Patch Tuesday – Novembre 2022 : 68 vulnérabilités et 6 zero-day corrigées par Microsoft
Microsoft a mis en ligne le Patch Tuesday de Novembre 2022 et il permet de corriger 68 vulnérabilités ainsi que 6 failles zero-day activement exploitées ! C'est l'heure de faire le point !
Sur ce total de 68 vulnérabilités, il y en a 11 qui sont considérées comme critiques et elles peuvent correspondre à différents types : élévation de privilèges, exécution de code à distance, etc... Voici la liste des 11 vulnérabilités critiques :
- Azure : CVE-2022-39327
- Microsoft Exchange Server : CVE-2022-41040 et CVE-2022-41080
- Hyper-V : CVE-2022-38015
- Windows Kerberos : CVE-2022-37967 et CVE-2022-37966
- Windows - Protocole PPTP : CVE-2022-41044, CVE-2022-41039 et CVE-2022-41088
- Windows Scripting : CVE-2022-41118 et CVE-2022-41128
Les produits mentionnés ci-dessus ne sont pas les seuls concernés par ce Patch Tuesday. En effet, Microsoft à également corrigé des failles de sécurité dans le noyau Linux utilisé par WSL2, Microsoft Dynamics, Office, Excel, SharePoint, Word, NPS (Radius), Visual Studio, Windows ALPC, BitLocker, le client Group Policy Preference de Windows, le service Netlogon, le pilote ODBC, Windows MOTW, ou encore le système de fichiers ReFS.
Microsoft Exchange : un correctif pour ProxyNotShell
À l'occasion de la sortie de ce Patch Tuesday, Microsoft a mis en ligne un nouveau correctif de sécurité pour Microsoft Exchange Server afin de corriger les failles de sécurité surnommées ProxyNotShell. Pour être plus précis, il s'agit des deux failles de sécurité suivantes : CVE-2022-41040 et CVE-2022-41082.
Ce correctif était attendu puisque l'on parle de ces vulnérabilités depuis fin septembre ! Microsoft a corrigé ProxyNotShell dans la mise à jour de sécurité KB5019758 pour Microsoft Exchange Server 2019, 2016 et 2013.
Six failles de sécurité zero-day activement exploitées !
Ce Patch Tuesday est également l'occasion pour Microsoft de patcher 6 failles de sécurité zero-day ! Bon, il y en a deux qui correspondent aux vulnérabilités ProxyNotShell mentionnées ci-dessous, mais pour les autres voici un peu plus d'informations.
Découverte par Clément Lecigne et Benoit Sevens de chez Google Threat Analysis, cette vulnérabilité est associée à un score CVSS de 8,8 sur 10. Située dans "Windows Scripting Languages", ce qui correspond probablement au moteur de script de Windows, cette faille de sécurité affecte toutes les versions de Windows.
Pour exploiter cette vulnérabilité, l'attaquant doit convaincre sa future victime de visiter un site Web malveillant ou un partage spécifique. Pour cela, on peut imaginer différentes méthodes, notamment une campagne de phishing. De ce fait, cette vulnérabilité permet une exécution de code à distance.
Découverte par Will Dormann, cette vulnérabilité permet d'outrepasser la fonctionnalité "Mark of the Web" de Windows. Pour rappel, cette fonctionnalité permet d'estampiller un fichier en provenance d'Internet, ce qui permet à certains programmes de traiter différemment ces fichiers, car ils sont potentiellement dangereux.
Par exemple, c'est le cas de Microsoft Office avec le mode protégé, donc le fait de pouvoir bypasser cette protection avec un document spécialement conçu n'est pas anodin. De son côté, Will Dormann a fait une démonstration basée sur une archive ZIP.
Cette faille de sécurité située dans le Spouleur d'impression de Windows s'exploite en local et permet à un attaquant d'obtenir les droits SYSTEM s'il parvient à réussir son attaque. Toutes les versions de Windows sont affectées.
Cette vulnérabilité permet également d'obtenir les droits SYSTEM et elle affecte aussi toutes les versions de Windows. Le service impacté par cette faille de sécurité est lié au processus LSA de Windows.
On se retrouve un peu plus tard pour les mises à jour Windows 10 et Windows 11 !
