Le Patch Tuesday (ou Update Tuesday) de Microsoft pour ce mois de novembre est disponible. Il est déployé pour combler une soixantaine de vulnérabilités de sécurité, dont une dizaine de vulnérabilités critiques. C’est en outre la correction de six vulnérabilités 0-day.
Parmi les vulnérabilités ayant fait l’objet d’une exploitation active dans des attaques avant la publication d’un correctif, trois vulnérabilités ont un niveau de dangerosité critique : CVE-2022-41040, CVE-2022-41082 et CVE-2022-41128.
Les vulnérabilités CVE-2022-41040 et CVE-2022-41082 sont une vieille connaissance, dans la mesure où il s’agit des vulnérabilités touchant Microsoft Exchange Server 2013, 2106 et 2019.
Les vulnérabilités ProxyNotShell corrigées
Pour des serveurs Exchange sur site, les failles autrement connues en tant que ProxyNotShell ont fait parler d’elles depuis fin septembre. Elles sont de type SSRF (Server-Side Request Forgery) et exécution de code à distance lorsque PowerShell est accessible à l’attaquant.
Via le moteur de recherche Shodan, il a été montré qu’environ 220 000 serveurs dans le monde sont vulnérables. Pour la France, le CERT-FR a signalé des incidents impliquant l’exploitation des vulnérabilités.
Avant les correctifs qui ont finalement – et étonnamment – attendu le Patch Tuesday de novembre (pas de publication en urgence), Microsoft a aiguillé vers des mesures provisoires de contournement, dont la désactivation de l’accès à PowerShell à distance pour les utilisateurs qui ne sont pas administrateurs.
» Microsoft a publié des mises à jour de sécurité pour CVE-2022-41040 et CVE-2022-41082. Nous recommandons aux clients de protéger leurs organisations en appliquant immédiatement les mises à jour aux systèmes concernés. Les options pour les atténuations ne sont plus recommandées « , écrit Microsoft.
Une autre vulnérabilité 0-day inquiétante
La vulnérabilité CVE-2022-41128 affecte Windows et permet à un attaquant d’exécuter du code à distance. Plus précisément, elle concerne le langage de script JScript9… faisant surtout écho à Internet Explorer et pour laquelle il existe un exploit dans la nature.
Pour une exploitation, un utilisateur de Windows doit se rendre sur un serveur malveillant sous contrôle de l’attaquant et vers lequel il est aiguillé. Une incitation qui pourrait se faire via email ou une messagerie.
La vulnérabilité CVE-2022-41128 a été signalée à Microsoft par des chercheurs en sécurité du Threat Analysis Group de Google. A priori, cela laisse supposer une exploitation dans des attaques soutenues par un gouvernement.
Non critiques, les trois autres vulnérabilités 0-day sont CVE-2022-41091 (avec divulgation publique), CVE-2022-41125 et CVE-2022-41073. Elles concernent le contournement d’un mécanisme Windows Mark of the Web pour signaler des fichiers provenant d’une source non fiable, Windows CNG Key Isolation Service et le spooler d’impression Windows pour des élévations de privilèges.