De prime abord modéré en volume, le Patch Tuesday de septembre n’est cependant pas à prendre à la légère. Microsoft corrige 60 failles (86 en intégrant Chromium pour Edge) dans plusieurs produits : Azure, Edge (Android, Chromium et iOS), Office, SharePoint Server, Windows, Windows DNS et le sous-système Windows pour Linux. Parmi les correctifs, trois sont jugées critiques, une est classée modérée et les autres sont considérées comme importantes.
Les administrateurs devront en priorité colmater deux vulnérabilités zero day. La première est connue sous le nom CVE-2021-40444. Elle a un niveau de gravité de 8,8 sur échelle de 10 et affecte Windows Server 2008 à 2019 et Windows 8.1 à 10. La faille tire parti du moteur de rendu MSHTML (Trident) utilisé par Internet Explorer pour ouvrir et lire les documents Office. Un pirate peut créer un fichier bureautique malveillant, l’envoyer par e-mail, et si l’utilisateur clique sur le document, la faille permet à l’attaquant de prendre le contrôle du PC. « Un pirate pourrait créer un contrôle ActiveX malveillant utilisé dans un document Office hébergeant le moteur de rendu du navigateur », précise Microsoft. Exploitée activement, la brèche est donc à combler rapidement. L’autre trou de sécurité connu sous le classement CVE-2021-36968 provoque une élévation de privilège du DNS de Windows. « Cette CVE s’applique aux anciennes versions de Windows », précise Microsoft. Elle a été publiée, sans être pour l’instant exploitée.
Printnightmare se résorbe progressivement
L’éditeur boucle aussi la correction des bugs dans Windows Print Spooler, connus sous le nom de « Printnightmare ». Les CVE-2021-38667, CVE-2021-38671 et CVE-2021-40447 permettaient des élévations de privilèges. « Les chercheurs continuent de découvrir des moyens d'exploiter Print Spooler, et nous nous attendons à ce que les recherches se poursuivent dans ce domaine. Seule une (CVE-2021-38671) des trois vulnérabilités est considérée comme plus susceptible d'être exploitée », explique Tenable dans un commentaire sur le Patch Tuesday ».
Parmi les autres failles critiques, on peut cite une RCE (exécution de code à distance) dans WLAN AutoConfig de Windows (CVE-2021-36965) et Open Management Infrastructure pour Linux (CVE-2021-38647). Cette dernière affiche un score de gravité de 9,8 et peut être utilisée pour prendre le contrôle d’une machine sur le réseau, sans authentification, ni autre vérification. Par ailleurs, la firme de Redmond alerte sur trois vulnérabilités (CVE-2021-36955, CVE-2021-36963, CVE-2021-38633) jugées potentiellement exploitable dans Windows Common Log File System Driver. Accordant des élévations de privilèges, elles peuvent être exploitées par les acteurs des ransomwares afin d’obtenir le plus haut niveau d’accès. Enfin, il ne faut pas oublier les mises à jour de sécurité de Chromium pour Edge avec pas moins de 26 correctifs.
Commentaire