Vulnérabilité d’altération de mémoire dans le moteur de script

CVE-2019-1367

Security Vulnerability

Date de publication : 23 sept. 2019

Dernière mise à jour : 8 oct. 2019

Assigning CNA: Microsoft

CVE.org link: CVE-2019-1367

Impact: Exécution de code à distance

Gravité max.: Critique

CVSS Source: Microsoft

Chaîne vectorielle: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H/E:P/RL:O/RC:C

Metrics: CVSS:3.1 7.5 / 6.7

Metric

Value

Métriques de score de base(8)

Vecteur d’attaque

Cette métrique indique le contexte dans lequel l’exploitation de la vulnérabilité est possible. Le score de base augmente en fonction de la distance (logique et physique) d’un attaquant nécessaire pour l’exploitation du composant vulnérable.

Réseau

Le composant vulnérable est lié à la pile réseau et l’ensemble d’attaquants possibles dépasse les autres options mentionnées, jusqu’à inclure l’ensemble d’Internet. Ce type de vulnérabilité est souvent qualifié d’exploitable à distance et peut être envisagé comme une attaque exploitable au niveau du protocole à un ou plusieurs sauts réseau (sur un ou plusieurs routeurs, par exemple).

Complexité d’attaque

Cette métrique décrit les conditions que l’attaquant ne maîtrise pas et qui doivent être présentes pour que la vulnérabilité puisse être exploitée. Ces conditions peuvent nécessiter la collecte d’informations supplémentaires sur la cible ou les exceptions de calcul. L’évaluation de cette métrique exclut la nécessité d’une intervention de l’utilisateur pour permettre l’exploitation de la vulnérabilité. Si une configuration particulière est nécessaire à la réussite d’une attaque, les métriques de base doivent être évaluées en supposant que le composant vulnérable présente cette configuration.

Élevée

Une attaque réussie dépend de conditions que l’attaquant ne maîtrise pas. En effet, il devrait effectuer certaines tâches de préparation ou d’exécution sur le composant vulnérable. Par exemple, un attaquant devrait recueillir des informations sur l’environnement dans lequel la cible ou le composant vulnérable est présent, préparer l’environnement cible pour améliorer la fiabilité du code malveillant ou s’immiscer dans le chemin réseau logique entre la cible et la ressource demandée par la victime pour pouvoir lire et/ou modifier les communications réseau (par exemple, attaque de l’intercepteur).

Privilèges requis

Cette métrique décrit le niveau de privilèges qu’un attaquant doit avoir pour pouvoir exploiter la vulnérabilité.

Aucune

L’attaquant n’est pas autorisé avant l’attaque et ne nécessite dès lors aucun accès aux paramètres ou fichiers pour effectuer une attaque.

Intervention de l’utilisateur

Cette métrique indique la nécessité pour un utilisateur, autre que l’attaquant, de participer au piratage du composant vulnérable. Elle détermine si la vulnérabilité peut être exploitée uniquement par l’attaquant, ou si un autre utilisateur (ou un processus initié par un utilisateur) doit intervenir d’une manière ou d’une autre.

Requise

Pour que cette vulnérabilité puisse être exploitée, un utilisateur doit effectuer une action au préalable.

Étendue

Une attaque réussie a-t-elle un impact sur un autre composant que le composant vulnérable ? Le cas échéant, le score de base augmente et les métriques de confidentialité, d’intégrité et d’authentification doivent être évaluées par rapport au composant impacté.

Non modifié

Une vulnérabilité exploitée ne peut toucher que les ressources gérées par la même autorité de sécurité. Dans ce cas, le composant vulnérable et le composant impacté sont identiques ou gérés par la même autorité de sécurité.

Confidentialité

Cette métrique mesure l’impact sur la confidentialité des ressources d’informations gérées par un composant logiciel à la suite d’une vulnérabilité exploitée. La confidentialité désigne la restriction de l’accès et de la divulgation d’informations aux utilisateurs autorisés uniquement, ainsi que l’interdiction de l’accès ou de la divulgation pour les utilisateurs non autorisés.

Élevée

Il y a une perte totale de confidentialité qui entraîne la divulgation de toutes les ressources du composant impacté à l’attaquant. Sinon, l’accès à certaines informations restreintes est possible, mais les informations divulguées ont un impact grave direct.

Intégrité

Cette métrique mesure l’impact sur l’intégrité d’une vulnérabilité exploitée. L’intégrité désigne la fiabilité et la véracité des informations.

Élevée

Il y a une perte totale d’intégrité ou de protection. Par exemple, l’attaquant peut modifier un ou tous les fichiers protégés par le composant impacté. Sinon, seuls certains fichiers peuvent être modifiés, mais une modification malveillante aurait une conséquence grave directe pour le composant impacté.

Disponibilité

Cette métrique mesure l’impact sur la disponibilité du composant impacté dû à une vulnérabilité exploitée. Elle indique la perte de disponibilité du composant impacté, comme un service en réseau (web, base de données, courrier, par exemple). La disponibilité désigne l’accessibilité de ressources d’informations. Par conséquent, les attaques qui utilisent de la bande passante du réseau, des cycles de processeur ou de l’espace disque ont un impact sur la disponibilité d’un composant impacté.

Élevé

Une perte totale de disponibilité permet à l’attaquant de refuser l’accès aux ressources dans le composant impacté. Cette perte est maintenue (pendant que l’attaquant poursuit son attaque) ou persistante (la condition persiste une fois l’attaque terminée). Sinon, l’attaquant a la possibilité de refuser des disponibilités, mais la perte de disponibilité présente une grave conséquence directe pour le composant impacté (par exemple, l’attaquant ne peut pas perturber les connexions existantes, mais peut empêcher l’établissement de nouvelles connexions ; il peut exploiter à répétition une vulnérabilité qui, dans chaque instance d’une attaque réussie, entraîne la perte d’une faible quantité de mémoire uniquement, mais qui finit par provoquer l’indisponibilité complète d’un service).

Métriques de score temporel(3)

Maturité de code malveillant

Cette métrique mesure la probabilité d’attaque de la vulnérabilité. Elle repose généralement sur l’état actuel des techniques de code malveillant, la disponibilité publique du code malveillant ou l’exploitation observée active.

Preuve de concept

Un code malveillant de type « preuve de concept » est disponible ou une démonstration d’attaque n’est pas pratique pour la plupart des systèmes. Le code ou la technique ne fonctionne pas dans toutes les situations et peut nécessiter une modification considérable par un attaquant compétent.

Niveau de correction

Le niveau de correction d’une vulnérabilité est un facteur important pour la détermination de la priorité. Une vulnérabilité classique n’est pas corrigée quand elle est publiée. Des solutions de contournement ou des correctifs logiciels peuvent proposer une correction temporaire applicable jusqu’à la publication d’un correctif ou d’une mise à niveau officielle. Chacune de ces étapes respectives fait baisser le score temporel pour indiquer que l’urgence diminue quand une correction est finalisée.

Correctif officiel

Une solution complète du fournisseur est disponible. Le fournisseur a publié un correctif officiel ou une mise à niveau est disponible.

Fiabilité du rapport

Cette métrique mesure le degré de fiabilité en ce qui concerne l’existence de la vulnérabilité et la crédibilité des détails techniques connus. Il peut arriver que seule l’existence d’une vulnérabilité soit rendue publique, sans détails spécifiques. Par exemple, un impact peut être reconnu comme étant indésirable, alors que la cause racine n’est pas connue. La vulnérabilité peut être corroborée ultérieurement par des recherches suggérant son origine potentielle. Enfin, une vulnérabilité peut être confirmée par reconnaissance de l’auteur ou du fournisseur de la technologie concernée. L’urgence d’une vulnérabilité est plus élevée quand elle existe avec certitude. Cette métrique suggère également le niveau de connaissances techniques disponibles pour les attaquants potentiels.

Confirmé

Il existe des rapports détaillés ou une reproduction fonctionnelle est possible (des codes malveillants fonctionnels peuvent la fournir). Le code source est disponible pour vérifier les assertions de la recherche de manière indépendante, ou l’auteur ou le fournisseur du code concerné a confirmé la présence de la vulnérabilité.

Pour plus d’informations sur la définition de ces métriques, consultez la page Common Vulnerability Scoring System.

Synthèse

Il existe une vulnérabilité d’exécution de code à distance quant à la manière dont le moteur de script traite les objets en mémoire dans Internet Explorer. Cette vulnérabilité pourrait altérer la mémoire et permettre à un attaquant d’exécuter du code arbitraire dans le contexte de l’utilisateur actuel. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les mêmes droits d’utilisateur que l’utilisateur actuel. Si l’utilisateur actuel a ouvert une session avec des privilèges d’administrateur, un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle d’un système affecté. L’attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes dotés de tous les privilèges.

Dans le cas d’une attaque web, un attaquant pourrait héberger un site web spécialement conçu pour exploiter cette vulnérabilité via Internet Explorer, puis inciter un utilisateur à consulter ce site web, par exemple en lui envoyant un message électronique.

La mise à jour de sécurité corrige la vulnérabilité en modifiant la façon dont le moteur de script traite les objets en mémoire.

Exploitabilité

Le tableau ci-dessous fournit une évaluation d’exploitabilité pour cette vulnérabilité lors de la publication initiale.

Publicly disclosed: No
Exploited: Yes
Exploitability assessment: Exploitation détectée

Atténuations

By default, Internet Explorer on Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 and Windows Server 2019 runs in a restricted mode that is known as Enhanced Security Configuration. Enhanced Security Configuration is a group of preconfigured settings in Internet Explorer that can reduce the likelihood of a user or administrator downloading and running specially crafted web content on a server. This is a mitigating factor for websites that you have not added to the Internet Explorer Trusted sites zone.

Solutions de contournement

Restrict access to JScript.dll

For 32-bit systems, enter the following command at an administrative command prompt:

    takeown /f %windir%\system32\jscript.dll
    cacls %windir%\system32\jscript.dll /E /P everyone:N

For 64-bit systems, enter the following command at an administrative command prompt:

    takeown /f %windir%\syswow64\jscript.dll
    cacls %windir%\syswow64\jscript.dll /E /P everyone:N
    takeown /f %windir%\system32\jscript.dll
    cacls %windir%\system32\jscript.dll /E /P everyone:N

Impact of Workaround

Implementing these steps might result in reduced functionality for components or features that rely on jscript.dll. To be fully protected, Microsoft recommends the update be installed as soon as possible. Please revert the mitigation steps before installing the update to return to a full state.

By default, IE11, IE10, and IE9 uses Jscript9.dll which is not impacted by this vulnerability. This vulnerability only affects certain websites that utilize jscript as the scripting engine.

How to undo the workaround

For 32-bit systems, enter the following command at an administrative command prompt:

    cacls %windir%\system32\jscript.dll /E /R everyone

For 64-bit systems, enter the following command at an administrative command prompt:

    cacls %windir%\system32\jscript.dll /E /R everyone    
    cacls %windir%\syswow64\jscript.dll /E /R everyone

Forum aux questions

Will an updated Windows Update offline scan file, Wsusscn2.cab, with this new security update be available?

Yes. An updates scan file will be available at the time of, or shortly after, the release.

I am running Internet Explorer 9 on Windows Server 2008. Is there a Monthly Rollup available?

No. The IE Cumulative update for Windows Server 2008 contains all of the fixes needed to address this vulnerability and the known printer issue. As such, we are making the IECU available via Windows Update, in addition to WSUS and Microsoft Update, for customers running Windows Server 2008.

Remerciements

Mises à jour de sécurité

Consultez le site web Politique de support Microsoft pour connaître la politique de support correspondant à votre logiciel.

Date de publication Descending

Date de publication

Produit

Plateforme

Impact

Gravité max.

Article

Télécharger

Build Number

Clause d’exclusion de responsabilité

Les informations contenues dans la Base de connaissances Microsoft sont fournies « en l’état », sans garantie d’aucune sorte. Microsoft exclut toute garantie expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. Microsoft Corporation ou ses fournisseurs ne pourront en aucun cas être tenus pour responsables de tout dommage de quelque nature que ce soit, y compris les dommages directs, indirects, accessoires, consécutifs, pertes de bénéfice ou dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été prévenus de l’éventualité de tels dommages. Certains pays n’autorisent pas l’exclusion ou la limitation des responsabilités pour les dommages indirects ou accessoires, de sorte que la limitation ci-dessus peut ne pas être applicable.

Révisions

version

revisionDate

description

3.0

8 oct. 2019

The October security updates Microsoft is releasing on October 8, 2019 address a known printing issue customers might have experienced after installing any of the Security Updates, IE Cumulative Updates, or Monthly Rollups that were released on September 23 or October 3 for all applicable installations of Internet Explorer 9, 10, or 11 on Microsoft Windows. Customers who have already installed the updates released on September 23 or October 3 should install the October Security Updates to adress any printing issues you might have been experiencing. Please see the Security Updates table to download and install the October security updates.

2.0

3 oct. 2019

To address a known printing issue customers might experience after installing the Security Updates or IE Cumulative updates that were released on September 23, 2019 for CVE-2019-1367, Microsoft is releasing new Security Updates, IE Cumulative Updates, and Monthly Rollup updates for all applicable installations of Internet Explorer 9, 10, or 11 on Microsoft Windows. Please see the Security Updates table for CVE-2019-1367 for the new updates. Note that these updates are available automatically via Windows Update, WSUS, or manually from the Microsoft Update Catalog. This release is separate from the October Update Tuesday release, which is scheduled for October 8, 2019.

1.0

23 sept. 2019

Information published.

Quel est votre degré de satisfaction en ce qui concerne le guide des mises à jour de sécurité MSRC ?