TL ; RD : Microsoft a publié la dernière série de correctifs conçus pour corriger les bogues de Windows et d’autres produits logiciels populaires. Les mises à jour les plus cruciales concernent six failles zero-day, dont deux bogues Exchange découverts en septembre qui constituent toujours un danger pour les serveurs de messagerie du monde entier.
Chaque deuxième mardi du mois depuis environ 20 ans, Microsoft publie une nouvelle salve de mises à jour de sécurité pour ses produits logiciels très populaires (et toujours pris en charge). Le Patch Tuesday de novembre 2022 est assez important, car il comprend des correctifs individuels pour six vulnérabilités de sécurité zero-day qui ont déjà été exploitées dans la nature.
La Mises à jour de sécurité de novembre 2022 inclut des correctifs pour 68 failles de sécurité trouvées dans les composants Windows, Visual Studio, les utilitaires SysInternals, Office, Azure, .NET Framework, Dynamics, Exchange Server, etc. Onze des failles sont classées comme « critiques », ce qui signifie qu’elles pourraient être exploitées pour permettre l’élévation de privilèges, l’usurpation d’informations ou l’exécution à distance de code malveillant.
Les 68 vulnérabilités corrigées dans ce Patch Tuesday incluent les types de bogues de sécurité suivants : 27 vulnérabilités d’élévation de privilèges ; 4 vulnérabilités de contournement des fonctionnalités de sécurité ; 16 vulnérabilités d’exécution de code à distance ; 11 Vulnérabilités de divulgation d’informations ; 6 Vulnérabilités de déni de service ; 3 Vulnérabilités d’usurpation.
La liste ne comprend pas deux dangereux Vulnérabilités OpenSSL déjà dévoilé début novembre.
Le plat principal du mardi du patch de novembre sont les six correctifs de failles zero-day susmentionnés, car ils ont déjà été divulgués publiquement et sont potentiellement exploités sans qu’aucun correctif officiel ne soit disponible jusqu’à présent :
- CVE-2022-41128une « vulnérabilité d’exécution de code à distance des langages de script Windows » qui nécessite qu’un utilisateur disposant d’une version affectée de Windows accède à un serveur malveillant ;
- CVE-2022-41091une « vulnérabilité de contournement de la fonctionnalité de sécurité Web de la marque Windows » dans laquelle un fichier malveillant spécialement conçu (c’est-à-dire un fichier Zip contenant un fichier en lecture seule) peut échapper aux défenses basées sur la marque du Web ;
- CVE-2022-41073une « vulnérabilité d’élévation des privilèges du spouleur d’impression Windows » qui peut être utilisée pour obtenir des privilèges SYSTÈME ;
- CVE-2022-41125une « vulnérabilité d’élévation des privilèges du service d’isolation de clé Windows CNG » pour obtenir également des privilèges de niveau SYSTEM ;
- CVE-2022-41040une « Microsoft Exchange Server Elevation of Privilege Vulnerability » qui peut être exploitée pour exécuter PowerShell dans le contexte du système ;
- CVE-2022-41082une « vulnérabilité d’exécution de code à distance Microsoft Exchange Server » pour exécuter à distance du code malveillant sur des serveurs vulnérables.
Les deux derniers correctifs ferment le risque de sécurité dans Microsoft Exchange divulgué fin septembre et officieusement connu sous le nom de « ProxyNotShell ».
La Mise à jour KB5019758 est disponible pour Microsoft Exchange Server 2019, 2016 et 2013, dans le cadre des téléchargements automatiques de Windows Update ou en tant que package autonome disponible via le Centre de téléchargement Microsoft.