero day étaient également des contournements de correctifs. »
« CVE-2023-24932 est une vulnérabilité permettant de contourner une fonctionnalité de sécurité dans le système Secure Boot. Cette vulnérabilité a été exploitée dans la nature en tant que zero day et divulguée publiquement avant que des correctifs ne soient disponibles. Elle semble liée à un rapport d’ESET datant de mars à propos de BlackLotus, un bootkit UEFI (Unified Extensible Firmware Interface) mis à la disposition des cybercriminels depuis octobre 2022 et pouvant être acheté pour 5 000 USD sur des forums de hacking. Le rapport indiquait à l’époque que le bootkit était capable de contourner la fonctionnalité de sécurité UEFI Secure Boot sur des systèmes entièrement patchés. Un attaquant peut exploiter cette faille s’il dispose d’un accès physique ou de droits d’administration sur un système vulnérable. »
Plus de détails à ce sujet avec l’article de blog de Tenable.