Après un mois de janvier 2021 limité en nombre de correctifs publiés, février est à l'avenant avec encore moins de correctifs proposés. Pour autant, il ne faut pas prendre à la légère ces 56 patchs dont 11 sont d'ailleurs classés critiques. Parmi les composants réparés, on trouve en particulier le framework .NET, Azure IoT et Kubernetes Service, Microsoft Edge pour Android, Exchange Server, Office et Office Services et Web Apps, ainsi que Skype for Business et Lync ou encore Windows Defender.
Dans son dernier Patch Tuesday, Microsoft comble en particulier une faille dite zero day, à savoir la CVE-2021-1732, relative à une escalade de privilèges dans le processus Win32k. « Les bugs de cette nature sont généralement associés à un autre qui permet l'exécution de code au niveau de l'utilisateur connecté. Par exemple, cela pourrait être associé à un exploit Adobe Reader. Un attaquant inciterait un utilisateur à ouvrir un PDF piégé, ce qui entraînerait l'exécution de code via le bug Reader puis une élévation de privilèges », ont prévenu les chercheurs de la Zero Day Initiative.
Le correctif contre Zerologon renforcé
Autre faille à colmater rapidement, la CVE-2021-2478 donnant la capacité à un pirate d'exécuter à distance du code sur un serveur DNS Windows via de l'escalade de privilèges. « Elle peut se transformer en ver, mais uniquement entre serveurs DNS. Donnez la priorité à cette mise à jour si vous dépendez de serveurs DNS Microsoft », précise Zero Day Initiative. Outre des bugs TCP/IP (CVE-2021-24074), une autre faille critique CVE-2021-26701 touche de son côté les composants .NET Core et Visual Studio : « sur la base du CVSS, tous les attaquants distants non authentifiés pourraient exécuter du code arbitraire sur un système affecté », indiquent les chercheurs en sécurité.
Corrigée en août 2020, la vulnérabilité CVE-2020-1472 affectant le protocole Netlogon - aka Zerologon - a bénéficié d'un correctif additionnel avec l'activation par défaut du mode sécurisé de son contrôleur de domaine comme l'a indiqué l'éditeur dans un billet de blog spécifique. Les utilisateurs ayant appliqué la précédente mise à jour seront informés au cas par cas.