Nouvelle année, nouveau Patch Tuesday

Microsoft corrige plus de 100 vulnérabilités pour Windows 10 et 11, Windows Server 2019 et 2022, Exchanger Server, Office et le navigateur Edge.

Pour bien commencer l’année, Microsoft a corrigé une vulnérabilité de taille. Non seulement l’entreprise a publié sa toute première mise à jour Patch Tuesday, qui corrige pas moins de 96 vulnérabilités, mais en plus elle a publié tout un ensemble de correctifs pour le navigateur Microsoft Edge, principalement à cause du moteur Chromium. Au total, ce sont 120 vulnérabilités corrigées depuis le début de l’année. Il ne fait aucun doute que vous devez mettre à jour votre système d’exploitation et certaines applications Microsoft dès que possible.

Les vulnérabilités les plus sérieuses

Neuf des vulnérabilités publiées lors de ce Patch Tuesday ont obtenu un score CVSS de 3,1. Parmi elles, deux sont liées à une élévation des privilèges : CVE-2022-21833 dans le lecteur IDE pour ordinateur virtuel et CVE-2022-21857 dans les services de domaine Active Directory. L’exploitation des autres sept vulnérabilités permet l’exécution d’un code à distance :

Cette dernière semble être la vulnérabilité la moins agréable. Un bug dans la pile du protocole HTTP permet, du moins en théorie, aux cybercriminels d’exécuter un code à distance sur l’ordinateur affecté et de diffuser l’attaque sur le réseau local. Selon la terminologie de Microsoft, la vulnérabilité est classée comme wormable puisqu’elle peut être utilisée pour créer un ver. Cette vulnérabilité concerne Windows 10, Windows 11, Windows Server 2022 et Windows Server 2019. Pourtant, selon Microsoft, elle n’est dangereuse que pour les utilisateurs de Windows Server 2019 et Windows 10 version 1809 s’ils activent le HTTP Trailer Support en utilisant la clé EnableTrailerSupport dans le registre.

Une autre vulnérabilité critique dans Microsoft Exchange Server inquiète aussi les experts. Il s’agit de CVE-2022-21846 qui, cela dit en passant, n’est pas le seul problème d’Exchange qui apparaît dans la liste ; c’est seulement le plus dangereux. Ces inquiétudes sont justifiées puisque personne ne veut revivre la même situation que l’an dernier, avec l’exploitation massive de vulnérabilités dans Exchange.

Des vulnérabilités avec des preuves de concept

Certaines des vulnérabilités corrigées étaient déjà connues par la communauté des experts en sécurité. De plus, quelques-uns avaient même publié des preuves de concept :

  • CVE-2022-21836 — Vulnérabilité d’usurpation d’identité dans le certificat Windows ;
  • CVE-2022-21839 — Vulnérabilité de déni de service dans la liste de contrôle d’accès discrétionnaire du suivi d’événements pour Windows ;
  • CVE-2022-21919 — Vulnérabilité d’élévation de privilèges dans le service Profil utilisateur de Windows.

Nous n’avons pas encore constaté d’attaques réelles exploitant ces vulnérabilités. Les preuves de concept sont déjà publiques et les attaques pourraient débuter à tout moment.

Comment vous protéger

Tout d’abord, vous devez mettre à jour votre système d’exploitation et les autres programmes Microsoft dès que possible. En général, il vaut mieux ne pas retarder l’installation des patchs pour les programmes critiques.

Ensuite, tout ordinateur ou serveur connecté à Internet doit être équipé d’une solution de sécurité fiable et capable d’empêcher l’exploitation des vulnérabilités connues et de détecter les attaques des exploits encore inconnus.

Conseils