Le premier Patch Tuesday de 2020 pour Microsoft est synonyme de la correction de 49 vulnérabilités de sécurité affectant Windows, Internet Explorer, Office (et Microsoft Office Services et Web Apps), ASP.NET Core, .NET Core, .NET Framework, Microsoft Dynamics, ainsi que OneDrive pour Android.

Microsoft ne fait mention d'aucune divulgation publique ou d'une exploitation active dans des attaques. Huit vulnérabilités sont annoncées critiques. Parmi ces vulnérabilités critiques, une concerne Internet Explorer et alors que Microsoft Edge est exempté de tout patch.

Une autre vulnérabilité critique concerne Remote Desktop Client avec la possibilité pour un attaquant d'une exploitation pour une connexion à un serveur de bureau à distance malveillant. Toutefois, si le Patch Tuesday de janvier est notable, c'est surtout pour deux points particuliers.

Cette fournée de rustines de sécurité est la toute dernière qui sera livrée pour Windows 7 et Windows Server 2008 R2. Le jour de la fin de support pour Windows 7 est en effet arrivé (hormis des mises à jour de sécurité étendues payantes pour des entreprises) et ce dans un contexte où sa part de marché demeure encore élevée. D'après StatCounter, près de 27 % des utilisateurs de Windows sur ordinateur ont recours à Windows 7.

Un autre point particulier est la correction d'une vulnérabilité de sécurité référencée CVE-2020-0601 et touchant Windows 10 qui a été découverte et portée à la connaissance de Microsoft par… la NSA. Comme déjà évoqué dans nos colonnes, elle peut permettre à un attaquant d'utiliser un certificat de signature de code usurpé pour du code malveillant et faire ainsi croire à une source légitime et fiable.

Un attaquant pourrait lancer des attaques de type man-in-the-middle sur des connexions chiffrées HTTPS avec ce qui constitue une rupture de la chaîne de confiance et pour les mécanismes d'authentification cryptographique.

Microsoft souligne une vulnérabilité dans CryptoAPI (Crypt32.dll) qui est la bibliothèque logicielle cryptographique par défaut de Windows et pour la validation des certificats Elliptic Curve Cryptography (ECC).

Le groupe de Redmond ne juge pas la vulnérabilité CVE-2020-0601 critique (elle est classée importante). Pour la NSA, c'est par contre un bug critique et le patch est dit très important. " Les mécanismes de confiance sont les fondations sur lesquelles l'internet fonctionne et la faille CVE-2020-0601 permet à un acteur de bousculer ces fondements mêmes par une menace sophistiquée. "

NSA

Impossible de ne pas se souvenir que l'agence américaine de renseignement n'a pas toujours été si vertueuse dans la divulgation responsable de vulnérabilités. Le cas de son exploit EternalBlue est encore présent dans les têtes.

Pour rappel, il avait été volé puis révélé publiquement par le groupe The Shadow Brokers et a servi en 2017 à la propagation du ransomware WannaCry - via une vulnérabilité dans le protocole SMB (SMBv1 ; Server Message Block) - sur d'anciennes versions de Windows.

Cette péripétie (le vol par Shadow Brokers) avait poussé la NSA a partagé des informations avec Microsoft pour la conception d'un patch. Pour CVE-2020-0601, Microsoft insiste sur le fait qu'il n'a pas été observé une exploitation dans des attaques actives. Mais il faut aussi faire confiance à la NSA...