Microsoft a fait carton plein avec son dernier Patch Tuesday, comblant un total de 97 vulnérabilités, dont 6 zero-day mais qui n’ont a priori jamais été exploitées.
Le Patch Tuesday de janvier est gratiné ! On trouve dans la mise à jour mensuelle de Microsoft les correctifs pour 97 failles de sécurité affectant ici Office, là Remote Desktop Protocol, en passant par Exchange Server ou encore Teams.
Parmi ces nombreuses vulnérabilités, six sont zero-day. Ainsi, CVE-2022-21919 permet une élévation de privilège dans le service de profil utilisateur Windows, avec un score CVSS de 7. CVE-2022-21874 et CVE-2022-21836, une faille dans l’API de Windows Security Center et un problème de certificats, sont elles notées 7,8.
Mieux vaut appliquer les correctifs, et vite
CyberArk, à l’origine de la découverte d’une vulnérabilité dans le protocole Windows Remote Desktop (RDP), explique que cette faille permet à tout utilisateur connecté à une machine distante via RDP d'accéder aux machines clientes d'autres utilisateurs connectés, de sorte à pouvoir exécuter sans mal une attaque de type « man-in-the-middle ».
De son côté, Natnam Narang, ingénieur de recherche chez Tenable, explique que CVE-2022-21907, « une faille critique d'exécution de code à distance dans la pile de protocole http » permet à un attaquant distant non authentifié pourrait envoyer une requête spécialement conçue à un serveur vulnérable utilisant la pile de protocole HTTP. « Microsoft prévient que cette vulnérabilité est "vermifuge", ce qui signifie qu'aucune interaction humaine ne serait nécessaire pour qu'une attaque se propage de système en système » écrit-il.