La dernière série de mises à jour de sécurité mensuelles de Microsoft a été publiée avec des correctifs pour 68 vulnérabilités couvrant son portefeuille de logiciels, y compris des correctifs pour six vulnérabilités zero-day activement exploitées.
12 des problèmes sont classés critiques, 2 sont classés élevés et 55 sont classés importants en termes de gravité. Cela inclut également les faiblesses qui ont été corrigées par OpenSSL la semaine précédente.
Également traitée séparément dans Microsoft Edge au début du mois, une faille activement exploitée dans les navigateurs basés sur Chromium (CVE-2022-3723) a été corrigée par Google dans le cadre d’une mise à jour hors bande à la fin du mois dernier.
« La grande nouvelle est que deux anciens CVE zero-day affectant Exchange Server, rendus publics fin septembre, ont finalement été corrigés », a déclaré Greg Wiseman, chef de produit chez Rapid7, dans un communiqué partagé avec The Hacker News.
« Il est conseillé aux clients de mettre à jour leurs systèmes Exchange Server immédiatement, que les étapes d’atténuation recommandées précédemment aient été appliquées ou non. Les règles d’atténuation ne sont plus recommandées une fois que les systèmes ont été corrigés. »
La liste des vulnérabilités activement exploitées, qui permettent l’élévation de privilèges et l’exécution de code à distance, est la suivante :
- CVE-2022-41040 (score CVSS : 8,8) – Vulnérabilité d’élévation des privilèges de Microsoft Exchange Server (alias ProxyNotShell)
- CVE-2022-41082 (score CVSS : 8,0) – Vulnérabilité d’exécution de code à distance de Microsoft Exchange Server (alias ProxyNotShell)
- CVE-2022-41128 (score CVSS : 8,8) – Vulnérabilité d’exécution de code à distance dans les langages de script Windows
- CVE-2022-41125 (score CVSS : 7,8) – Vulnérabilité d’élévation de privilèges du service d’isolation de clé Windows CNG
- CVE-2022-41073 (score CVSS : 7,8) – Vulnérabilité d’élévation des privilèges du Spooleur d’impression Windows
- CVE-2022-41091 (score CVSS : 5,4) – Vulnérabilité de contournement de la fonction de sécurité Web de Windows Mark
Benoît Sevens et Clément Lecigne du Threat Analysis Group (TAG) de Google ont été crédités d’avoir signalé CVE-2022-41128, qui réside dans le composant JScript9 et se produit lorsqu’une cible est amenée à visiter un site Web spécialement conçu.
CVE-2022-41091 est l’une des deux failles de contournement de sécurité dans Windows Mark of the Web (MoTW) qui ont été révélées au cours des derniers mois. Il a récemment été découvert comme armé par l’acteur du rançongiciel Magniber pour cibler les utilisateurs avec de fausses mises à jour logicielles.
« Un attaquant peut créer un fichier malveillant qui échapperait aux défenses Mark of the Web (MotW), entraînant une perte limitée d’intégrité et de disponibilité des fonctionnalités de sécurité telles que la vue protégée dans Microsoft Office, qui reposent sur le marquage MotW », a déclaré Microsoft dans un communiqué.
La deuxième faille MotW à résoudre est CVE-2022-41049 (alias ZippyReads). Rapporté par le chercheur en sécurité d’Analygence, Will Dormann, il s’agit d’un échec de définition de l’indicateur Mark of the Web sur les fichiers d’archive extraits.
Kev Breen, directeur de la recherche sur les cybermenaces chez Immersive Labs, a déclaré que les deux failles d’escalade de privilèges dans Print Spooler et le service d’isolation de clé CNG sont susceptibles d’être exploitées par des acteurs malveillants à la suite d’un compromis initial et d’obtenir des privilèges SYSTEM.
« Ce niveau d’accès plus élevé est nécessaire pour désactiver ou altérer les outils de surveillance de la sécurité avant d’exécuter des attaques d’identifiants avec des outils comme Mimikatz qui peuvent permettre aux attaquants de se déplacer latéralement sur un réseau », a ajouté Breen.
Quatre autres vulnérabilités critiques dans le correctif de novembre qui méritent d’être soulignées sont les failles d’élévation des privilèges dans Windows Kerberos (CVE-2022-37967), Kerberos RC4-HMAC (CVE-2022-37966) et Microsoft Exchange Server (CVE-2022-41080 ), et une faille de déni de service affectant Windows Hyper-V (CVE-2022-38015).
La liste des correctifs pour les failles critiques est complétée par quatre vulnérabilités d’exécution de code à distance dans le protocole PPTP (Point-to-Point Tunneling Protocol), toutes portant des scores CVSS de 8,1 (CVE-2022-41039, CVE-2022-41088 et CVE- 2022-41044), et un autre impactant les langages de script Windows JScript9 et Chakra (CVE-2022-41118).
En plus de ces problèmes, la mise à jour Patch Tuesday résout également un certain nombre de failles d’exécution de code à distance dans Microsoft Excel, Word, le pilote ODBC, Office Graphics, SharePoint Server et Visual Studio, ainsi qu’une poignée de bogues d’escalade de privilèges dans Win32k, Filtre de superposition et stratégie de groupe.
Mis à part Microsoft, des mises à jour de sécurité ont également été publiées par d’autres fournisseurs depuis le début du mois pour corriger plusieurs vulnérabilités, notamment par AMD, Android, Apple, Cisco, Citrix, CODESYS, Dell, F5, Fortinet, GitLab, Google Chrome, HP, IBM, Intel, Juniper Networks, Lenovo, MediaTek, NVIDIA, Qualcomm, SAP, Schneider Electric, Siemens, Trend Micro, VMware, WordPress and Linux distributions Debian, Oracle Linux, Red Hat, SUSE, and Ubuntu.