Vulnérabilités multiples dans Microsoft Windows

Description

Plusieurs vulnérabilités sérieuses ont été trouvées dans les produits Microsoft. Les utilisateurs malveillants peuvent exploiter ces vulnérabilités pour provoquer un déni de service, contourner les restrictions de sécurité, exécuter du code arbitraire ou obtenir des informations sensibles.

Voici une liste complète des vulnérabilités

1. Une mauvaise gestion des polices OGL, OpenType et TrueType peut être exploitée à distance via un document spécialement conçu pour exécuter du code arbitraire;
2. Une mauvaise initialisation de l'adresse mémoire et la gestion de l'usurpation d'identité au niveau du noyau Windows peuvent être exploitées localement pour contourner les restrictions de sécurité;
3. Une fermeture de session incorrecte peut être exploitée localement via une application spécialement conçue pour obtenir des informations sensibles;
4. Une mauvaise gestion de l'usurpation d'identité au niveau du shell Windows et du gestionnaire d'objets Windows peut être exploitée localement via une application spécialement conçue pour contourner les restrictions de sécurité;
5. La validation incorrecte des certificats au niveau de l'hôte de session Bureau à distance peut être exploitée à distance via une attaque man-in-the-middle pour usurper l'hôte;
6. Un chargement de DLL incorrect au niveau du client Remote Desktop Protocol peut être exploité à distance via une connexion spécialement conçue pour exécuter du code arbitraire;
7. Une mauvaise journalisation sur Server Message Block peut être exploitée localement via un message spécialement conçu pour provoquer un déni de service;
8. Des adresses mémoire incorrectes peuvent être exploitées à distance via un site Web spécialement conçu pour obtenir des informations sensibles;
9. Un traitement incorrect des liens symboliques à Mount Manager peut être exploité localement via un périphérique USB spécialement conçu pour exécuter du code arbitraire;
10. Une mauvaise manipulation du paramètre de recherche peut être exploitée à distance via une page Web spécialement conçue pour obtenir des informations sensibles;
11. Le manque de restrictions d'accès aux fichiers dans Internet Explorer Enhanced Protection Mode peut être exploité localement via une exécution de code spécialement conçue pour obtenir des informations sensibles;
12. L'absence de restrictions SSL peut être exploitée à distance via une attaque man-in-the-middle pour obtenir des informations sensibles;
13. L'absence de restrictions d'accès au registre et au système de fichiers peut être exploitée à distance via un fichier spécialement conçu pour obtenir des privilèges;
14. La gestion incorrecte des objets mémoire chez Edge peut être exploitée à distance via un site Web spécialement conçu pour exécuter du code arbitraire;
15. Mauvaise utilisation de l'espace d'adressage L'utilisation de fonctions de randomisation à Edge peut être exploitée à distance via un site Web spécialement conçu pour contourner les restrictions de sécurité.

---

Détails techniques

(1) peut être exploité de plusieurs façons, par exemple en ouvrant un document ou un site Web contenant des polices malveillantes incorporées.

En exploitant (2) malveillant peut récupérer l'adresse de base du pilote du noyau du processus affecté ou contourner les restrictions d'usurpation d'identité. Pour exploiter cette vulnérabilité, une personne malveillante doit se connecter au système et exécuter une application spécialement conçue.

En exploitant (3) des actions malveillantes peuvent surveiller les actions d'autres utilisateurs connectés au système affecté après la déconnexion d'un utilisateur malveillant ou l'observation de données accessibles aux utilisateurs concernés. Pour exploiter cette vulnérabilité, l'attaquant doit se connecter au système affecté et exécuter une application spécialement conçue qui continuera à fonctionner après la fermeture d'une session malveillante.

Pour exploiter (4), un utilisateur malveillant doit se connecter au système affecté et exécuter une application spécialement conçue.

(5) causé par des erreurs de validation de certificats au cours de l'authentification. L'attaquant Man-in-the-middle peut générer un certificat non approuvé qui correspond au nom de l'émetteur et au numéro de série des certificats approuvés.

Pour exploiter (6), l'attaquant doit placer une DLL malveillante dans le répertoire de travail de l'utilisateur cible, puis amener l'utilisateur à ouvrir le fichier RDP spécialement conçu. Les systèmes sans serveur RDP activé sont hors de risque.

(7) causé par une mauvaise manipulation de certaines activités de journalisation par SMB, résultant de la corruption de la mémoire. Pour exploiter cette vulnérabilité, les personnes malveillantes doivent utiliser des informations d'identification valides et utiliser une chaîne spécialement conçue pour tirer parti de l'erreur de journalisation du serveur SMB.

(8) causé par Microsoft XML Core Services, expose des adresses de mémoire non destinées à la divulgation. En exploitant cette vulnérabilité, les malwares peuvent contourner les restrictions de randomisation de la disposition de l'espace d'adresse pour obtenir des informations sensibles. Pour exploiter cette vulnérabilité, un attaquant pourrait héberger un site Web malveillant afin d'invoquer MSXML via Internet Explorer.

(10) liés aux services de description, de découverte et d'intégration universels, qui valident ou assainissent incorrectement le paramètre de recherche dans la balise FRAME. En exploitant cette vulnérabilité via XSS, une attaque malveillante pourrait obtenir des cookies auth ou rediriger de manière inattendue l'utilisateur affecté.

Pour exploiter (11) l'attaquant doit d'abord tirer parti d'une autre vulnérabilité pour provoquer l'exécution de code dans IE avec EPM. Les malveillants peuvent exécuter Excel, Notepad, PowerPoint ou autre avec un paramètre de ligne de commande non sécurisé. Une autre partie des mises à jour pour cette vulnérabilité répertoriée dans KLA10645, KLA10648

Vulnérabilité (12) liée à Microsoft XML Core Services et Web Authorised Authoring and Versioning qui permet l'utilisation de SSL 2.0. L'attaquant Man-in-the-middle peut forcer la session SSL 2.0, puis décrypter une partie des données transmises.

(13) causée par les modifications de registre et de système de fichiers pour certaines applications de sandbox. L'attaquant doit amener l'utilisateur à ouvrir un fichier spécialement conçu qui appelle une application vulnérable en sandbox.

Vulnérabilité (15) permettant à l'attaquant de prédire les décalages de mémoire d'instructions spécifiques dans une pile d'appels donnée.

Fiches de renseignement originales

• MS15-091

• MS15-090
• MS15-089
• MS15-088
• MS15-087
• MS15-085
• MS15-084
• MS15-083
• MS15-082
• MS15-080

Liste CVE

Liste KB

• 3072305
• 3071756
• 3072307
• 3072306
• 3072303
• 3080790
• 3072309
• 3080129
• 3082458
• 3082459
• 3079743
• 3080348
• 3073893
• 3075591
• 3075590
• 3075593
• 3075592
• 3084525
• 3076895
• 3087119
• 3055014
• 2825645
• 3081436
• 3075222
• 3075221
• 3075220
• 3075226
• 3072310
• 3072311
• 3076949
• 3073921
• 3054890
• 3060716
• 3078662
• 3079757
• 3078601
• 3078071
• 3046017
• 3054846
• 3080333
• 3082487

En savoir plus

Découvrez les statistiques de la propagation des vulnérabilités dans votre région statistics.securelist.com