Microsoft a divulgué mardi 64 vulnérabilités, dont cinq critiques (et une d’ores et déjà exploitée). Les correctifs publiés traitent des vulnérabilités et des expositions communes (CVE) dans Microsoft Windows et ses composants, Azure et Azure Arc, .NET et Visual Studio et .NET Framework, Microsoft Edge (basé sur Chromium), Office et ses composants, Windows Defender et le noyau Linux.
Ces corrections s’ajoutent à 15 autres correctifs pour des CVE dans Microsoft Edge (basé sur Chromium) ainsi qu’à un correctif pour la spéculation sur les canaux latéraux dans les processeurs Arm, comme l’a noté Zero Day Initiative.
A titre de comparaison, Microsoft avait divulgué 141 failles critiques en août. La seule faille exploitée divulguée lors du mardi des correctifs concerne le pilote du système de fichiers de journalisation commun de Windows. Pour l’exploiter, l’attaquant doit déjà avoir accès au système et être en mesure d’y exécuter du code. Il permet à l’attaquant d’obtenir de nouveaux privilèges, ce qui lui permet d’exécuter une attaque.
Le protocole TCP/IP ciblé
« Les bugs de cette nature sont souvent enveloppés dans une forme d’attaque d’ingénierie sociale, comme convaincre quelqu’un d’ouvrir un fichier ou de cliquer sur un lien », note Zero Day Initiative. « Une fois qu’ils le font, du code supplémentaire s’exécute avec des privilèges élevés pour prendre le contrôle d’un système. » Microsoft a plébiscité les chercheurs de DBAPPSecurity, Mandiant, CrowdStrike et Zscaler pour avoir identifié cette vulnérabilité.
Les cinq failles critiques divulguées mardi sont toutes des vulnérabilités d’exécution de code à distance (RCE). Parmi celles-ci, deux ont un impact sur les versions sur site de Microsoft Dynamics 365. Ces CVEs permettent à un utilisateur authentifié d’exécuter un paquet de solutions de confiance spécialement conçu pour exécuter des commandes SQL arbitraires. A partir de là, l’attaquant peut monter en puissance et exécuter des commandes en tant que db_owner dans sa base de données Dynamics 365.
Deux autres failles critiques ont un impact sur les extensions du protocole IKE (Internet Key Exchange) de Windows, permettant à un attaquant non authentifié d’envoyer un paquet IP spécialement conçu à une machine cible. La dernière faille critique a un impact sur Windows TCP/IP, permettant à un attaquant non authentifié d’envoyer un paquet IPv6 spécialement conçu à un nœud Windows où IPSec est activé.
Source : ZDNet.com