Les mois se suivent et ne se ressemblent pas concernant les patchs de sécurité mensuels de Microsoft. Après plusieurs à avoir dépassé la centaine de correctifs en première partie de 2020, la tendance semble être à l'accalmie concernant la parution du nombre de correctifs dans le cadre du Patch Tuesday. Après un mois de décembre assez calme, janvier suit cette tendance avec « seulement » 83 patchs proposés. Ces derniers couvrent une variété de services et solutions de l'éditeur, comme Edge, ChakraCore, Office et Microsoft Office Services et Web Apps, Visual Studio, Microsoft Malware Protection Engine, .NET Core, ASP .NET et Azure.
Sur l'ensemble des patchs poussés par Microsoft, 10 sont recensés comme critiques et 73 classés importants. Parmi ceux qui méritent une attention très particulière, on trouve la CVE-2021-1647 affectant le moteur de protection anti-malware Defender de l'éditeur. S'il a déjà pu automatiquement être poussé automatiquement via Windows Update, les systèmes non reliés au réseau n'ont pas encore pu bénéficier de ce correctif et il s'avère critique car la faille qu'il comble s'avère déjà exploitée.
Corriger en urgence la CVE-2021-1647 si ce n'est pas déjà fait
Il faut donc agir et patcher dès que possible. Microsoft s'est montré discret sur l'origine des attaques relatives à cet exploit mais il se pourrait bien qu'il soit directement lié à la découverte du hack de ses systèmes dans le cadre de l'opération mondiale de cyberpiratage SolarWinds réalisée avec l'appui d'une puissance étatique. Si ce patch est une bonne nouvelle en soit, il ne faut pas oublier que la découverte de la faille est bien postérieure au hack en lui-même, ce qui a pu laisser une fenêtre de tir largement suffisante pour des pirates chevronnés d'en profiter. Pour l'heure difficile de connaitre exactement le périmètre autant que le volume et les entreprises et organisations touchées par ce biais dans le monde mais on devrait en savoir plus dans les prochaines semaines et mois.
Concernant les autres failles préoccupantes, on retiendra la CVE-2021-1648 rendue publique mais pas encore exploitée, permettant de l'escalade de privilèges dans le processus splow64 chargé de rendre les applications 32bits compatibles avec un environnement Windows 64 bits. Ou encore la CVE-2021-1677 qui met à risque la gestion des pods dans Azure Active Directory. « Lorsqu'une identité est attribuée à un pod, le pod peut accéder au point de terminaison Azure Instance Metadata Service (IMDS) et obtenir un jeton de cette identité. Cela pourrait permettre à un attaquant de voler latéralement les identités associées à différents pods », préviennent les chercheurs de la Zero Day Initiative.