Vulnérabilité Windows

Microsoft a lancé mardi sa première série de mises à jour pour 2022 en boucher 96 trous de sécurité dans son écosystème logiciel, tout en exhortant les clients à donner la priorité aux correctifs pour ce qu’il appelle une vulnérabilité critique « wormable ».

Sur les 96 vulnérabilités, neuf sont classées Critiques et 89 sont classées Importantes en termes de gravité, avec six zero-day connues publiquement au moment de la publication. Ceci s’ajoute à 29 numéros corrigé dans Microsoft Edge le 6 janvier 2022. Aucun des bogues divulgués n’est répertorié comme faisant l’objet d’une attaque.

Les correctifs couvrent une partie du portefeuille du géant de l’informatique, notamment Microsoft Windows et Windows Components, Exchange Server, Microsoft Office et Office Components, SharePoint Server, .NET Framework, Microsoft Dynamics, Open-Source Software, Windows Hyper-V, Windows Defender, et le protocole RDP (Remote Desktop Protocol) de Windows.

Le principal d’entre eux est CVE-2022-21907 (score CVSS : 9.8), une vulnérabilité d’exécution de code à distance enracinée dans la pile de protocole HTTP. « Dans la plupart des situations, un attaquant non authentifié pourrait envoyer un paquet spécialement conçu à un serveur ciblé en utilisant la pile de protocoles HTTP (http.sys) pour traiter les paquets », a noté Microsoft dans son avis.

Le chercheur en sécurité russe Mikhail Medvedev a été crédité d’avoir découvert et signalé l’erreur, la société basée à Redmond soulignant qu’elle est vermifuge, ce qui signifie qu’aucune interaction de l’utilisateur n’est nécessaire pour déclencher et propager l’infection.

Publicité
Sauvegardes Automatiques Github

« Bien que Microsoft ait fourni un correctif officiel, ce CVE est un autre rappel que les fonctionnalités logicielles permettent aux attaquants d’abuser des fonctionnalités pour des actes malveillants », a déclaré Danny Kim, architecte principal chez Virsec.

Microsoft a également résolu six zero-days dans le cadre de sa mise à jour Patch Tuesday, dont deux sont une intégration de correctifs tiers concernant les bibliothèques open source curl et libarchive.

  • CVE-2021-22947 (score CVSS : N/A) – Vulnérabilité d’exécution de code à distance de curl Open Source
  • CVE-2021-36976 (score CVSS : N/A) – Vulnérabilité d’exécution de code à distance de la libarchive open source
  • CVE-2022-21836 (score CVSS : 7,8) – Vulnérabilité d’usurpation de certificat Windows
  • CVE-2022-21839 (score CVSS : 6.1) – Vulnérabilité de déni de service de la liste de contrôle d’accès discrétionnaire du suivi des événements Windows
  • CVE-2022-21874 (score CVSS : 7,8) – Vulnérabilité d’exécution de code à distance de l’API Windows Security Center
  • CVE-2022-21919 (score CVSS : 7.0) – Vulnérabilité d’élévation des privilèges du service de profil utilisateur Windows

Une autre vulnérabilité critique à noter concerne une faille d’exécution de code à distance (CVE-2022-21849, score CVSS : 9,8) dans Windows Internet Key Exchange (IKE) version 2, qui, selon Microsoft, pourrait être utilisé par un attaquant distant pour « déclencher plusieurs vulnérabilités sans être authentifié ».

En plus de cela, le correctif corrige également un certain nombre de défauts d’exécution de code à distance affectant Exchange Server, Microsoft Office (CVE-2022-21840), SharePoint Server, RDP et Windows Resilient File System, ainsi que des vulnérabilités d’escalade de privilèges dans les services de domaine Active Directory, le contrôle des comptes Windows, le gestionnaire de nettoyage Windows et Windows Kerberos, entre autres.

Il convient de souligner que CVE-2022-21907 et les trois lacunes découvertes dans Exchange Server (CVE-2022-21846, CVE-2022-21855, et CVE-2022-21969, scores CVSS : 9,0) ont tous été étiquetés comme « exploitation plus probable », ce qui nécessite que les correctifs soient appliqués immédiatement pour contrer les attaques potentielles du monde réel ciblant les faiblesses. La National Security Agency (NSA) des États-Unis a été reconnue pour avoir signalé CVE-2022-21846.

« Ce Patch Tuesday massif survient à une époque de chaos dans le secteur de la sécurité où les professionnels font des heures supplémentaires pour remédier à Log4Shell – qui serait la pire vulnérabilité observée depuis des décennies », a déclaré Bharat Jogi, directeur de la recherche sur la vulnérabilité et les menaces chez Qualys.

Prévenir Les Violations De Données

« Des événements tels que Log4Shell […] mettre au premier plan l’importance d’avoir un inventaire automatisé de tout ce qui est utilisé par une organisation dans son environnement », a ajouté Jogi, déclarant « Il est urgent d’automatiser le déploiement de correctifs pour les événements avec des horaires définis (par exemple, MSFT Patch Tuesday), afin que les professionnels de la sécurité puissent concentrer leur énergie pour répondre efficacement aux événements imprévisibles qui présentent un risque ignoble. »

Correctifs logiciels d’autres fournisseurs

Outre Microsoft, des mises à jour de sécurité ont également été publiées par d’autres fournisseurs pour rectifier plusieurs vulnérabilités, en comptant —

Rate this post
Publicité
Article précédentLes spécifications PCIe 6.0 finales sont arrivées avec 256 Go/s de bande passante
Article suivantTop 5 des crypto-monnaies Metaverse inférieures à 10 $ à surveiller en 2022 – The VR Soldier
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici