Le Patch Tuesday de décembre traite 58 vulnérabilités dont 9 sont classées comme critiques. Ces 9 vulnérabilités critiques concernent Exchange, SharePoint, Hyper-V, le moteur JavaScript Chakra ainsi que les postes de travail. Quant à Adobe, l’éditeur a publié des correctifs pour Experience Manager, Prelude, Lightroom et un avis de sécurité provisoire pour Acrobat et Reader.
Ce Patch Tuesday résout des vulnérabilités susceptibles d’impacter les postes de travail. Le déploiement de patches pour Office, Edge et le moteur de script Chakra est une priorité pour les équipements de type poste de travail, c’est-à-dire tous les systèmes utilisés pour accéder à la messagerie ou à Internet depuis un navigateur. Les serveurs multi-utilisateurs faisant office de postes de travail distants sont également concernés.
Microsoft a corrigé cinq vulnérabilités par exécution de code à distance dans Exchange (CVE-2020-17141, CVE-2020-17142, CVE-2020-17144, CVE-2020-17117et CVE-2020-17132) pouvant permettre à un attaquant d’exécuter du code en tant que système suite à l’envoi d’un courrier électronique malveillant. Microsoft estime ces vulnérabilités comme « moins susceptibles d’être exploitées », mais en raison du vecteur d’attaque ouvert, ces correctifs doivent être une priorité pour tous les serveurs Exchange.
Microsoft a corrigé deux RCE (CVE-2020-17121 et CVE-2020-17118) dans SharePoint. CVE-2020-17121 permet à un attaquant authentifié d’accéder au système et de créer un site pour ensuite exécuter du code à distance au sein du noyau. Pour cette raison, il est hautement recommandé d’appliquer en priorité ces correctifs sur tous les déploiements SharePoint.
Microsoft a également corrigé une vulnérabilité RCE dans Hyper-V (CVE-2020-17095) qui permet à un attaquant d’exécuter des programmes malveillants sur une machine virtuelle Hyper-V pour exécuter du code arbitraire sur le système hôte lorsqu’il ne parvient pas à valider correctement des données en paquets vSMB. Il s’agit d’une priorité pour tous les systèmes Hyper-V.
Même si elle n’est indiquée que comme Importante, il existe une vulnérabilité RCE (CVE-2020-17096) dans Microsoft Windows. Un attaquant local pourrait exploiter cette vulnérabilité pour élever ses privilèges tandis qu’un attaquant distant ayant un accès SMBv2 au système affecté pourrait envoyer des requêtes malveillantes sur le réseau.
Microsoft a corrigé une vulnérabilité importante (CVE-2020-17099) qui permettait à un attaquant ayant un accès physique au système ciblé d’exécuter des actions sur un système verrouillé en exécutant du code depuis l’écran de verrouillage Windows pendant une session utilisateur active. Ce correctif doit être déployé en priorité sur tous les équipements Windows.
Adobe a publié des correctifs pour de nombreuses vulnérabilités dans Adobe Experience Manager, Lightroom, Prelude et un avis provisoire de sécurité pour Acrobat et Reader. Les correctifs pour Experience Manager et Acrobat/Reader sont de Priorité 2 tandis que tous les autres patches sont de Priorité 3.
Même si aucune des vulnérabilités rapportées par Adobe n’est a priori activement attaquée pour l’instant, tous les correctifs doivent être déployés en priorité sur les systèmes où ces produits sont installés.