Microsoft a publié aujourd’hui des mises à jour pour combler plus de 80 failles de sécurité dans son les fenêtres systèmes d’exploitation et autres logiciels, y compris un qui est activement exploité et un autre qui a été divulgué avant aujourd’hui. Dix des failles ont obtenu la cote « critique » la plus grave de Microsoft, ce qui signifie qu’elles pourraient être exploitées par des logiciels malveillants ou des malfaiteurs pour prendre le contrôle à distance de systèmes non corrigés avec peu ou pas d’interaction de la part des utilisateurs de Windows.
Le plus préoccupant du lot de ce mois-ci est probablement un bogue critique (CVE-2021-1647) dans la suite anti-malware par défaut de Microsoft — Windows Defender — c’est voir une exploitation active. Microsoft a récemment cessé de fournir beaucoup de détails dans ses avis de vulnérabilité, il n’est donc pas tout à fait clair comment cela est exploité.
Mais Kévin Breendirecteur de recherche à Laboratoires immersifsindique que selon le vecteur, la faille pourrait être triviale à exploiter.
« Cela pourrait être aussi simple que d’envoyer un fichier », a-t-il déclaré. « L’utilisateur n’a pas besoin d’interagir avec quoi que ce soit, car Defender y accédera dès qu’il sera placé sur le système. »
Heureusement, ce bogue est probablement déjà corrigé par Microsoft sur les systèmes des utilisateurs finaux, car la société met continuellement à jour Defender en dehors du cycle de correctifs mensuel normal.
Breen a attiré l’attention sur une autre vulnérabilité critique ce mois-ci – CVE-2020-1660 – qui est une faille d’exécution de code à distance dans presque toutes les versions de Windows qui a valu une Note CVSS de 8,8 (10 est le plus dangereux).
« Ils classent cette vulnérabilité comme « faible » en termes de complexité, ce qui signifie qu’une attaque pourrait être facile à reproduire », a déclaré Breen. « Cependant, ils notent également qu’il est » moins susceptible « d’être exploité, ce qui semble contre-intuitif. Sans contexte complet de cette vulnérabilité, nous devons compter sur Microsoft pour prendre la décision à notre place.
CVE-2020-1660 n’est en fait qu’un des cinq bogues d’un service Microsoft de base appelé Appel de procédure à distance (RPC), qui est responsable de beaucoup de tâches lourdes dans Windows. Certains des vers informatiques les plus mémorables de la dernière décennie se sont propagés automatiquement en exploitant les vulnérabilités RPC.
Allan Liskaarchitecte sécurité senior chez Avenir enregistréa déclaré que bien qu’il soit préoccupant que tant de vulnérabilités autour du même composant aient été publiées simultanément, deux vulnérabilités précédentes dans RPC — CVE-2019-1409 et CVE-2018-8514 — n’ont pas été largement exploités.
Les quelque 70 failles restantes corrigées ce mois-ci ont valu à Microsoft les notes « importantes » moins graves, ce qui ne veut pas dire qu’elles sont beaucoup moins préoccupantes pour la sécurité. Exemple : CVE-2021-1709qui est une faille « d’élévation des privilèges » dans Windows 8 à 10 et Windows Server 2008 à 2019.
« Malheureusement, ce type de vulnérabilité est souvent rapidement exploité par les attaquants », a déclaré Liska. « Par example, CVE-2019-1458 a été annoncé le 10 décembre 2019, et le 19 décembre, un attaquant a été vu en train de vendre un exploit pour la vulnérabilité sur les marchés clandestins. Ainsi, alors que CVE-2021-1709 n’est classé que comme [an information exposure flaw] par Microsoft, il devrait être prioritaire pour les correctifs.
Initiative ZDI de Trend Micro a souligné un autre défaut marqué « important » – CVE-2021-1648un bogue d’élévation des privilèges dans Windows 8, 10 et certains Windows Server 2012 et 2019 qui a été divulgué publiquement par ZDI avant aujourd’hui.
« Il a également été découvert par Google, probablement parce que ce correctif corrige un bogue introduit par un correctif précédent », a déclaré ZDI. Dustin Childs mentionné. « Le précédent CVE était exploité à l’état sauvage, il est donc raisonnable de penser que ce CVE sera également activement exploité. »
Séparément, Adobe a publié des mises à jour de sécurité pour résoudre au moins huit vulnérabilités sur une gamme de produitsy compris Adobe Photoshop et Illustrateur. Il n’y a pas Lecteur Flash mises à jour parce qu’Adobe a retiré le plug-in du navigateur en décembre (alléluia !) et que le cycle de mise à jour de Microsoft du mois dernier a supprimé le programme des navigateurs de Microsoft.
Les utilisateurs de Windows 10 doivent savoir que le système d’exploitation téléchargera les mises à jour et les installera toutes en même temps selon son propre calendrier, en fermant les programmes actifs et en redémarrant le système. Si vous souhaitez vous assurer que Windows a été configuré pour suspendre la mise à jour afin que vous ayez amplement l’occasion de sauvegarder vos fichiers et/ou votre système, consultez ce guide.
Veuillez sauvegarder votre système avant d’appliquer l’une de ces mises à jour. Windows 10 a même quelques outils intégrés pour vous aider à le faire, soit par fichier/dossier, soit en créant une copie complète et amorçable de votre disque dur en une seule fois. Vous ne savez jamais quand un patch roll-up va perturber votre système ou éventuellement endommager des fichiers importants. Pour ceux qui recherchent des options de sauvegarde plus flexibles et complètes (y compris des sauvegardes incrémentielles), Acronis et Macrium sont deux que j’ai utilisé précédemment et valent le détour.
Cela dit, il ne semble pas encore y avoir de problèmes majeurs avec le lot de mises à jour de ce mois-ci. Mais avant d’appliquer les mises à jour, pensez à visiter DemandezWoody.comqui a généralement le maigre sur tous les rapports sur les correctifs problématiques.
Comme toujours, si vous rencontrez des problèmes ou des problèmes lors de l’installation de l’un de ces correctifs ce mois-ci, veuillez envisager de laisser un commentaire à ce sujet ci-dessous ; il y a de fortes chances que d’autres lecteurs aient vécu la même chose et peuvent donner ici quelques conseils utiles.