Les premiers correctifs Patch Tuesday expédiés par Microsoft pour 2023 ont corrigé un total de 98 failles de sécurité, dont un bogue qui, selon la société, est activement exploité dans la nature.
11 des 98 problèmes sont classés critiques et 87 sont classés importants en termes de gravité, l’une des vulnérabilités étant également répertoriée comme publiquement connue au moment de la publication. Par ailleurs, le fabricant de Windows devrait publier des mises à jour pour son navigateur Edge basé sur Chromium.
La vulnérabilité attaquée concerne CVE-2023-21674 (score CVSS : 8,8), une faille d’élévation de privilèges dans l’appel de procédure locale avancée (ALPC) de Windows qui pourrait être exploitée par un attaquant pour obtenir des autorisations SYSTÈME.
« Cette vulnérabilité pourrait conduire à une fuite du bac à sable du navigateur », a noté Microsoft dans un avis, remerciant les chercheurs d’Avast Jan Vojtěšek, Milánek et Przemek Gmerek d’avoir signalé le bogue.
Alors que les détails de la vulnérabilité sont encore secrets, un exploit réussi nécessite qu’un attaquant ait déjà obtenu une infection initiale sur l’hôte. Il est également probable que la faille soit combinée à un bogue présent dans le navigateur Web pour sortir du bac à sable et obtenir des privilèges élevés.
« Une fois le premier pas pris, les attaquants chercheront à se déplacer sur un réseau ou à obtenir des niveaux d’accès plus élevés et ces types de vulnérabilités d’escalade de privilèges sont un élément clé de ce manuel d’attaque », Kev Breen, directeur de la recherche sur les cybermenaces chez Laboratoires immersifs, a déclaré.
Cela dit, les chances qu’une chaîne d’exploitation comme celle-ci soit utilisée à grande échelle sont limitées en raison de la fonction de mise à jour automatique utilisée pour corriger les navigateurs, a déclaré Satnam Narang, ingénieur de recherche senior chez Tenable.
Il convient également de noter que la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajouté la vulnérabilité à son catalogue de vulnérabilités exploitées connues (KEV), exhortant les agences fédérales à appliquer des correctifs d’ici le 31 janvier 2023.
De plus, CVE-2023-21674 est la quatrième faille de ce type identifiée dans ALPC – une fonction de communication inter-processus (IPC) fournie par le noyau Microsoft Windows – après CVE-2022-41045, CVE-2022-41093 et CVE-2022. -41100 (scores CVSS : 7,8), dont les trois derniers ont été bouchés en novembre 2022.
Deux autres vulnérabilités d’élévation de privilèges identifiées comme hautement prioritaires affectent Microsoft Exchange Server (CVE-2023-21763 et CVE-2023-21764, scores CVSS : 7,8), qui proviennent d’un correctif incomplet pour CVE-2022-41123, selon Qualys .
« Un attaquant pourrait exécuter du code avec des privilèges de niveau SYSTEM en exploitant un chemin de fichier codé en dur », a déclaré Saeed Abbasi, responsable de la recherche sur les vulnérabilités et les menaces chez Qualys, dans un communiqué.
Microsoft a également résolu un contournement de fonctionnalité de sécurité dans SharePoint Server (CVE-2023-21743, score CVSS : 5,3) qui pourrait permettre à un attaquant non authentifié de contourner l’authentification et d’établir une connexion anonyme. Le géant de la technologie a noté que « les clients doivent également déclencher une action de mise à niveau SharePoint incluse dans cette mise à jour pour protéger leur ferme SharePoint ».
La mise à jour de janvier corrige en outre un certain nombre de failles d’escalade de privilèges, dont une dans Windows Credential Manager (CVE-2023-21726, score CVSS : 7,8) et trois affectant le composant Print Spooler (CVE-2023-21678, CVE-2023-21760, et CVE-2023-21765).
La National Security Agency (NSA) des États-Unis a été créditée du signalement CVE-2023-21678. Au total, 39 des vulnérabilités que Microsoft a corrigées dans sa dernière mise à jour permettent l’élévation des privilèges.
La liste est complétée par CVE-2023-21549 (score CVSS : 8,8), une vulnérabilité d’élévation des privilèges connue du public dans le service Windows SMB Witness, et une autre instance de contournement des fonctionnalités de sécurité ayant un impact sur BitLocker (CVE-2023-21563, score CVSS : 6.8).
« Un attaquant réussi pourrait contourner la fonctionnalité BitLocker Device Encryption sur le périphérique de stockage système », a déclaré Microsoft. « Un attaquant ayant un accès physique à la cible pourrait exploiter cette vulnérabilité pour accéder aux données cryptées. »
Enfin, Redmond a révisé ses directives concernant l’utilisation malveillante de pilotes signés (appelés Bring Your Own Vulnerable Driver) pour inclure une liste de blocage mise à jour publiée dans le cadre des mises à jour de sécurité de Windows le 10 janvier 2023.
CISA a également ajouté mardi CVE-2022-41080, une faille d’escalade de privilèges Exchange Server, au catalogue KEV suite à des informations selon lesquelles la vulnérabilité est enchaînée avec CVE-2022-41082 pour permettre l’exécution de code à distance sur des systèmes vulnérables.
L’exploit, nommé OWASSRF par CrowdStrike, a été exploité par les acteurs du rançongiciel Play pour violer les environnements cibles. Les défauts ont été corrigés par Microsoft en novembre 2022.
Les mises à jour du Patch Tuesday arrivent également lorsque Windows 7, Windows 8.1 et Windows RT ont atteint la fin du support le 10 janvier 2023. Microsoft a déclaré qu’il n’offrirait pas de programme de mise à jour de sécurité étendue (ESU) pour Windows 8.1, exhortant plutôt les utilisateurs à mise à niveau vers Windows 11.
« Continuer à utiliser Windows 8.1 après le 10 janvier 2023 peut augmenter l’exposition d’une organisation aux risques de sécurité ou avoir un impact sur sa capacité à respecter les obligations de conformité », a averti la société.
Correctifs logiciels d’autres fournisseurs #
En plus de Microsoft, des mises à jour de sécurité ont également été publiées par d’autres fournisseurs depuis le début du mois pour corriger plusieurs vulnérabilités, notamment —
- Adobe
- AMD
- Android
- Cisco
- Citrix
- Dell
- F5
- Fortinet
- GitLab
- Google Chrome
- HP
- IBM
- Intel
- Juniper Networks
- Lenovo
- Linux distributions Debian, Oracle Linux, Red Hat, SUSE, and Ubuntu
- MediaTek
- Qualcomm
- SAP
- Schneider Electric
- Siemens
- Synology
- Zoom, and
- Zyxel