Microsoft livre sa fournée mensuelle de correctifs de sécurité. Des patchs pour Windows, Microsoft Edge et Internet Explorer, Office ou encore .NET Framework. Plus d'une cinquantaine de vulnérabilités au total parmi lesquelles trois ont déjà été exploitées dans des attaques ciblées. La firme de Redmond a travaillé sur leur correction en partenariat avec FireEye et ESET.

Fancy-Bears CVE-2017-0261 et CVE-2017-0262 sont des vulnérabilités d'exécution de code à distance affectant Office. Elles peuvent notamment être exploitées quand un utilisateur ouvre un fichier Office contenant un objet graphique spécialement formé. Le problème est lié à un bug avec le traitement de fichiers au format EPS (Encapsulated PostScript) qui permet de décrire des images.

L'autre vulnérabilité ayant fait l'objet d'une exploitation dans des attaques est CVE-2017-0263. Elle de type élévation de privilèges et affecte Windows lorsque le pilote en mode noyau ne traite pas correctement les objets en mémoire.

D'après les chercheurs en sécurité de FireEye, les groupes russes de cyberespionnage Turla et APT28 (alias Fancy Bear) ont exploité ces failles contre des entités militaires et diplomatiques européennes. Un autre groupe non identifié aurait été motivé par des gains financiers et a visé des banques avec des bureaux au Moyen-Orient.

Microsoft évoque des rapports sur des attaques fin mars et mi-avril. À noter que des mesures de mitigation avaient déjà été prises. Avec le Patch Tuesday de mai, les vulnérabilités sont complètement comblées.

Rappelons que quelques heures avant ce Patch Tuesday, Microsoft a diffusé en urgence une mise à jour afin de corriger une vulnérabilité 0day dans son moteur antimalware découverte par Project Zero de Google. Elle n'aura heureusement pas eu le temps d'être exploitée.