Les premiers correctifs Patch Tuesday expédiés par Microsoft pour 2023 ont résolu un total de 98 failles de sécuritéy compris un bogue qui, selon la société, est activement exploité dans la nature.

11 des 98 problèmes sont classés critiques et 87 sont classés importants en termes de gravité, les vulnérabilités étant également répertoriées comme publiquement connues au moment de la publication. Par ailleurs, le fabricant de Windows devrait publier des mises à jour pour son navigateur Edge basé sur Chromium.

La vulnérabilité attaquée concerne CVE-2023-21674 (score CVSS : 8,8), une faille d’élévation de privilèges dans l’appel de procédure locale avancée de Windows (ALPC) qui pourraient être exploitées par un attaquant afin d’obtenir les permissions SYSTEM.

« Cette vulnérabilité pourrait conduire à une fuite du bac à sable du navigateur », a noté Microsoft dans un avis, remerciant les chercheurs d’Avast Jan Vojtěšek, Milánek et Przemek Gmerek d’avoir signalé le bogue.

Alors que les détails de la vulnérabilité sont encore secrets, un exploit réussi nécessite qu’un attaquant ait déjà obtenu une infection initiale sur l’hôte. Il est également probable que la faille soit combinée à un bogue présent dans le navigateur Web pour sortir du bac à sable et obtenir des privilèges élevés.

« Une fois le premier pas pris, les attaquants chercheront à se déplacer sur un réseau ou à obtenir des niveaux d’accès plus élevés et ces types de vulnérabilités d’escalade de privilèges sont un élément clé de ce manuel d’attaque », Kev Breen, directeur de la recherche sur les cybermenaces chez Laboratoires immersifs, a déclaré.

Cela dit, les chances qu’une chaîne d’exploitation comme celle-ci soit utilisée à grande échelle sont limitées en raison de la fonction de mise à jour automatique utilisée pour corriger les navigateurs, a déclaré Satnam Narang, ingénieur de recherche senior chez Tenable.

Il convient également de noter que la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajoutée la vulnérabilité à ses Vulnérabilités Exploitées Connues (KEV) catalogue, exhortant les agences fédérales à appliquer les correctifs d’ici le 31 janvier 2023.

De plus, CVE-2023-21674 est la quatrième faille de ce type identifiée dans ALPC – une fonctionnalité de communication inter-processus (IPC) fournie par le noyau Microsoft Windows – après CVE-2022-41045, CVE-2022-41093et CVE-2022-41100 (scores CVSS : 7,8), dont les trois derniers ont été bouchés en novembre 2022.

Deux autres vulnérabilités d’élévation de privilèges identifiées comme hautement prioritaires affectent Microsoft Exchange Server (CVE-2023-21763 et CVE-2023-21764scores CVSS : 7,8), qui proviennent d’un correctif incomplet pour CVE-2022-41123, selon Qualys.

« Un attaquant pourrait exécuter du code avec des privilèges de niveau SYSTEM en exploitant un chemin de fichier codé en dur », a déclaré Saeed Abbasi, responsable de la recherche sur les vulnérabilités et les menaces chez Qualys, dans un communiqué.

Microsoft a également résolu un contournement de fonctionnalité de sécurité dans SharePoint Server (CVE-2023-21743, score CVSS : 5,3) qui pourrait permettre à un attaquant non authentifié de contourner l’authentification et d’établir une connexion anonyme. Le géant de la technologie a noté que « les clients doivent également déclencher une action de mise à niveau SharePoint incluse dans cette mise à jour pour protéger leur ferme SharePoint ».

La mise à jour de janvier corrige en outre un certain nombre de failles d’escalade de privilèges, dont une dans Windows Credential Manager (CVE-2023-21726score CVSS : 7,8) et trois affectant le composant Print Spooler (CVE-2023-21678, CVE-2023-21760et CVE-2023-21765).

L’agence américaine de sécurité nationale (NSA) a été créditée d’avoir signalé CVE-2023-21678. Au total, 39 des vulnérabilités que Microsoft a corrigées dans sa dernière mise à jour permettent l’élévation des privilèges.

Arrondir la liste est CVE-2023-21549 (score CVSS : 8,8), une vulnérabilité d’élévation des privilèges connue du public dans le service Windows SMB Witness et une autre instance de contournement des fonctionnalités de sécurité affectant BitLocker (CVE-2023-21563score CVSS : 6,8).

« Un attaquant réussi pourrait contourner la fonctionnalité BitLocker Device Encryption sur le périphérique de stockage système », a déclaré Microsoft. « Un attaquant ayant un accès physique à la cible pourrait exploiter cette vulnérabilité pour accéder aux données cryptées. »

De plus, Redmond a mis à jour ses directives concernant l’utilisation malveillante de pilotes signés (appelé Bring Your Own Vulnerable Driver) pour inclure un liste de blocage mise à jour publié dans le cadre des mises à jour de sécurité Windows du 10 janvier 2023.

La CISA a également ajouté mardi CVE-2022-41080une faille d’élévation des privilèges d’Exchange Server, au catalogue KEV suite à des rapports indiquant que la vulnérabilité est enchaînée CVE-2022-41082 pour réaliser l’exécution de code à distance sur des systèmes vulnérables.

L’exploit, nommé OWASSRF par CrowdStrike, a été exploité par les acteurs du rançongiciel Play pour violer les environnements cibles. Les défauts ont été corrigés par Microsoft en novembre 2022.

Les mises à jour du Patch Tuesday arrivent également sous Windows 7, Windows 8.1 et Windows RT parvenu fin de prise en charge le 10 janvier 2023. Microsoft a déclaré qu’il n’offrirait pas de programme de mise à jour de sécurité étendue (ESU) pour Windows 8.1, exhortant plutôt les utilisateurs à passer à Windows 11.

« Continuer à utiliser Windows 8.1 après le 10 janvier 2023 peut augmenter l’exposition d’une organisation aux risques de sécurité ou avoir un impact sur sa capacité à respecter les obligations de conformité », a déclaré l’entreprise. mises en garde.

Correctifs logiciels d’autres fournisseurs

En plus de Microsoft, des mises à jour de sécurité ont également été publiées par d’autres fournisseurs depuis le début du mois pour corriger plusieurs vulnérabilités, notamment —