Microsoft a déployé mardi ses mises à jour de sécurité mensuelles avec correctifs pour 51 vulnérabilités à travers sa gamme de logiciels composée de Windows, Office, Teams, Azure Data Explorer, Visual Studio Code et d’autres composants tels que Kernel et Win32k.
Parmi les 51 défauts fermés, 50 sont classés importants et un est classé modéré en gravité, ce qui en fait l’une des rares mises à jour du Patch Tuesday sans aucun correctif pour les vulnérabilités critiques. Ceci s’ajoute également à 19 autres défauts la société s’est adressée dans son navigateur Edge basé sur Chromium.
Aucune des vulnérabilités de sécurité n’est répertoriée comme sous exploit actif, tandis que des failles – CVE-2022-21989 (Score CVSS : 7,8) – a été classé comme un jour zéro divulgué publiquement au moment de la publication. Le problème concerne un bogue d’escalade de privilèges dans le noyau Windows, Microsoft avertissant d’attaques potentielles exploitant cette lacune.
« L’exploitation réussie de cette vulnérabilité nécessite qu’un attaquant prenne des mesures supplémentaires avant l’exploitation pour préparer l’environnement cible », a noté la société dans son avis. « Une attaque réussie pourrait être effectuée à partir d’un AppContainer à faible privilège. L’attaquant pourrait élever ses privilèges et exécuter du code ou accéder à des ressources à un niveau d’intégrité supérieur à celui de l’environnement d’exécution AppContainer. »
Un certain nombre de vulnérabilités d’exécution de code à distance affectant le serveur DNS Windows ont également été résolues (CVE-2022-21984score CVSS : 8,8), SharePoint Server (CVE-2022-22005score CVSS : 8,8), Windows Hyper-V (CVE-2022-21995score CVSS : 5,3) et les extensions vidéo HEVC (CVE-2022-21844, CVE-2022-21926et CVE-2022-21927scores CVSS : 7,8).
La mise à jour de sécurité corrige également une vulnérabilité d’usurpation d’Azure Data Explorer (CVE-2022-23256score CVSS : 8,1), deux vulnérabilités de contournement de sécurité affectant chacune Outlook pour Mac (CVE-2022-23280score CVSS : 5,3) et OneDrive pour Android (CVE-2022-23255score CVSS : 5,9), et deux vulnérabilités de déni de service dans .NET (CVE-2022-21986score CVSS : 7,5) et Équipes (CVE-2022-21965score CVSS : 7,5).
Microsoft a également déclaré avoir corrigé plusieurs failles d’élévation de privilèges – quatre dans le spouleur d’impression un service et un dans le pilote Win32k (CVE-2022-21996score CVSS : 7,8), ce dernier ayant été étiqueté « Exploitation plus probable » à la lumière d’une vulnérabilité similaire dans le même composant qui a été corrigé le mois dernier (CVE-2022-21882) et qui a depuis fait l’objet d’une attaque active.
Les mises à jour arrivent alors que le géant de la technologie a republié à la fin du mois dernier une vulnérabilité datant de 2013 – un problème de validation de signature affectant WinVerifyTrust (CVE-2013-3900) – notant que le correctif est « disponible en tant que fonctionnalité d’activation via le paramètre de clé d’enregistrement, et est disponible sur les éditions prises en charge de Windows publiées depuis le 10 décembre 2013 ».
Cette décision a peut-être été stimulée en réponse à une campagne de logiciels malveillants ZLoader en cours qui, comme l’a révélé Check Point Research début janvier, s’est avérée tirer parti de la faille pour contourner le mécanisme de vérification de la signature des fichiers et supprimer les logiciels malveillants capables de siphonner les informations d’identification de l’utilisateur et d’autres informations sensibles. .
Correctifs logiciels d’autres fournisseurs
Outre Microsoft, des mises à jour de sécurité ont également été publiées par d’autres fournisseurs pour corriger plusieurs vulnérabilités, à savoir –