La dernière série de mises à jour de sécurité mensuelles de Microsoft a été publiée avec des correctifs pour 68 vulnérabilités couvrant son portefeuille de logiciels, y compris des correctifs pour six jours zéro activement exploités.
12 des problèmes sont classés critiques, deux sont classés élevés et 55 sont classés importants en termes de gravité. Cela inclut également les faiblesses qui ont été corrigées par OpenSSL la semaine précédente.
Aussi séparément adressé au début du mois est une faille activement exploitée dans les navigateurs basés sur Chromium (CVE-2022-3723) qui a été corrigée par Google dans le cadre d’une mise à jour hors bande à la fin du mois dernier.
« La grande nouvelle est que deux anciens CVE zero-day affectant Exchange Server, rendus publics fin septembre, ont finalement été corrigés », a déclaré Greg Wiseman, chef de produit chez Rapid7, dans un communiqué partagé avec The Hacker News.
« Les clients sont invités à mettre à jour leur Systèmes Exchange Server immédiatement, que les mesures d’atténuation recommandées précédemment aient été appliquées ou non. Les règles d’atténuation ne sont plus recommandées une fois que les systèmes ont été corrigés. »
La liste des vulnérabilités activement exploitées, qui permettent l’élévation de privilèges et l’exécution de code à distance, est la suivante –
- CVE-2022-41040 (Score CVSS : 8,8) – Vulnérabilité d’élévation des privilèges de Microsoft Exchange Server (alias ProxyNotShell)
- CVE-2022-41082 (Score CVSS : 8,8) – Vulnérabilité d’élévation des privilèges de Microsoft Exchange Server (alias ProxyNotShell)
- CVE-2022-41128 (Score CVSS : 8,8) – Vulnérabilité d’exécution de code à distance dans les langages de script Windows
- CVE-2022-41125 (Score CVSS : 7,8) – Vulnérabilité d’élévation de privilèges du service d’isolation de clé Windows CNG
- CVE-2022-41073 (Score CVSS : 7,8) – Vulnérabilité d’élévation des privilèges du spouleur d’impression Windows
- CVE-2022-41091 (Score CVSS : 5,4) – Vulnérabilité de contournement de la fonction de sécurité Web de Windows Mark
Benoît Sevens et Clément Lecigne du Threat Analysis Group (TAG) de Google ont été crédités d’avoir signalé CVE-2022-41128, qui réside dans le composant JScript9 et se produit lorsqu’une cible est amenée à visiter un site Web spécialement conçu.
CVE-2022-41091 est l’une des deux failles de contournement de sécurité dans Windows Mark of the Web (MoTW) qui ont été révélées ces derniers mois. Il a récemment été découvert comme armé par l’acteur du rançongiciel Magniber pour cibler les utilisateurs avec de fausses mises à jour logicielles.
« Un attaquant peut créer un fichier malveillant qui échapperait aux défenses Mark of the Web (MotW), entraînant une perte limitée d’intégrité et de disponibilité des fonctionnalités de sécurité telles que la vue protégée dans Microsoft Office, qui reposent sur le marquage MotW », a déclaré Microsoft dans un avis.
La deuxième faille MotW à résoudre est CVE-2022-41049 (alias ZippyReads). Rapporté par Will Dormann, chercheur en sécurité chez Analygence, il se rapporte à un échec de définition de l’indicateur Mark of the Web sur les fichiers d’archive extraits.
Les deux failles d’élévation de privilèges dans Print Spooler et le Service d’isolation de clé CNG sont susceptibles d’être abusés par des acteurs de la menace à la suite d’un compromis initial et d’obtenir des privilèges SYSTEM, a déclaré Kev Breen, directeur de la recherche sur les cybermenaces chez Immersive Labs.
« Ce niveau d’accès plus élevé est nécessaire pour désactiver ou altérer les outils de surveillance de la sécurité avant d’exécuter des attaques d’identifiants avec des outils comme Mimikatz qui peuvent permettre aux attaquants de se déplacer latéralement sur un réseau », a ajouté Breen.
Quatre autres vulnérabilités critiques dans le correctif de novembre qui méritent d’être soulignées sont des failles d’élévation des privilèges dans Windows KerberosName (CVE-2022-37967), Kerberos RC4-HMAC (CVE-2022-37966) et Microsoft Exchange Server (CVE-2022-41080) et une faille de déni de service affectant Windows Hyper-V (CVE-2022-38015).
La liste des correctifs pour les failles critiques est complétée par quatre vulnérabilités d’exécution de code à distance dans le protocole de tunneling point à point (PPTP), tous portant des scores CVSS de 8,1 (CVE-2022-41039, CVE-2022-41088et CVE-2022-41044) et un autre langage de script Windows impactant JScript9 et Chakra (CVE-2022-41118).
En plus de ces problèmes, la mise à jour Patch Tuesday résout également un certain nombre de failles d’exécution de code à distance dans Microsoft Excel, Word, le pilote ODBC, Office Graphics, SharePoint Server et Visual Studio, ainsi qu’un certain nombre de bogues d’élévation de privilèges dans Win32k, Filtre de superposition et stratégie de groupe.
Correctifs logiciels d’autres fournisseurs
Mis à part Microsoft, des mises à jour de sécurité ont également été publiées par d’autres fournisseurs depuis le début du mois pour corriger plusieurs vulnérabilités, notamment –