Au total, ce sont 62 vulnérabilités que Microsoft corrige par le biais du patch diffusé hier. Dont 17 jugées critiques et affectant pour la plupart toutes les versions de Windows. Dont une faille du planificateur de tâches de Windows, 0day fin août, exploitée début septembre.
Le mardi, une fois par mois, c’est correctif de sécurité. Et une fois n’est pas coutume, Microsoft a bien chargé la dernière en date. 62 failles corrigées, dont 17 critiques. Parmi les vulnérabilités patchées ce jour, on pourra citer CVE-2018-8457, touchant Edge et IE, ou encore un bug de System.IO.Pipelines
Une de ces vulnérabilités avait déjà fait parler d’elle. CVE-2018-8440 affecte ALPC (Advanced Local Procedure Call) et permet une élévation de privilèges par le biais de laquelle un attaquant « pourrait exécuter du code arbitraire dans le contexte de sécurité du système local. Un attaquant pourrait alors installer des programmes ; afficher, modifier ou supprimer des données ; ou créer de nouveaux comptes avec des droits d'utilisateur complets ».
Exploit mis à profit
Cette faille zero-day a été pour la première fois révélée sur Twitter et Github fin août par une chercheuse en sécurité, qui en a publié non seulement les détails mais aussi un exploit. Ce qui a, selon ESET, permis à un groupe malveillant d’intégrer le code de l’exploit à son malware. Tant et si bien que la faille est effectivement exploitée depuis le début du mois. Heureusement, CVE-2018-8440 se voit désormais corrigée.