Microsoft mardi a publié des correctifs pour 56 failles, y compris une vulnérabilité critique connue pour être activement exploitée dans la nature.

En tout, 11 sont répertoriés comme critiques, 43 sont répertoriés comme importants et deux sont répertoriés comme de gravité modérée – dont six sont des vulnérabilités précédemment révélées.

Les mises à jour couvrent .NET Framework, Azure IoT, Microsoft Dynamics, Microsoft Edge pour Android, Microsoft Exchange Server, Microsoft Office, la bibliothèque de codecs Microsoft Windows, Skype Entreprise, Visual Studio, Windows Defender et d’autres composants de base tels que Kernel, TCP / IP, spouleur d’impression et appel de procédure distante (RPC).

Une vulnérabilité d’escalade de privilèges Windows Win32k

La plus critique des failles est une vulnérabilité d’escalade de privilèges Windows Win32k (CVE-2021-1732, score CVSS 7,8) qui permet aux attaquants ayant accès à un système cible d’exécuter du code malveillant avec des autorisations élevées. Microsoft a remercié JinQuan, MaDongZe, TuXiaoYi et LiHao de DBAPPSecurity pour avoir découvert et signalé la vulnérabilité.

Dans un article technique distinct, les chercheurs ont déclaré qu’un exploit zero-day exploitant la faille avait été détecté dans un « nombre très limité d’attaques » contre des victimes situées en Chine par un acteur menaçant nommé Bitter APT. Les attaques ont été découvertes en décembre 2020.

« Ce zero-day est une nouvelle vulnérabilité causée par le rappel de win32k, il pourrait être utilisé pour échapper au bac à sable de Microsoft [Internet Explorer] navigateur ou Adobe Reader sur la dernière version de Windows 10, « chercheurs DBAPPSecurity m’a dit. « La vulnérabilité est de haute qualité et l’exploit est sophistiqué. »

Il convient de noter qu’Adobe, dans le cadre de son patch de février, adressé une faille critique de débordement de tampon dans Adobe Acrobat et Reader pour Windows et macOS (CVE-2021-21017) qui, selon elle, pourrait conduire à l’exécution de code arbitraire dans le contexte de l’utilisateur actuel.

La société a également mis en garde contre des tentatives d’exploitation actives contre le bogue dans la nature lors d’attaques limitées ciblant les utilisateurs d’Adobe Reader sur Windows, reflétant les conclusions susmentionnées de DBAPPSecurity.

Bien que ni Microsoft ni Adobe n’aient fourni de détails supplémentaires, la correction simultanée des deux failles soulève la possibilité que les vulnérabilités soient enchaînées pour mener les attaques dans la nature.

Le mode d’application Netlogon entre en vigueur

La mise à jour de Microsoft Patch Tuesday corrige également un certain nombre de failles d’exécution de code à distance (RCE) dans Windows DNS Server (CVE-2021-24078), .NET Core et Visual Studio (CVE-2021-26701), Microsoft Windows Codecs Library (CVE- 2021-24081) et service de télécopie (CVE-2021-1722 et CVE-2021-24077).

Le composant serveur RCE dans Windows DNS est évalué à 9,8 pour la gravité, ce qui en fait une vulnérabilité critique qui, si elle n’est pas corrigée, pourrait permettre à un adversaire non autorisé d’exécuter du code arbitraire et de rediriger potentiellement le trafic légitime vers des serveurs malveillants.

Microsoft prend également ce mois-ci pour pousser la deuxième série de correctifs pour la faille Zerologon (CVE-2020-1472) qui a été résolue à l’origine en août 2020, après quoi rapports d’exploitation active ciblant des systèmes non corrigés est apparu en septembre 2020.

À partir du 9 février, le contrôleur de domaine « mode d’application » sera activé par défaut, bloquant ainsi « vulnérable [Netlogon] connexions d’appareils non conformes. « 

De plus, la mise à jour Patch Tuesday corrige un bogue dans le navigateur Edge pour Android (CVE-2021-24100) qui pourrait divulguer des informations personnellement identifiables et des informations de paiement d’un utilisateur.

Failles RCE dans la pile TCP / IP Windows

Enfin, le fabricant Windows a publié un ensemble de correctifs affectant son implémentation TCP / IP – composé de deux failles RCE (CVE-2021-24074 et CVE-2021-24094) et d’une vulnérabilité de déni de service (CVE-2021-24086) – qui il a dit pourrait être exploité avec une attaque DoS.

« Les exploits DoS pour ces CVE permettraient à un attaquant distant de provoquer une erreur d’arrêt », Microsoft m’a dit dans un avis. «Les clients peuvent recevoir un écran bleu sur tout système Windows directement exposé à Internet avec un trafic réseau minimal. Par conséquent, nous recommandons aux clients d’agir rapidement pour appliquer les mises à jour de sécurité Windows ce mois-ci.»

Le géant de la technologie a cependant noté que la complexité des deux failles TCP / IP RCE rendrait difficile le développement d’exploits fonctionnels. Mais il s’attend à ce que les attaquants créent des exploits DoS beaucoup plus facilement, transformant la faiblesse de sécurité en un candidat idéal pour une exploitation dans la nature.

Pour installer les dernières mises à jour de sécurité, les utilisateurs Windows peuvent se diriger vers Démarrer> Paramètres> Mise à jour et sécurité> Windows Update ou en sélectionnant Rechercher les mises à jour Windows.