Ce mois-ci, Microsoft a patché 68 vulnérabilités incluant 6 failles zero day activement exploitées, dont une divulguée publiquement. On note l’existence de 26 vulnérabilités d'élévation de privilèges (EoP), 15 bugs entraînant l'exécution de code à distance (RCE), 8 failles de divulgation d'informations ainsi que 4 vulnérabilités de contournement des fonctionnalités de sécurité. Côté bogues de déni de service (DoS), Microsoft en dénombre 6 et ajoute 4 vulnérabilités d'usurpation d'identité. Le chiffre est en hausse par rapport à ces derniers mois, et le nombre de failles critiques grimpe à 10.
Ce patch fait suite à une multitude de bugs rencontrés durant la mise à jour de Windows 11 en octobre dernier. Baptisée 22H2, cette mise à niveau a en effet apporté son lot de complications pour les utilisateurs, notamment la disparition des imprimantes sans-fil pour certains d’entre eux. En attendant le correctif, Microsoft avait alors publié une solution de contournement.
6 failles zero day colmatées
Cette mise à niveau majeure comporte aussi son lot de zero day activement exploitées et corrigées en ce 2e mardi du mois. La première, CVE-2022-41128 concerne l’exécution de code à distance des langages de script Windows et a été découverte par Clément Lecigne et Benoît Sevens du groupe d'analyse des menaces de Google. Elle affecte le langage de script JScript9 de Microsoft. L'exploitation nécessite une interaction avec l'utilisateur, de sorte qu'un attaquant devrait convaincre une victime exécutant une version vulnérable de Windows de visiter un partage de serveur ou un site Web spécialement conçu, par le biais d'un type d'ingénierie sociale. La faille est classée critique avec un score de gravité de 8,8.
Deux autres vulnérabilités portant sur l’élévation de privilège et avec un score de 7,8 font partie de la liste. La CVE-2022-41073 affecte le spouleur d'impression Windows, fait qu’ « un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les privilèges SYSTEM ». Elle a été découverte par Microsoft Threat Intelligence Center (MSTIC). La seconde, CVE-2022-41125 a également été découverte par le MSTIC ainsi que le Microsoft Security Response Center (MSRC). Ce bogue d'élévation de privilèges du service d'isolation de clé Windows CNG permet à un attaquant d’obtenir les privilèges SYSTEM s’il décide d’exploiter cette faille.
Enfin, une faille de contournement de la fonctionnalité de sécurité appelée CVE-2022-41091 a été découverte par Will Dormann. A partir de ce bug, « un attaquant peut créer un fichier malveillant qui échapperait aux défenses Mark of the Web (MOTW), entraînant une perte limitée d'intégrité et de disponibilité des fonctionnalités de sécurité telles que la vue protégée dans Microsoft Office, qui reposent sur le marquage MOTW ». Elle est notée 5,4.
Deux vulnérabilités critiques dans Exchange
Parmi les 6 zero day, deux touchent Exchange et peuvent s’avérer extrêmement critiques si un pirate décide de les exploiter ensemble. La vulnérabilité d'élévation des privilèges de Microsoft Exchange Server CVE-2022-41040 a été découverte par GTSC et divulguée via l'initiative Zero Dat. « Les privilèges acquis par l'attaquant seraient la possibilité d'exécuter PowerShell dans le contexte du système ».
Le bug d'exécution de code à distance Microsoft Exchange Server CVE-2022-41082 a été découvert par GTSC et divulgué via l'initiative Zero Dat. Il est précisé que « l'attaquant de cette vulnérabilité pourrait cibler les comptes du serveur dans une exécution de code arbitraire ou à distance. En tant qu'utilisateur authentifié, l'attaquant pourrait tenter de déclencher un code malveillant dans le contexte du compte du serveur via un appel réseau ». Également appelées ProxyNotShell, ces vulnérabilités ont été révélées fin septembre par la société de cybersécurité vietnamienne GTSC, qui a été la première à repérer les failles utilisées dans les attaques. Les failles ont ensuite été signalées à Microsoft via le programme Zero Day Initiative. Notons qu’avec CVE-2022-41128 il s’agit des trois failles ayant un score de 8,8.
Commentaire