Sécurité : La série de correctifs de sécurité de ce mois-ci porte sur des problèmes logiciels critiques, dont une faille de type zero-day connue pour être exploitée activement. Microsoft corrige également la dernière faille de la famille PrintNightmare connue.
Microsoft a publié plus de 60 correctifs et mises à jour de sécurité pour résoudre des problèmes, notamment une faille d’exécution de code à distance (RCE) dans MSHTML et d’autres bugs critiques.
La dernière série de correctifs du géant de Redmond, généralement publiée le deuxième mardi de chaque mois dans le cadre de ce que l’on appelle le Patch Tuesday, a été publiée le 14 septembre.
Parmi les produits concernés par la mise à jour de sécurité de septembre, on trouve Azure Open Management Infrastructure, Azure Sphere, Office Excel, PowerPoint, Word et Access, le noyau, Visual Studio, Microsoft Windows DNS et BitLocker, entre autres logiciels.
Une nouvelle faille de sécurité PrintNightmare
Le 7 septembre, Microsoft indique qu’une faille d’exécution de code à distance dans MSHTML a été identifiée et est utilisée dans un nombre limité d’attaques contre des systèmes Windows. La vulnérabilité de type « zero-day », connue sous le nom de CVE-2021-40444, a été résolue dans ce cycle de correctifs et la société invite les utilisateurs à accepter immédiatement les correctifs de sécurité.
D’autres vulnérabilités notables sont résolues dans cette mise à jour :
- CVE-2021-38667 : cette faille est la dernière de la série des vulnérabilités PrintNightmare qui affectent le spouleur d’impression de plusieurs versions de Windows. Elle permettait à un attaquant de réaliser une élévation de privilège en se connectant à une imprimante distante accessible sur le réseau.
- CVE-2021-38647 : avec un score CVSS de 9,8, il s’agit du bug le plus critique de la liste de septembre. Cette vulnérabilité a un impact sur le programme Open Management Infrastructure (OMI) et permet aux attaquants de réaliser une exécution de code à distance sans authentification en envoyant des messages malveillants via HTTPS au port 5986.« Certains produits Azure, comme Configuration Management, exposent un port HTTP/S pour interagir avec OMI (port 5986 également connu sous le nom de WinRMport) », explique Microsoft. « Cette configuration pourrait permettre l’exécution de code à distance. Il est important de mentionner que la plupart des services Azure qui utilisent OMI le déploient sans exposer le port HTTP/S. »
- CVE-2021-36968 : une vulnérabilité zero-day d’escalade des privilèges DNS de Windows divulguée publiquement, avec un score CVSS de 7.8. Microsoft n’a pas trouvé de preuve, à ce jour, d’une exploitation de cette faille par des attaquants.
- CVE-2021-26435 : une faille critique (CVSS 8.1) dans le moteur de script de Microsoft Windows. Cependant, cette faille de corruption de mémoire nécessite une interaction de l’utilisateur pour se déclencher.
- CVE-2021-36967 : une vulnérabilité jugée critique, avec un score CVSS de 8.0, dans le service Windows WLAN AutoConfig qui peut être utilisée pour une élévation de privilèges.
66 CVE
Selon la Zero Day Initiative (ZDI), les 66 CVE – dont trois critiques, une modérée et les autres jugées importantes – révèlent un volume légèrement supérieur au taux de correction moyen pour 2021, tout en restant inférieur au volume de 2020. En outre, 20 CVE ont été corrigées par Microsoft Edge (Chromium) plus tôt en septembre. Au total, 11 de ces vulnérabilités ont été soumises dans le cadre de la Zero Day Initiative, pour un total de 86 CVE.
Mercredi, Microsoft a mis en garde contre Azurescape, une vulnérabilité qu’il a corrigée, qui affecte Azure Container Instances (ACI). Elle a été signalée par un chercheur de Palo Alto Networks.
Source : ZDNet.com