Microsoft Patch Tuesday – Décembre 2020: 58 failles patchées

0

Microsoft a adressé 58 vulnérabilités (dont neuf critiques) pour sa mise à jour Patch Tuesday du mois de Décembre 2020. Cela porte le nombre de correctifs du géant de l’informatique à 1250 pour l’année, bien au-delà des 840 de l’année précédente (2019).

Les failles de sécurité de ce mois-ci affectent Microsoft Windows, Edge (basé sur EdgeHTML), ChakraCore, Microsoft Office et Office Services and Web Apps, Exchange Server, Azure DevOps, Microsoft Dynamics, Visual Studio, Azure SDK et Azure Sphere, selon la mise à jour. Aucun bug n’est répertorié comme étant connu du public ou sous attaque active. De plus, aucune vulnérabilité n’a reçu un score de gravité CVSSv3 de 9,0 ou plus.

Détails des failles critiques patchées par Microsoft

Trois des failles critiques se trouvent dans Microsoft Exchange (CVE-2020-17117, CVE-2020-17132 et CVE-2020-17142), toutes permettant l’exécution de code à distance. L’un de ces problèmes est dû à une validation incorrecte des arguments de l’applet de commande, selon Microsoft, qui ne fournit pas de scénario d’attaque, mais note que l’attaquant doit être authentifié avec des privilèges.

« Cela indique que si vous prenez le contrôle de la boîte de réception de quelqu’un, vous pouvez prendre en charge l’intégralité du serveur Exchange », selon Dustin Childs de la Zero Day Initiative (ZDI) de Trend Micro, dans une analyse. «Avec toutes les autres failles d’Exchange, donnez la priorité à votre test et à votre déploiement pour Exchange.»

Toujours concernant Exchange, CVE-2020-17132 fait référence à un contournement de correctif pour CVE-2020-16875, qui a été signalé et corrigé dans la mise à jour Patch Tuesday du mois de Septembre. « Bien que ce ne soit pas critique, » a déclaré Childs.

Childs a également signalé CVE-2020-17121, l’une des deux failles critiques d’exécution de code distance dans Microsoft SharePoint (l’autre est CVE-2020-17118). Initialement signalé via le programme ZDI, la faille pouvait permettre à un utilisateur authentifié d’exécuter du code .NET arbitraire sur un serveur affecté dans le contexte du compte de service d’application Web SharePoint.

«Dans sa configuration par défaut, les utilisateurs authentifiés de SharePoint sont en mesure de créer des sites qui fournissent toutes les autorisations nécessaires qui sont des prérequis pour lancer une attaque», a expliqué Childs. «Des vulnérabilités similaires corrigées plus tôt cette année ont reçu un peu d’attention. Nous soupçonnons que celui-ci le sera aussi.

En fait, les failles de Sharepoint devraient être patché en priorité, a déclaré Kevin Breen, directeur de la recherche sur les cyber-menaces chez Immersive Labs. «Les deux sont jugés aussi critiques que l’exécution de code à distance, et Sharepoint peut être utilisé comme un point d’eau à l’intérieur de grandes organisations par un attaquant», a-t-il déclaré. «Il suffit de placer quelques documents armés pour que le code malveillant se propage dans une organisation.»

microsoft windows

Une autre faille critique à noter est CVE-2020-17095, une vulnérabilité d’exécution de code à distance d’Hyper-V qui permet à un attaquant d’élever les privilèges de l’exécution de code dans un invité Hyper-V à l’exécution de code sur l’hôte Hyper-V en passant des données de paquet vSMB non valides. Cette faille a le score CVSS le plus élevé dans la mise à jour, à 8,5 , car aucune autorisation spéciale n’est nécessaire pour l’exploiter.

«Pour exploiter cette vulnérabilité, un adversaire pourrait exécuter une application personnalisée sur un invité Hyper-V, ce qui obligerait le système d’exploitation hôte Hyper-V à autoriser l’exécution de code arbitraire lorsqu’il ne parvient pas à valider correctement les données de paquets vSMB», a expliqué Jay Goodman, chercheur chez Automox. «La vulnérabilité est présente sur la plupart des versions de Windows 10 et Windows Server 2004 et versions ultérieures.»

Deux failles d’exécution de code à distance post-authentification dans Microsoft Dynamics 365 for Finance and Operations (sur site) (CVE-2020-17158 et CVE-2020-17152) complètent les correctifs critiques, ainsi qu’un problème de corruption de la mémoire dans le moteur de script Chakra , ce qui a un impact sur le navigateur Edge (CVE-2020-17131).

«Une seule des mises à jour critiques a un impact sur le navigateur», a déclaré Childs. «Ce patch corrige une faille dans le compilateur JIT. En effectuant des actions en JavaScript, un attaquant peut déclencher une condition de corruption de mémoire, ce qui conduit à l’exécution de code. L’absence de mises à jour du navigateur pourrait également être une décision consciente de Microsoft pour garantir qu’un mauvais correctif pour un navigateur ne perturbe pas les achats en ligne pendant la saison des fêtes. »

microsoft

Bien que ce soit un mois plus léger que d’habitude en ce qui concerne le volume de correctifs, le flux constant de vulnérabilités critiques d’exécution de code à distance présente un grand risque, a déclaré Justin Knapp, chercheur chez Automox.

«Au lieu d’avoir à manipuler un utilisateur pour qu’il clique sur un lien malveillant ou une pièce jointe, les individus malveillants doivent simplement cibler un système non corrigé pour obtenir un accès initial, auquel cas un certain nombre de méthodes peuvent être utilisées pour augmenter l’accès à des actifs précieux», a-t-il déclaré , faisant référence aux problèmes critiques d’exécution de code distance de ce mois-ci. «Il va sans dire que la vitesse à laquelle une organisation peut déployer ces correctifs dictera le niveau de risque qu’elle prend.»

Les autres failles patchées par Microsoft

En plus des failles critiques, 46 failles au total sont jugées comme importantes et trois sont jugés comme étant de gravité modérée. Les vulnérabilités importantes incluent 10 failles liées à Office ayant un impact sur Outlook, PowerPoint et Excel – pour ces dernières, les versions d’Office 2019 pour Mac n’ont pas encore de correctifs.

Il s’agit de la fin d’une année qui a commencé avec le traitement de 49 vulnérabilités par Microsoft en Janvier 2020, suivi de huit mois consécutifs avec plus de 90 failles traités. En 2020, Microsoft a publié des correctifs pour plus de 1 200 failles.

La mise à jour peut être plus difficile que jamais à l’avenir. « Une des choses qui ressort est que Microsoft a supprimé une grande partie des détails qu’ils partagent habituellement avec de tels avis », a déclaré Breen. «Pour moi, cela pourrait entraîner des problèmes. L’application de correctifs n’est pas aussi simple que de cliquer sur un bouton de mise à jour et les équipes de sécurité aiment mieux comprendre ce qu’elles font. Au lieu de cela, on s’attend à ce qu’ils opèrent avec moins d’informations. »

Ailleurs, Adobe a publié des correctifs pour les failles liées à une faille de niveau important et à trois failles de gravité critique, lors de ses mises à jour de sécurité régulièrement programmées au mois de Décembre.

«Bien que plus légers que d’habitude, les plus sévères permettent l’exécution de code arbitraire, y compris trois failles de gravité critique et une faille moins grave (importante) identifiée», a déclaré Nick Colyer, chercheur d’Automox. «Les vacances présentent des défis uniques pour les prochaines périodes d’absence des équipes de sécurité et la gravité des vulnérabilités corrigées par Adobe n’est pas anodine face à ces défis. Il est important de prioriser toutes les vulnérabilités majeures pendant les vacances afin de réduire la surface de menace exposée aux attaquants potentiels. »

Laisser un commentaire