Pas de répit pour les vulnérabilités. Mardi dernier, Microsoft a publié sa salve de correctifs concernant de multiples failles de sécurité dans plusieurs de ses produits et services incluant Windows, Azure, Defender ou encore Edge, Hyper-V et Skype for Business. En tout, 84 trous de sécurité ont été comblés dont 4 classés critiques et 80 de niveau important dont la CVE-2022-22047 actuellement exploitée bien que Microsoft n'ait pas fourni d'informations sur la nature et l'emplacement des systèmes touchés. « La vulnérabilité permet à un attaquant d'exécuter du code en tant que system, à condition qu'il puisse exécuter un autre code sur la cible », ont expliqué les chercheurs en sécurité de Zero Day Initiative (ZDI). « Les bogues de ce type sont généralement associés à un bogue d'exécution de code, généralement un document Office ou Adobe spécialement conçu, pour prendre le contrôle d'un système. Ces attaques reposent souvent sur des macros, c'est pourquoi tant de personnes ont été surpris du retard de Microsoft pour bloquer toutes les macros Office par défaut ».
Parmi les quatre failles critiques, on notera la CVE-2022-30221 au score CVSS assez élevé (8.8), de type exécution de code à distance dans le composant graphique de Windows. « Pour l'exploiter, l'attaquant doit d'abord convaincre l'utilisateur ciblé de se connecter à un serveur RDP malveillant. Au moment de la connexion, le serveur malveillant exécutera du code sur le système de l'utilisateur ciblé », a fait savoir Debra M. Fezza Reed, ingénieur de l'équipe recherche sur les vulnérabilités et les menaces chez Qualys Lab. « Seuls Windows 7 Service Pack 1 et Windows Server 2008 R2 Service Pack 1 sont affectés par cette vulnérabilité si RDP 8.0 ou RDP 8.1 est installé. Si aucune de ces deux versions de RDP n'est installée sur Windows 7 SP1 ou Windows Server 2008 R2 SP1, vous n'êtes pas concernés par cette vulnérabilité ».
Le protocole RPC à l'oeil
Concernant la CVE-2022-22038, d'un score CVSS de 8.1, elle ouvre quant à elle la voie à l'exécution de code à distance au niveau du runtime d'appel de procédure à distance. « Ce bogue pourrait permettre à un attaquant distant non authentifié d'exploiter du code sur un système affecté. Bien que cela ne soit pas spécifié dans le bulletin, la présomption est que l'exécution du code se produirait avec des privilèges élevés », précise ZDI. « Microsoft déclare que la complexité de l'attaque est élevée car un attaquant devrait faire des tentatives d'exploitation répétées pour profiter de ce bogue, mais encore une fois, à moins que vous ne bloquiez activement l'activité RPC, vous ne verrez peut-être pas ces tentatives. Si la complexité de l'exploit était faible, ce que certains diraient puisque les tentatives pourraient probablement être scénarisées, le CVSS serait de 9,8. Testez et déployez celui-ci rapidement ».