La faille la CVE-2020-0601 touchant CryptoAPI de Windows fait parti de la dernière salve de correctifs de Microsoft. (crédit : Pixabay/ElasticComputeFarm)
Dans le cadre de son patch de sécurité mensuel, Microsoft a comblé 49 vulnérabilités dont huit critiques. Bien que classée seulement comme importante, la faille qui affecte les fonctions de certificat et de chiffrement des messages dans CryptoAPI doit impérativement être appliquée.
Les utilisateurs de systèmes, services et applications Microsoft sont gâtés en ce début d'année. La firme de Redmond vient ainsi de lancer une salve de 49 correctifs pour des vulnérabilités affectant aussi bien Windows, Internet Explorer, Office, ASP.NET, .NET Core, .NET Framework, Modern Apps et Microsoft Dynamics. Sur l'ensemble des failles comblées, 8 ont été classées critiques et 41 importantes dont celle concernant les fonctions de certificat et de chiffrement des messages dans CryptoAPI. Cette dernière touche tous les systèmes d'exploitation Microsoft, y compris Windows 7 dont le support vient de tirer sa révérence ce 14 janvier.
Parmi les failles qui méritent une attention particulière, outre la CVE-2020-0601 permettant à un attaquant de créer un faux certificat de signature de code pour exécuter un programme malveillant, on trouve également la CVE-2020-0610 et la et CVE-2020-0609. « Un attaquant qui exploiterait l'un de ces bugs pourrait obtenir l'exécution de code sur les serveurs de passerelle RDP affectés. Cette exécution de code se produit au niveau du serveur et est pré-authentifiée et sans interaction de l'utilisateur. Cela signifie que ces failles peuvent être protégées au moins entre les serveurs de passerelle RDP », ont indiqué les chercheurs de la Zero Day Initiative.
Une vulnérabilité par exécution de code à distance CVE-2020-0611 a aussi été corrigée : « pour que cette vulnérabilité puisse être exploitée, l'utilisateur ciblé doit se connecter à un serveur desktop à distance malveillant », a de son côté précisé dans un billet de blog Animesh Jain, responsable produits chez Qualys spécialisée dans les vulnérabilités de signatures.
Suivez-nous