Microsoft corrige sept bugs critiques sur Light Patch Tuesday
4 min read
Microsoft a résolu un total de 44 vulnérabilités et expositions courantes (CVE), dont sept ont été classées comme critiques et dont une seule était activement exploitée dans la nature comme un jour zéro, dans une version plus légère que d’habitude de Patch Tuesday.
C’est la deuxième fois en 2021 que Microsoft corrige moins de 50 CVE, le la dernière fois en juin.
Il marque également une baisse significative par rapport à Patch de juillet mardi, qui a corrigé 117 vulnérabilités, dont 13 étaient critiques et quatre étaient activement exploitées à l’époque.
Le correctif zero-day exploité est CVE-2021-36948, une vulnérabilité d’élévation des privilèges dans le service Windows Update Medic qui a été signalée en interne par les équipes de recherche en sécurité de Microsoft.
Selon Eric Feldman, responsable marketing produit senior d’Automox, les vulnérabilités de ce mois-ci concernent les composants de Windows qui effectuent les communications réseau, les connexions Internet, l’impression, la réparation de fichiers ou les connexions à distance.
« Plusieurs de ces composants ont fait l’objet d’un certain nombre de vulnérabilités signalées jusqu’à présent cette année. Alors que l’été commence à tirer à sa fin, le retour dans des bureaux physiques semble moins probable pour de nombreux segments de la main-d’œuvre », a-t-il déclaré. “La tendance est que le travail à distance est là pour rester, ce qui rend la priorité de la correction de ces composants d’autant plus vitale.”
Décomposant la vulnérabilité exploitée, qui a été marquée comme importante, le directeur du marketing produit d’Automox, Jay Goodman, a déclaré qu’Update Medic était un nouveau service qui permettait aux utilisateurs de réparer les composants Windows Update à partir d’un état endommagé afin que l’appareil puisse continuer à recevoir des mises à jour.
“L’exploit est à la fois peu complexe et peut être exploité sans interaction de l’utilisateur, ce qui en fait une vulnérabilité facile à inclure dans une boîte à outils d’adversaires”, a-t-il déclaré, ajoutant qu’en raison de son exploitation dans la nature, les organisations devraient prioriser un correctif.
« Pour aggraver la situation, les vulnérabilités d’exécution de code à distance sont particulièrement problématiques car elles permettent aux attaquants d’exécuter du code malveillant sur les systèmes exploités. Lorsqu’elles sont combinées à d’autres vulnérabilités permettant une escalade des privilèges, les attaquants peuvent rapidement et facilement prendre le contrôle total du système cible et l’utiliser soit pour exfiltrer des données, soit pour se déplacer latéralement au sein de l’infrastructure de l’organisation.
Aucune des vulnérabilités critiques n’a encore été exploitée, mais toutes tournent autour de l’exécution de code à distance (RCE). Ceux-ci incluent CVE-2021-26432, -26424 -34480, -34530, -34534, -34535 et -36936.
L’architecte principal de la sécurité de Recorded Future, Allan Liska, a déclaré que parmi ceux-ci, CVE-2021-26424 était celui auquel les organisations devraient prêter la plus grande attention.
« Il s’agit d’une vulnérabilité d’exécution de code à distance Windows TCP/IP qualifiée de critique par Microsoft. Cette vulnérabilité affecte Windows 7 à 10 et Windows Server 2008 à 2019 », a-t-il déclaré.
« Bien que cette vulnérabilité ne soit pas répertoriée comme divulguée publiquement ou exploitée dans la nature, Microsoft l’a qualifiée d’« exploitation plus probable », ce qui signifie que l’exploitation est relativement insignifiante. Les vulnérabilités de la pile TCP/IP peuvent être délicates : certaines sont faciles à exploiter tandis que d’autres sont pratiquement impossibles, selon l’endroit où elles se trouvent dans la pile.
En ce qui concerne les vulnérabilités des spouleurs d’impression, Chris Goettl, directeur principal de la gestion des produits chez Ivanti, a noté que deux d’entre elles (CVE-2021-34481 et -36936) ont été marquées comme divulguées publiquement.
« CVE-2021-34481 est en fait une réédition du Patch Tuesday de juillet. Après une enquête plus complète, Microsoft a effectué une mise à jour supplémentaire pour traiter la vulnérabilité de manière plus complète. Normalement, une divulgation publique est suffisante pour exposer une vulnérabilité à un risque plus élevé d’être exploitée puisque les détails de la vulnérabilité ont été rendus disponibles avant la publication de la mise à jour », a-t-il déclaré.
“Dans ce cas, juste à la suite de plusieurs vulnérabilités connues du spouleur d’impression exploitées, y compris ImprimerCauchemar (CVE-2021-34527), le risque que ces vulnérabilités divulguées publiquement soient exploitées a augmenté.
« Alors qu’un acteur menaçant enquête sur les vulnérabilités du code, il recherchera potentiellement plusieurs façons d’exploiter une zone de code faible. Les chercheurs de White Hat ont pu découvrir et signaler ces exploits supplémentaires, nous devrions donc nous attendre à ce que les acteurs de la menace soient également en mesure d’identifier ces vulnérabilités supplémentaires. »
Satnam Narang, ingénieur de recherche chez Tenable, a ajouté que Microsoft a corrigé un total de trois vulnérabilités dans le spouleur d’impression Windows, dont deux (CVE-2021-36947 et -36936) ont été classées comme étant plus susceptibles d’être exploitées. Cette dernière vulnérabilité a été identifiée comme critique.
« En raison de la nature omniprésente du spouleur d’impression Windows au sein des réseaux, les entreprises doivent donner la priorité à la correction de ces failles dès que possible », a-t-il déclaré.
