Le patch Tuesday de septembre de Microsoft résout 63 vulnérabilités avec une vulnérabilité zero-day activement exploitée
Dans le bundle de correctifs de sécurité publié ce mardi par Microsoft, des correctifs pour 63 vulnérabilités et expositions ont été fournis. Cinq des vulnérabilités sont considérées comme «critiques», 57 d’entre elles sont «importantes» et une est classée «modérée».
Plus précisément, les failles sont composées d’une vulnérabilité de contournement des fonctionnalités de sécurité, de sept vulnérabilités de divulgation d’informations, de sept vulnérabilités de déni de service, de 18 vulnérabilités d’élévation de privilèges et de 30 vulnérabilités d’exécution de code à distance. Si les vulnérabilités corrigées dans Microsoft Edge avant ce Patch Tuesday sont ajoutées, le nombre total de CVE passe à 79.
Deux de ces vulnérabilités étaient des vulnérabilités zero-day divulguées publiquement, l’une d’entre elles (suivie comme « CVE-2022-37969 – Vulnérabilité d’élévation des privilèges du pilote Windows Common Log File System ») décrite comme « exploitée ».
« Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir des privilèges SYSTEM », a déclaré Microsoft dans un avis. Néanmoins, le géant de la technologie considère la gravité de la vulnérabilité comme « faible » puisque la « technique ne permet pas l’exécution de code à distance dans les cas où l’attaquant n’a pas déjà cette capacité sur le système cible ». D’autres experts en sécurité, néanmoins, ne sont pas satisfaits de la déclaration de Microsoft et ont exprimé leurs inquiétudes.
« La vulnérabilité [CVE-2022-37969] est classée comme importante, mais avec plusieurs fournisseurs reconnus pour la divulgation coordonnée et les exploits confirmés dans la nature, cette vulnérabilité doit être traitée comme une gravité critique en raison du risque », a déclaré Chris Goettl, vice-président de la gestion des produits pour les produits de sécurité chez Ivanti. Magazine Redmond.
Mike Walters, responsable de la cybersécurité et co-fondateur du logiciel de surveillance et de gestion à distance Action1 Corporation, a également déclaré que la « faible complexité » de CVE-2022-37969 peut être un problème.
« Pas d’autres détails techniques [about CVE-2022-37969] sont disponibles, mais comme la vulnérabilité a une faible complexité et ne nécessite aucune interaction de l’utilisateur, un exploit sera probablement bientôt dans l’arsenal des chapeaux blancs et des chapeaux noirs », a déclaré Walters à Redmond Mag.
Pendant ce temps, Microsoft Dynamics 365 est affecté par deux (CVE-2022-34700 et CVE-2022-35805) des cinq vulnérabilités critiques qui peuvent permettre l’exécution de code à distance. Deux d’entre eux (CVE-2022-34721 et CVE-2022-34722) sont liés aux extensions Windows Internet Key Exchange Protocol, tandis que le dernier (CVE-2022-34718) a quelque chose à voir avec Windows et TCP/IP.
La dernière des cinq vulnérabilités critiques, CVE-2022-34718, est décrite comme « la vulnérabilité la plus grave » par les chercheurs en sécurité de Cisco Talos puisqu’il a une note CVSS de 9,8 sur 10. Microsoft l’a également décrit comme « l’exploitation est plus probable ». Néanmoins, Dustin Childs du programme Zero Day Initiative de Trend Micro, indépendant des fournisseurs, a déclaré que les systèmes avec IPv6 activé et IPSec configuré sont les seuls concernés. «Bien que ce soit une bonne nouvelle pour certains, si vous utilisez IPv6 (comme beaucoup le sont), vous utilisez probablement également IPSec. Testez et déployez certainement cette mise à jour rapidement », a ajouté Childs.
D’autre part, alors que les deux vulnérabilités critiques, CVE-2022-34721 et CVE-2022-34722, affectent tous les produits Windows Server et ont des scores CVSS de 9,8, Walters a déclaré qu’elles « ont toutes deux une faible complexité d’exploitation ».