La mise à jour Patch Tuesday de Microsoft pour le mois d’octobre a résolu un total de 85 failles de sécuritéy compris des correctifs pour une faille zero-day activement exploitée dans la nature.
Sur les 85 bogues, 15 sont classés critiques, 69 sont classés importants et un est classé modéré en gravité. La mise à jour, cependant, n’inclut pas d’atténuations pour le activement exploité Les failles de ProxyNotShell dans Serveur d’échange.
La correctifs venir à côté mises à jour pour résoudre 12 autres défauts dans le navigateur Edge basé sur Chromium qui sont sortis depuis le début du mois.
En tête de liste des correctifs de ce mois-ci se trouve CVE-2022-41033 (score CVSS : 7,8), une vulnérabilité d’escalade de privilèges dans le service de système d’événements Windows COM+. Un chercheur anonyme a été crédité d’avoir signalé le problème.
« Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir des privilèges SYSTEM », a déclaré la société dans un avis, avertissant que la lacune est activement militarisée dans des attaques réelles.
La nature de la faille signifie également que le problème est probablement lié à d’autres failles pour élever les privilèges et effectuer des actions malveillantes sur l’hôte infecté.
« Cette vulnérabilité spécifique est une élévation de privilèges locale, ce qui signifie qu’un attaquant aurait déjà besoin d’exécuter du code sur un hôte pour utiliser cet exploit », a déclaré Kev Breen, directeur de la recherche sur les cybermenaces chez Immersive Labs.
Trois autres vulnérabilités d’élévation des privilèges sont liées à Windows Hyper-V (CVE-2022-37979score CVSS : 7,8), services de certificats Active Directory (CVE-2022-37976score CVSS : 8,8) et le cluster Kubernetes compatible avec Azure Arc Connect (CVE-2022-37968score CVSS : 10,0).
Malgré la balise « Exploitation Less Likely » pour CVE-2022-37968, Microsoft a noté qu’une exploitation réussie de la faille pourrait permettre à un « utilisateur non authentifié d’élever ses privilèges en tant qu’administrateurs de cluster et potentiellement de prendre le contrôle du cluster Kubernetes ».
Autre part, CVE-2022-41043 (score CVSS : 3,3) – une vulnérabilité de divulgation d’informations dans Microsoft Office – est répertoriée comme publiquement connue au moment de sa publication. Il pourrait être exploité pour divulguer des jetons d’utilisateur et d’autres informations potentiellement sensibles, a déclaré Microsoft.
Redmond a également corrigé huit failles d’élévation de privilèges dans le noyau Windows, 11 bogues d’exécution de code à distance dans Windows Point-to-Point Tunneling Protocol et SharePoint Server, et encore une autre vulnérabilité d’élévation de privilèges dans le module Print Spooler (CVE-2022-38028score CVSS : 7,8).
Enfin, la mise à jour Patch Tuesday corrige en outre deux autres failles d’escalade de privilèges dans Windows Workstation Service (CVE-2022-38034score CVSS : 4.3) et Server Service Remote Protocol (CVE-2022-38045score CVSS : 8,8).
La société de sécurité Web Akamai, qui a découvert les deux lacunes, a dit ils « profitent d’un défaut de conception qui permet de contourner [Microsoft Remote Procedure Call] Sécurité rappels grâce à la mise en cache. »
Correctifs logiciels d’autres fournisseurs
En plus de Microsoft, des mises à jour de sécurité ont également été publiées par plusieurs fournisseurs pour corriger des dizaines de vulnérabilités, notamment —