Microsoft Mise à jour du Patch Tuesday pour le mois de mars a été officiellement disponible avec 71 correctifs couvrant ses produits logiciels tels que Windows, Office, Exchange et Defender, entre autres.

Sur les 71 correctifs au total, trois sont classés critiques et 68 sont classés importants en termes de gravité. Bien qu’aucune des vulnérabilités ne soit répertoriée comme activement exploitée, trois d’entre elles sont publiquement connues au moment de leur publication.

Il convient de souligner que Microsoft séparément corrigé 21 défauts dans le navigateur Microsoft Edge basé sur Chromium plus tôt ce mois-ci.

Les trois vulnérabilités critiques corrigées ce mois-ci sont des failles d’exécution de code à distance affectant les extensions vidéo HEVC (CVE-2022-22006), Microsoft Exchange Server (CVE-2022-23277) et les extensions vidéo VP9 (CVE-2022-24501).

La vulnérabilité de Microsoft Exchange Server, qui a été signalée par le chercheur Markus Wulftange, est également remarquable par le fait qu’elle nécessite que l’attaquant soit authentifié pour pouvoir exploiter le serveur.

« L’attaquant de cette vulnérabilité pourrait cibler les comptes du serveur lors d’une exécution de code arbitraire ou à distance », a déclaré le fabricant de Windows. « En tant qu’utilisateur authentifié, l’attaquant pourrait tenter de déclencher un code malveillant dans le contexte du compte du serveur via un appel réseau. »

« La vulnérabilité critique CVE-2022-23277 devrait également être une préoccupation », a déclaré Kevin Breen, directeur de la recherche sur les cybermenaces chez Immersive Labs. « Bien qu’elle nécessite une authentification, cette vulnérabilité affectant les serveurs Exchange sur site pourrait potentiellement être utilisée lors d’un déplacement latéral dans une partie de l’environnement qui présente l’opportunité d’une compromission des e-mails professionnels ou d’un vol de données par e-mail. »

Les trois bogues du jour zéro corrigés par Microsoft sont les suivants –

• CVE-2022-24512 (Score CVSS : 6,3) – Vulnérabilité d’exécution de code à distance dans .NET et Visual Studio
• CVE-2022-21990 (Score CVSS : 8,8) – Vulnérabilité d’exécution de code à distance du client Bureau à distance
• CVE-2022-24459 (Score CVSS : 7,8) – Vulnérabilité d’élévation des privilèges du service de télécopie et de numérisation Windows

Microsoft a également qualifié CVE-2022-21990 d’« exploitation plus probable » en raison de la disponibilité publique d’un exploit de preuve de concept (PoC), ce qui rend crucial que les mises à jour soient appliquées dès que possible pour éviter les attaques potentielles.

D’autres défauts importants sont un certain nombre de défauts d’exécution de code à distance dans Windows SMBv3 Client/Server, Microsoft Office et Paint 3D, ainsi que des défauts d’escalade de privilèges dans Xbox Live Auth Manager, Microsoft Defender pour IoT et Azure Site Recovery.

Au total, les correctifs corrigent 29 vulnérabilités d’exécution de code à distance, 25 vulnérabilités d’élévation des privilèges, six vulnérabilités de divulgation d’informations, quatre vulnérabilités de déni de service, trois vulnérabilités de contournement des fonctionnalités de sécurité, trois vulnérabilités d’usurpation d’identité et une vulnérabilité de falsification.

Correctifs logiciels d’autres fournisseurs

En plus de Microsoft, des mises à jour de sécurité ont également été publiées par d’autres fournisseurs pour corriger plusieurs vulnérabilités, à savoir —