Patch Tuesday décembre 2022

Microsoft publie un total de 54 correctifs, concernant une très large gamme de produits, dont le système d’exploitation Windows. 19 correctifs sont disponibles pour corriger des vulnérabilités d’élévation de privilèges.

Microsoft a publié 54 nouveaux correctifs, dont 2 pour des failles 0Day. Les vulnérabilités et exploitations en cours concernent Microsoft Windows et des composants Windows, Azure et le système d’exploitation en temps réel Azure ainsi que pour Microsoft Dynamics, Exchange Server, Office et des composants Office, SysInternals, Visual Studio, SharePoint Server, Network Policy Server (NPS), Windows BitLocker, Microsoft Edge (basé sur Chromium), le noyau Linux et des logiciels Open Source. 

De son côté Adobe a publié trois correctifs pour corriger 37 CVE, toutes classées comme Importantes. Les produits Adobe suivants ont fait l’objet de mises à jour : Experience Manager (32 bugs), Adobe Illustrator et Adobe Campaign Classic. Les failles les plus sévères sont les scripts intersite (XSS) Adobe Experience Manager (AEM) et les fuites de mémoire Adobe Illustrator.

Le correctif pour Adobe Campaign Classic résout une faille facilitant l’élévation de privilèges. Actuellement aucune faille n’est connue publiquement ou ne fait l’objet d’attaques. À noter que Adobe attribue une priorité de niveau 3 au déploiement de ces mises à jour.

Microsoft a corrigé plusieurs failles dans ses logiciels, y compris des vulnérabilités permettant : déni de service (DoS), élévation de privilèges (EoP), divulgation d’informations, exécution de code à distance (RCE), contournement des fonctions de sécurité, et usurpation.

Les vulnérabilités corrigées par Microsoft en décembre 2022

Type de vulnérabilité

Quantité

Niveau de sévérité

Vulnérabilité d’élévation de privilèges 

19

Important

19

Vulnérabilité d’exécution de code à distance

24 

Important :
Critique :

7
7

Vulnérabilité de divulgation d’informations 

Important :

3

Vulnérabilité de contournement de fonctions 

Modérée :
Important :

1
1

Vulnérabilité de déni de service 

Modérée :
Important :

1
2

Vulnérabilité d’usurpation

2

Modérée :

2

Défense en profondeur  

Aucune 

Au total, Microsoft a résolu 54 vulnérabilités : 2 CVE le 5 décembre, 51 nouvelles CVE le 13 décembre et une mise à jour de défense en profondeur Microsoft (ADV220005). Une vulnérabilité 0Day est indiquée comme étant activement exploitée, tandis qu’une seconde a été divulguée publiquement au moment de la publication de ce papier. 

Principales vulnérabilités Microsoft corrigées CVE-2022-44698 | Vulnérabilité de contournement des fonctions de sécurité dans Windows SmartScreen. Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 5,4/10. 

Elle est classée comme modérée et semble être liée à la vulnérabilité de contournement des fonctions de sécurité de la fonctionnalité Windows Mark of the Web (CVE-2022-41091) du mois dernier. En résumé, il est possible de créer un fichier malveillant pour contourner le mécanisme de défense Mark of the Web (MOTW). Cette opération supprime la fonction MOTW du fichier afin que cette dernière ne soit pas reconnue, et autorise les utilisateurs à ouvrir des fichiers sans déclencher l’avertissement. In fine ceci entraîne une perte d’intégrité et de disponibilité des fonctionnalités de sécurité, telle que la Vue protégée (Protected View) dans Microsoft Office, fonction qui repose sur le marquage MOTW. Vu le nombre croissant d’attaques par Phishing, la correction de cette vulnérabilité est fortement recommandée. Évaluation d’exploitabilité : Exploitation détectée

CVE-2022-44713 | Vulnérabilité d’usurpation dans Microsoft Outlook pour Mac

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 7,5/10. 

Classée importante, cette vulnérabilité d’usurpation retient notre attention car elle est en lien avec les clients de messagerie. Elle permet à un attaquant d’apparaître comme un utilisateur de confiance. L’utilisateur cible recevra donc un message électronique signé, comme s’il provenait d’un utilisateur légitime. Si cette faille est associée à la vulnérabilité de contournement de sécurité dans Windows SmartScreen (CVE-2022-44698) susmentionnée, le résultat peut être très destructeur.

Évaluation d’exploitabilité : Exploitation moins probable  

Zoom sur les vulnérabilités Microsoft critiques 

CVE-2022-41127 | Vulnérabilité d’exécution de code à distance dans Microsoft Dynamics NAV et Microsoft Dynamics 365 Business Central (sur site) 

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,5/10. 

Cette vulnérabilité critique affecte Microsoft Dynamics NAV et Microsoft Dynamics 365 Business Central (sur site). Susceptible d’entraîner un changement de portée, cette faille de sécurité permet à un attaquant authentifié d’exécuter du code sur le serveur hôte (système d’exploitation sous-jacent) dans le cadre du compte de service Dynamics configuré pour être utilisé. Si Dynamics NAV a ouvert un port, cela permet de se connecter au protocole TCP de Windows Communication Foundation (WCF). En tant qu’utilisateur authentifié, l’attaquant peut alors tenter d’activer du code malveillant au niveau du compte du serveur via un appel réseau. À noter que toute fuite vers l’hôte doit être prise très au sérieux.

L’impact potentiel de cette exploitation est ÉLEVÉ en termes de confidentialité, d’intégrité et de disponibilité. 

Une solution complète est disponible auprès du fournisseur qui a publié un correctif officiel ou une mise à niveau. 

Évaluation d’exploitabilité : Exploitation moins probable  

CVE-2022-44690 et CVE-2022-44693 | Vulnérabilités d’exécution de code à distance dans Microsoft SharePoint Server 

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. 

Critique, elle affecte Microsoft SharePoint Server avec un attaquant authentifié qui a des permissions sur les listes et peut donc exécuter du code distant sur le serveur SharePoint.

Ces deux vulnérabilités affectent les versions suivantes de Microsoft SharePoint : 

Microsoft SharePoint Enterprise Server 2013 Service Pack 1 et 2016, et Microsoft SharePoint Foundation 2013 Service Pack 1, Microsoft SharePoint Server 2019, Microsoft SharePoint Server Subscription Edition

Remarque : les clients qui exécutent SharePoint Server 2013 Service Pack 1 peuvent installer la mise à jour cumulative ou de sécurité qui est la même mise à jour que pour Foundation Server 2013. 

L’impact potentiel de cette exploitation est ÉLEVÉ en termes de confidentialité, d’intégrité et de disponibilité. 

Une solution complète est disponible auprès du fournisseur qui a publié un correctif officiel ou une mise à niveau.

Évaluation d’exploitabilité : Exploitation moins probable 

CVE-2022-41076 | Vulnérabilité d’exécution de code à distance dans PowerShell 

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,5/10. 

Cette vulnérabilité critique affecte PowerShell avec un utilisateur authentifié qui, quel que soit son niveau de privilège, peut intervenir sur la configuration de session distante PowerShell et exécuter des commandes non approuvées sur le système cible. Il est important de préciser que, généralement, suite à la violation initiale, les attaquants utilisent les outils disponibles sur le système pour garder de la réserve ou de l’avance sur un réseau. PowerShell étant l’un des outils les plus adaptés qu’ils puissent trouver, nous recommandons vivement de tester et de corriger cette faille.

L’impact potentiel de cette exploitation est ÉLEVÉ en termes de confidentialité, d’intégrité et de disponibilité.  

Une solution complète est disponible auprès du fournisseur qui a publié un correctif officiel ou une mise à niveau.

Évaluation d’exploitabilité : Exploitation plus probable. 

CVE-2022-44670 et CVE-2022-44676 | Vulnérabilités d’exécution de code à distance dans le protocole Secure Socket Tunneling Protocol (SSTP) de Windows

Ces deux vulnérabilités affichent un score de sévérité CVSSv3.1 de 8,1/10. 

Ces vulnérabilités critiques affectent le protocole Secure Socket Tunneling Protocol (SSTP) de Windows avec, selon Microsoft, un attaquant qui doit gagner une situation de course afin de pouvoir exploiter ces failles. Un attaquant non authentifié peut envoyer une requête de connexion malveillante à un serveur d’accès à distance (RAS), ce qui peut entraîner une exécution de code à distance sur la machine hébergeant le serveur RAS. Si vous ne disposez pas de ce service, nous recommandons de désactiver l’option. Sinon, testez et déployez ces correctifs immédiatement.

L’impact potentiel de cette exploitation est ÉLEVÉ en termes de confidentialité, d’intégrité et de disponibilité.

Une solution complète est disponible auprès du fournisseur qui a publié un correctif officiel et une mise à jour.

Évaluation d’exploitabilité : Exploitation improbable

CVE-2022-41089 | Vulnérabilité d’exécution de code à distance dans l’infrastructure de développement .NET 

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. 

Cette mise à jour corrige une faille de sécurité lorsque le mode restreint est déclenché pour l’analyse de fichiers XPS. Les documents XPS utilisent des éléments structurels ou sémantiques tels que des structures de table, des storyboards ou des liens hypertexte. Cette vulnérabilité peut entraîner un mauvais affichage sur les lecteurs WPF, qui pourraient autoriser l’exécution de code à distance sur un système affecté. 

Il existe aussi une solution de contournement pour ce problème.

L’impact potentiel de cette exploitation est ÉLEVÉ en termes de confidentialité, d’intégrité et de disponibilité.  

Une solution complète est disponible auprès du fournisseur qui a publié un correctif officiel ou une mise à niveau.  

Évaluation d’exploitabilité: Exploitation moins probable

Trois vulnérabilités de déni de service (DoS) sont corrigées ce mois-ci. La vulnérabilité DoS qui concerne Windows Hyper-V (CVE-2022-44682) affecte la fonctionnalité de l’hôte Hyper-V. Microsoft n’a pas fourni beaucoup de détails, mais il n’est jamais bon qu’un système d’exploitation invité puisse influencer de manière négative l’OS hôte.

19 correctifs ont été publiés pour corriger des vulnérabilités d’élévation de privilèges (EoP), dont des correctifs pour des failles du spooler d’impression, dans le prolongement de la vulnérabilité PrintNightmare. La vulnérabilité d’élévation de privilèges dans le noyau DirectX Graphics Kernel (CVE-2022-44710) est mentionnée comme étant divulguée publiquement.

La vulnérabilité de contournement des fonctions de sécurité dans l’agent Azure Network Watcher Agent (CVE-2022-44699) est une autre faille importante du mois. En effet, elle permet à un attaquant de mettre un terme à la capture de paquets depuis l’agent Network Watcher, ce qui peut entraîner l’absence de logs. Toute entreprise utilisant une extension VM pour la collecte de logs doit considérer cette faille comme étant critique.

La faille d’émulation de Microsoft Edge (basé sur Chromium) est corrigée pour empêcher un attaquant de modifier le contenu de la zone de remplissage automatique des données de formulaire.

Ce mois-ci voit aussi la publication d’un nouvel avis de sécurité (ADV220005) qui fournit des recommandations supplémentaires sur des pilotes tiers certifiés par le programme de développement matériel Microsoft Windows.

Synthèse de la publication Microsoft

Les notes de publication du mois concernent de nombreuses gammes de produits Microsoft et de nombreux produits/versions Microsoft, y compris mais sans s’y limiter, l’infrastructurev.NET, Azure, Client Server Run-time Subsystem (CSRSS), le pilote Microsoft Bluetooth Driver, Microsoft Dynamics, Microsoft Edge (basé sur Chromium), le composant graphique Microsoft (Microsoft Graphics Component), Microsoft Office, Microsoft Office OneNote, Microsoft Office SharePoint, Microsoft Office Visio, la bibliothèque de codecs Microsoft Windows, Windows Hyper-V, SysInternals, les certificats Windows, les contacts Windows, Windows DirectX, Windows Error Reporting, Windows Fax Compose Form, Windows HTTP Print Provider, Windows Kernel, Windows PowerShell, Windows Print Spooler Components, Windows Projected File System, Windows Secure Socket Tunneling Protocol (SSTP), Windows SmartScreen, Windows Subsystem pour Linux et Windows Terminal. 

Les téléchargements concernent Cumulative Update (mise à jour cumulative), Monthly Rollup (déploiement mensuel), Security Only (sécurité uniquement) et Security Update (mise à jour de sécurité). (Saeed Abassi, Manager, Vulnerability Signatures, Qualys Lab).