C’est le deuxième mardi du mois, ce qui signifie que c’est le mardi de la mise à jour, la publication mensuelle des correctifs de sécurité disponibles pour presque tous les logiciels pris en charge par Microsoft. Cette fois-ci, le fabricant de logiciels a corrigé six jours zéro sous un exploit actif dans la nature, ainsi qu’un large éventail d’autres vulnérabilités qui constituent une menace pour les utilisateurs finaux.
Deux des vulnérabilités zero-day sont des vulnérabilités très graves dans Exchange qui, lorsqu’elles sont utilisées ensemble, permettent aux pirates d’exécuter du code malveillant sur les serveurs. Suivies comme CVE-2022-41040 et CVE-2022-41082, ces vulnérabilités ont été révélées en septembre. À l’époque, des chercheurs au Vietnam ont signalé qu’ils avaient été utilisés pour infecter des serveurs Exchange sur site avec des shells Web, les interfaces textuelles qui permettent aux utilisateurs d’exécuter des commandes à distance.
Mieux connues sous le nom de ProxyNotShell, les vulnérabilités affectent les serveurs Exchange sur site. Les recherches Shodan au moment où les jours zéro sont devenus publics ont montré qu’environ 220 000 serveurs étaient vulnérables. Microsoft a déclaré début octobre qu’il n’était au courant que d’un seul acteur menaçant exploitant les vulnérabilités et que l’acteur avait ciblé moins de 10 organisations. L’acteur de la menace parle couramment le chinois simplifié, ce qui suggère qu’il a un lien avec la Chine.
Un troisième zero-day est CVE-2022-41128, une vulnérabilité critique de Windows qui permet également à un acteur malveillant d’exécuter du code malveillant à distance. La vulnérabilité, qui fonctionne lorsqu’un appareil vulnérable accède à un serveur malveillant, a été découverte par Clément Lecigne du Threat Analysis Group de Google. Parce que TAG suit le piratage soutenu par les États-nations, la découverte signifie probablement que les pirates soutenus par le gouvernement sont derrière les exploits du jour zéro.
Deux autres vulnérabilités « zero-day » sont des vulnérabilités d’escalade de privilèges, une classe de vulnérabilité qui, lorsqu’elle est associée à une vulnérabilité distincte ou utilisée par quelqu’un qui dispose déjà de privilèges système limités sur un appareil, élève les droits système à ceux nécessaires pour installer du code, accéder mots de passe et prendre le contrôle d’un appareil. Alors que la sécurité des applications et des systèmes d’exploitation s’est améliorée au cours de la dernière décennie, les vulnérabilités dites EoP ont pris de l’importance.
CVE-2022-41073 affecte le spouleur d’impression Microsoft, tandis que CVE-2022-41125 réside dans le service d’isolation de clé Windows CNG. Les deux vulnérabilités EoP ont été découvertes par l’équipe Microsoft Security Threat Intelligence.
Le dernier zero-day corrigé ce mois-ci est également dans Windows. CVE-2022-41091 permet aux pirates de créer des fichiers malveillants qui échappent aux défenses Mark of the Web, qui sont conçues pour fonctionner avec des fonctionnalités de sécurité telles que la vue protégée dans Microsoft Office. Will Dormann, analyste principal des vulnérabilités au sein de la société de sécurité ANALYGENCE, découvert la technique du bypass en juillet.
Au total, la mise à jour de mardi de ce mois-ci a corrigé un total de 68 vulnérabilités. Microsoft a attribué une note de gravité « critique » à 11 d’entre eux, les autres portant la note « important ». Les correctifs s’installent généralement automatiquement dans les 24 heures environ. Ceux qui souhaitent installer les mises à jour immédiatement peuvent accéder à Windows > Paramètres > Mises à jour et sécurité > Windows Update. Le récapitulatif complet de Microsoft est ici.
