Patch Tuesday – Octobre 2022 : 84 vulnérabilités et 2 zero-day corrigées par Microsoft
Pour ce Patch Tuesday d'octobre 2022, Microsoft a corrigé un total de 84 vulnérabilités ainsi que deux failles zero-day dont une dans Windows qui est déjà exploitée dans le cadre d'attaques ! Faisons le point !
Sur ce total de 84 vulnérabilités, il y en a 13 qui sont considérées comme critiques et elles peuvent correspondre à différents types : élévation de privilèges, exécution de code à distance, etc... Du classique. À cela, s'ajoutent 12 vulnérabilités corrigées dans Microsoft Edge. Voici la liste des 13 vulnérabilités critiques :
- Azure Arc : CVE-2022-37968
- Microsoft Office : CVE-2022-38048
- Microsoft SharePoint : CVE-2022-41038
- Rôle Hyper-V de Windows : CVE-2022-37979
- Autorité de certification Active Directory (ADCS) : CVE-2022-37976
- Windows CryptoAPI : CVE-2022-34689
- Windows - Protocole PPTP : CVE-2022-33634, CVE-2022-22035, CVE-2022-24504, CVE-2022-38047, CVE-2022-41081, CVE-2022-30198 et CVE-2022-38000
Au-delà de ces vulnérabilités, Microsoft a corrigé des failles de sécurité dans d'autres produits, notamment l'Active Directory, le composant Microsoft Graphics, Word, Visual Studio Code, Windows Defender, le client DHCP de Windows, le composant GPO, le noyau Windows, etc... ainsi que le navigateur Microsoft Edge.
Deux vulnérabilités zero-day corrigées par Microsoft
Alors, non, Microsoft n'a pas corrigé les failles zero-day dans Microsoft Exchange ! Ici, il s'agit d'autres vulnérabilités zero-day, dont une qui est activement exploitée dans le cadre d'attaques, tandis que l'autre est connue publiquement.
Cette faille de sécurité est activement exploitée dans le cadre d'attaques, et elle se situe dans le service de gestion des événements système COM+ (COM+ Event System Service) de Windows. L'ensemble des versions de Windows et de Windows Server sont affectées par cette vulnérabilité, y compris Windows 10, Windows 11 et Windows Server 2022.
À son sujet, Microsoft précise : "Un attaquant qui réussirait à exploiter cette vulnérabilité pourrait obtenir des privilèges SYSTEM.". Autrement dit, cette vulnérabilité permet de compromettre totalement une machine et d'en prendre le contrôle. Cette vulnérabilité s'exploite en local.
Cette seconde faille de sécurité a été divulguée, donc elle est connue publiquement, mais elle ne semble pas exploitée dans des attaques pour le moment. Découverte par Cody Thomas de SpecterOps, c'est une vulnérabilité qui affecte Microsoft Office pour Mac (et non sur Windows). Pour être précis, deux versions sont affectées : Microsoft Office LTSC for Mac 2021 et Microsoft Office 2019 for Mac.
Les vulnérabilités zero-day de Microsoft Exchange
Microsoft ne propose pas de correctifs pour les failles de sécurité ProxyNotShell, associées aux références CVE-2022-41040 et CVE-2022-41082. C'est tout de même une mauvaise surprise. Dans son bulletin de sécurité, Microsoft précise : "Les SU d'octobre 2022 ne contiennent pas de correctifs pour les vulnérabilités de type "zero-day" signalées publiquement le 29 septembre 2022 (CVE-2022-41040 et CVE-2022-41082)."
La firme de Redmond a encore besoin de temps avant de mettre en ligne un correctif pour ces deux vulnérabilités. En attendant, il convient d'appliquer les mesures décrites dans cet article.