Pour le premier patch mardi 2021, Microsoft a publié mises à jour de sécurité corriger un total de 83 failles couvrant jusqu’à 11 produits et services, y compris une vulnérabilité zero-day activement exploitée.
Les derniers correctifs de sécurité couvrent Microsoft Windows, le navigateur Edge, ChakraCore, Office et Microsoft Office Services, et Web Apps, Visual Studio, Microsoft Malware Protection Engine, .NET Core, ASP .NET et Azure. Sur ces 83 bogues, 10 sont répertoriés comme critiques et 73 sont répertoriés comme importants en termes de gravité.
Le plus grave des problèmes est une faille d’exécution de code à distance (RCE) dans Microsoft Defender (CVE-2021-1647) qui pourrait permettre aux attaquants d’infecter les systèmes ciblés avec du code arbitraire.
Microsoft Malware Protection Engine (mpengine.dll) fournit les capacités d’analyse, de détection et de nettoyage des logiciels antivirus et antispyware Microsoft Defender. La dernière version du logiciel affectée par la faille est la 1.1.17600.5, avant d’être corrigée dans la version 1.1.17700.4.
Le bogue est également connu pour avoir été activement exploité dans la nature, bien que les détails soient rares sur l’étendue des attaques ou sur la manière dont cela est exploité. C’est aussi une faille du zéro clic dans la mesure où le système vulnérable peut être exploité sans aucune interaction de l’utilisateur.
Microsoft a déclaré que malgré une exploitation active, la technique n’est pas fonctionnelle dans toutes les situations et que l’exploit est toujours considéré comme étant au niveau de la preuve de concept, avec des modifications substantielles nécessaires pour qu’il fonctionne efficacement.
De plus, la faille peut déjà être résolue dans le cadre des mises à jour automatiques du moteur de protection contre les logiciels malveillants – qu’il publie généralement une fois par mois ou lorsque cela est nécessaire pour se protéger contre les menaces nouvellement découvertes – sauf si les systèmes ne sont pas connectés à Internet.
« Pour les organisations configurées pour la mise à jour automatique, aucune action ne devrait être requise, mais l’une des premières actions qu’un acteur menaçant ou un logiciel malveillant tentera de tenter est de perturber la protection contre les menaces sur un système afin de bloquer les mises à jour des définitions et des moteurs », a déclaré Chris Goettl, directeur principal de la gestion des produits et de la sécurité chez Ivanti.
Le correctif de mardi corrige également une faille d’escalade de privilèges (CVE-2021-1648) introduit par un correctif précédent dans l’API GDI Print / Print Spooler (« splwow64.exe ») qui a été divulgué par Google Project Zero le mois dernier après que Microsoft n’a pas réussi à le rectifier dans les 90 jours suivant la divulgation responsable le 24 septembre.
D’autres vulnérabilités corrigées par Microsoft incluent des failles de corruption de mémoire dans le navigateur Microsoft Edge (CVE-2021-1705), une faille de contournement de la fonctionnalité Windows Remote Desktop Protocol Core Security (CVE-2021-1674, CVSS score 8,8), et cinq failles RCE critiques dans l’exécution des appels de procédure distante.
Pour installer les dernières mises à jour de sécurité, les utilisateurs de Windows peuvent se diriger vers Démarrer> Paramètres> Mise à jour et sécurité> Windows Update, ou en sélectionnant Rechercher les mises à jour Windows.
