Patch Tuesday – Janvier 2022 : 97 vulnérabilités corrigées et 6 zero-day
Pour ce premier Patch Tuesday de l'année 2022, nous avons le droit à une belle fournée de correctifs puisque Microsoft a corrigé 97 vulnérabilités et 6 failles zero-day.
Sans compter les 29 vulnérabilités corrigées dans le navigateur Edge, Microsoft a corrigé 97 failles de sécurité dont 9 considérées comme critiques et 88 comme importantes. Deux types de failles sortent du lot puisque nous retrouvons 41 vulnérabilités de type élévation de privilèges et 29 vulnérabilités de type exécution de code à distance.
Si l'on s'intéresse aux vulnérabilités critiques, voici la liste obtenue :
- CVE-2022-21846 : exécution de code à distance dans Microsoft Exchange (qui d'ailleurs est concerné aussi par deux autres failles)
- CVE-2022-21840 : exécution de code à distance dans Office
- CVE-2022-21917 : exécution de code à distance dans la librairie Windows Codecs
- CVE-2021-22947 : exécution de code à distance dans Curl (il s'agit d'une zero-day)
- CVE-2022-21857 : élévation de privilèges dans l'Active Directory
- CVE-2022-21898 : exécution de code à distance dans DirectX
- CVE-2022-21912 : exécution de code à distance dans DirectX
- CVE-2022-21907 : exécution de code à distance dans l'implémentation du protocole HTTP
- CVE-2022-21833 : élévation de privilèges via un lecteur IDE d'une machine virtuelle
Comme souvent, de nombreux produits sont concernés par ce Patch Tuesday : .NET Framework, Hyper-V, Windows Defender, Windows IKE Extension, Windows Installer, le noyau Windows, Windows RDP, Windows ReFS, composant Win32K, etc.
Six failles zero-day : aucune exploitée activement
Microsoft a corrigé six failles zero-day, c'est-à-dire des vulnérabilités déjà connues publiquement, mais qui n'étaient pas encore patchée. La bonne nouvelle, c'est que ces vulnérabilités ne semblent pas exploitée activement par les pirates, en tout cas pour le moment, car cela pourrait rapidement changer.
Voici la liste des zero-day :
- CVE-2021-22947 - Exécution de code à distance dans Curl
- CVE-2021-36976 - Exécution de code à distance dans Libarchive
- CVE-2022-21919 - Elévation de privilèges via le service Windows User Profile
- CVE-2022-21836 - Spoofing via le gestionnaire de certificats Windows
- CVE-2022-21839 - Déni de service dans la liste de contrôle d'accès du suivi d’événements pour Windows
- CVE-2022-21874 - Exécution de code à distance dans l'API de l'outil Windows Security Center
Il est à noter que Curl et Libarchive sont des outils externes à Windows et qu'ils ont déjà été patchés par leur éditeur respectif. Néanmoins, la version patchée n'était pas encore disponible pour Windows.
Attention : suite à l'installation de la mise à jour de janvier "KB5009624" sur Windows Server 2012 et Windows Server 2012 R2, des utilisateurs se plaignent qu'Hyper-V ne fonctionne plus ! L'installation de ce correctif fait planter le service Hyper-V donc les machines virtuelles ne peuvent plus démarrer ! Reste à voir si cela touche d'autres versions de Windows.
D'autres articles à suivre dans la journée au sujet des nouvelles mises à jour publiées par Microsoft, notamment pour Windows 10 et Windows 11 :