Dernière livraison de correctifs de l’année où Microsoft a présenté un corpus de près de 50 failles corrigées. Parmi elles, 6 vulnérabilités sont jugées critiques dont deux en particulier. De type zero day, l’une est activement exploitée et l’autre a été publiquement diffusée. La première est référencée CVE-2022-44698 et donne la capacité aux attaquants de contourner la fonction de sécurité SmartScreen de Windows. Cette dernière doit protéger les utilisateurs contre les fichiers malveillants téléchargés sur Internet.
« Un attaquant peut créer un fichier malveillant qui échappe aux défenses Mark of the Web (MOTW), ce qui entraîne une perte limitée de l'intégrité et de la disponibilité des fonctions de sécurité telles que Protected View dans Microsoft Office, qui repose sur le marquage MOTW », précise Microsoft. Selon Kevin Breen, directeur de la recherche sur les cybermenaces chez Immersive Labs, la vulnérabilité représente un risque relativement faible pour les entreprises. « Elle doit être utilisée en combinaison avec un fichier exécutable ou un autre code malveillant comme un document ou un fichier script ». L’expert recommande néanmoins de ne pas sous-estimer la faille et de la corriger dans les plus brefs délais. L’autre zero day, CVE-2022-44710, est relative à un problème d'élévation de privilège dans le noyau DirectX Graphics. Si elle a été diffusée, elle n’a par contre pas été exploitée.
Plusieurs autres vulnérabilités et une révocation de certificat
Parmi les autres vulnérabilités dont les administrateurs doivent se soucier, il y en a trois : CVE-2022-44713, CVE-2022-41076 et CVE-2022-44699. La première concerne une usurpation d’identité dans Outlook pour Mac où un attaquant peut apparaître comme un utilisateur de confiance et faire croire à une victime qu’un email provient d’un vrai utilisateur. A noter que cette faille peut s’avérer particulièrement gênante quand elle est combinée avec la zero day précédente sur SmartScreen. La CVE-2022-41076 est une vulnérabilité PowerShell d'exécution de code à distance (RCE) qui permet à un attaquant authentifié d'échapper à la configuration de la session PowerShell Remoting et d'exécuter des commandes arbitraires sur un système affecté. Enfin, la CVE-2022-44699 est un autre bug de contournement de sécurité - cette fois dans Azure Network Watcher Agent - qui, si elle est exploitée, pourrait affecter la capacité d'une organisation à capturer les journaux nécessaires à la réponse aux incidents.
Pour terminer, Microsoft a révoqué un certificat pour signer des pilotes. En l’occurrence, fin octobre, l'éditeur a été alerté sur le fait que des pilotes certifiés par Windows Hardware Developer Program servaient dans le cadre d’attaques menées par le groupe de ransomware Cuba. Une enquête a révélé que plusieurs comptes de développeurs pour le Centre de partenaires Microsoft soumettaient des pilotes malveillants dans le but de les faire signer par Microsoft, afin qu'ils puissent mettre fin aux agents EDR sur les endpoints ciblés. Il est donc conseillé aux utilisateurs et aux administrateurs d'installer les dernières mises à jour de Windows et de s'assurer que leurs produits antivirus et d’EDR sont à jour et activés.