Microsoft corrige 83 vulnérabilités avec la publication de son Patch Tuesday de décembre 2021, dont 5 classées comme critiques. L’édition de décembre corrige aussi une vulnérabilité Zero-Day activement exploitée.
Les produits concernés par la mise à jour de sécurité de décembre de Microsoft sont Microsoft Office, Microsoft PowerShell, le navigateur Microsoft Edge basé sur Chromium, le noyau Windows, le spooler d’impression et le client du service Bureau à distance.
Microsoft corrige des problèmes dans les logiciels, y compris des vulnérabilités par exécution de code à distance (RCE), des failles de sécurité facilitant une élévation des privilèges ainsi que des problèmes d’usurpation et de déni de service.
CVE-2021-43890 | Vulnérabilité d’usurpation d’identité dans le programme Windows d’installation de paquets AppX :
Cette vulnérabilité CVSS 7.1 est un Zero-Day identifié comme une vulnérabilité d’usurpation d’identité activement exploitée dans le programme d’installation de logiciels AppX et qui affecte Microsoft Windows. Microsoft a identifié des attaques qui tentent d’exploiter cette vulnérabilité en utilisant des paquets malveillants comprenant la famille de malware Emotet/Trickbot/Bazaloader.
Un attaquant peut créer une pièce jointe malveillante qui sera ensuite utilisée pour des campagnes de phishing. Il suffira ensuite à l’attaquant de persuader l’utilisateur ciblé d’ouvrir cette pièce jointe malveillante. Les utilisateurs dont les comptes sont configurés pour avoir moins de droits utilisateur sur le système seront moins impactés que les utilisateurs ayant des droits administratifs.
CVE-2021-43215 | Vulnérabilité de corruption de mémoire sur le serveur iSNS pouvant entraîner l’exécution de code à distance :
Cette vulnérabilité d’exécution de code à distance (RCE) cible le protocole Internet Storage Name Service (iSNS) qui facilite les interactions entre les serveurs et les clients iSNS. Un attaquant peut envoyer une requête malveillante au serveur iSNS pour déclencher une exécution de code à distance. Avec un score de sévérité CVSS de 9,8, cette vulnérabilité critique doit être corrigée en priorité.
CVE-2021-43217 | Vulnérabilité d’exécution de code à distance dans le système de chiffrement de fichiers EFS de Windows :
Il s’agit d’une vulnérabilité RCE qui cible le système de chiffrement de fichiers (EFS) et qui permet à un attaquant de provoquer un débordement de tampon d’écriture entraînant une exécution de code non mis en bac à sable et non authentifié. Avec un score de sévérité CVSS de 8,1, il s’agit d’une vulnérabilité à corriger rapidement.
Microsoft est en train de résoudre cette vulnérabilité via un déploiement en deux temps. Ces mises à jour corrigent la vulnérabilité en modifiant la manière dont le système EFS établit les connexions depuis le client vers le serveur.
Pour obtenir des conseils sur la façon de gérer les modifications requises pour cette vulnérabilité et pour en savoir plus sur le déploiement par étapes, se reporter à l’article KB5009763 : EFS security hardening changes in CVE-2021-43217.
Lorsque la deuxième phase de mises à jour Windows sera disponible au cours du premier trimestre 2022, les clients seront avertis au moyen d’une révision de cette vulnérabilité de sécurité. Pour être avertis de la disponibilité de cette mises à jour, nous vous invitons à vous inscrire à la liste de diffusion des avis de sécurité qui vous tiendra informés des modifications de contenu qui seront apportées à cet avis. Voir les avis de sécurité technique de Microsoft (Microsoft Technical Security Notifications).
CVE-2021-43905 | Vulnérabilité d’exécution de code à distance dans les applications Microsoft Office :
Il s’agit là d’une vulnérabilité d’exécution de code à distance (RCE) non authentifiée dans les applications Microsoft Office. À corriger rapidement car elle affiche un score de sévérité de 9,6.
CVE-2021-41333 | Vulnérabilité d’élévation de privilèges dans le spooler d’impression Windows :
Cette vulnérabilité d’élévation de privilèges dans le spooler d’impression Windows qui a été rendue publique peut être facilement attaquée si bien qu’avec un score de sévérité de 7,8 cette vulnérabilité doit être corrigée rapidement.
CVE-2021-43233 | Vulnérabilité d’exécution de code à distance sur le client Bureau à distance :
Cette vulnérabilité RCE critique contenue dans le déploiement mensuel de Windows doit elle aussi être corrigée rapidement en raison d’un score de sévérité de 7,5.
À l’occasion de ce Patch Tuesday, Adobe a publié 11 mises à jour de sécurité pour ses produits qui permettent de corriger 60 vulnérabilités CVE dont 28 sont classées comme critiques et qui impactent les produits Adobe After Effects, Dimension, Experience Manager, Media Encoder, Photoshop, Prelude, ainsi que Premiere Pro et Rush.
Les tableaux de bord Patch Tuesday les plus récents sont disponibles dans Dashboard Toolbox : 2021 Patch Tuesday Dashboard.
Pour aider les clients à bénéficier de l’intégration sans heurt entre Qualys VMDR et le service Patch Management et à réduire le temps moyen de remédiation des vulnérabilités critiques, l’équipe de chercheurs Qualys anime une série de webinaires mensuels intitulée This Month in Vulnerabilities and Patches.
Y sont évoquées certaines vulnérabilités majeures divulguées au cours du mois précédent et la manière de les corriger :
Microsoft Patch Tuesday, Décembre 2021
Adobe Patch Tuesday, Décembre 2021