Premier Patch Tuesday 2023 de Microsoft : 98 correctifs

Premier Patch Tuesday 2023 de Microsoft : 98 correctifs


Le début de l’année 2023 s’annonce chargé pour les administrateurs de Windows et d’Office, puisque Microsoft a publié 98 correctifs de sécurité pour ses plates-formes. C’est un chiffre important par rapport à la plupart des Patch Tuesday et presque le double du nombre de correctifs publiés à l’approche des fêtes de fin d’année.


Le Patch Tuesday de janvier 2023 corrige deux failles de type « zero-day », mais une seule d’entre elles est connue pour être activement exploitée. Il s’agit de la faille critique de Windows, connue sous le nom de CVE-2023-21674. Cette faille permet à un attaquant disposant de privilèges locaux d’escalader vers le plus haut niveau de privilèges. Cette faille a un score de gravité CVSSv3 de 8,8 sur 10.

Cette faille affecte l’Advanced Local Procedure Call (ALPC) de Windows et n’est pas sans rappeler un zero-day ALPC de septembre 2018 qui a été rapidement employé dans des campagnes de malware. « Compte tenu de sa faible complexité d’attaque, de l’existence d’un code de preuve de concept fonctionnel et du potentiel d’évasion de sandbox, il pourrait s’agir d’une vulnérabilité à surveiller de près » note un spécialiste de la question.


La faille a été découverte par les analystes d’Avast, Jan Vojtěšek, Milánek et Przemek Gmerek.

11 failles critiques et 87 sont jugées importantes


La deuxième faille affecte Windows SMB Witness Service, suivie sous le nom de CVE-2023-21674, et est également une vulnérabilité d’élévation de privilèges avec un score de gravité de 8,8. Microsoft considère que l’exploitation est « moins probable », même si des détails ont été divulgués publiquement.


Dustin Childs de Zero Day Initiative note que ce Patch Tuesday est le plus important communiqué par Microsoft depuis un certain temps. On compte 11 failles critiques et 87 sont jugées importantes.


Les failles critiques comprennent cinq vulnérabilités Windows L2TP (Layer 2 Tunneling Protocol) d’exécution de code à distance, répertoriées comme CVE-2023-21543, CVE-2023-21546, CVE-2023-21555, CVE-2023-21556 et CVE-2023-21679. Ces failles ont été signalées par des chercheurs tiers.


Microsoft Offensive Research and Security Engineering (MORSE) a découvert une faille critique d’élévation de privilège dans Microsoft Cryptographic Services, repérée sous le nom de CVE-2023-21730.


Deux autres failles critiques (CVE-2023-21548 et CVE-2023-21535) sont des vulnérabilités d’exécution de code à distance affectant le protocole SSTP (Secure Socket Tunneling Protocol) de Windows. Toutes deux ont été signalées par Yuki Chen de Cyber KunLun, qui a également signalé quatre des cinq bogues L2TP RCE.

Gros sujet sur Microsoft Exchange Server


Cinq failles ont affecté ce mois-ci Microsoft Exchange Server. Elles ont toutes été jugées importantes, mais pourraient donner aux administrateurs la preuve qu’ils veulent supprimer les serveurs Exchange sur site. Au début du mois, le groupe de recherche en sécurité Shadowserver a signalé qu’il y avait 70 000 serveurs Exchange non corrigés exposés sur Internet pour souligner combien d’entre eux étaient probablement encore vulnérables à deux failles zero-day d’Exchange Server que Microsoft a corrigées en novembre, appelées ProxyNotShell.


Certains correctifs échouent également : deux des failles d’Exchange Server — CVE-2023-21763 et CVE-2023-21764 — sont le résultat de l’échec de la publication par Microsoft d’un correctif pour la faille d’Exchange Server, CVE-2022-41123, en novembre.


Exchange Server a fait l’objet d’une attention particulière après que Microsoft ait corrigé, début 2021, quatre failles de type « zero-day », connues sous le nom de ProxyShell, affectant le serveur de messagerie sur site. C’était la première fois Google Project Zero avait vu les zero days d’Exchange Server détectés depuis qu’il a commencé à les suivre en 2014.


Enfin, la mise à jour de janvier 2023 est la dernière fois que Microsoft publie des correctifs dans le cadre du programme ESU (Extended Service Update) de Windows 7. Sont également disponibles les dernières versions ESU pour Windows Server 2008 et les derniers correctifs pour Windows 8.1.


Source : « ZDNet.com »





Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.