Pour ce mois de décembre, Microsoft termine l'année sur un patch tuesday plutôt resserré mais non moins intéressant. Ainsi, la firme de Redmond comble 42 vulnérabilités dont 8 imputables au navigateur Chromium sur lequel repose notamment son navigateur web Edge ainsi qu'une autre résolvant une fuite spéculative de sécurité CVE-2023-20588 de type zero day affectant certains processeurs AMD et pourrait renvoyer des données sensibles. Cette faille a été révélée en août 2023, et AMD n'a fourni aucun correctif, mais cela n'a pas empêché Microsoft de réagir ce mois-ci : « la vulnérabilité attribuée à cette CVE est présente dans certains modèles de processeur AMD. L’atténuation contre cette vulnérabilité exige une mise à jour Windows. Cette CVE est incluse dans le guide des mises à jour de sécurité pour signaler que les dernières builds de Windows activent l’atténuation et fournissent une protection contre cette faille », explique l'éditeur.

Sur les 33 failles corrigées par Microsoft, 4 sont critiques : CVE-2023-35641 et CVE-2023-35630 (toutes deux CVSS 8.8) ouvrant la voie à de l'exécution de code distant dans Internet Connection Sharing (ICS). « Cette fonction n'est pas activée par défaut et est rarement utilisée, mais si vous l'utilisez, une exécution de code peut se produire lorsqu'un attaquant proche du réseau envoie un paquet spécialement conçu à un serveur affecté », indique la Zero Day Initiative. Les deux autres failles critiques sont les CVE-2023-36019 (CVSS 9.6 avec du spoofing sur Power Platform Connector) et CVE-2023-35628 (CVSS 8.4 avec de l'exécution de code distant dans Windows MSHTML Platform Remote).

Des failles USBHUB 3.0 et Outlook aussi à patcher

Une autre faille RCE, bien que non critique, mérite aussi une attention particulière en l'occurrence la CVE-2023-35629 affectant USBHUB 3.0. « Le bogue de l'USBHUB nécessite un accès physique, même si Microsoft le répertorie comme un bogue RCE. Il semble que le branchement d'un pilote USB spécialement conçu puisse entraîner l'exécution de code. La vulnérabilité du pilote Bluetooth exige que l'attaquant se trouve à proximité physique, mais il lui suffit d'envoyer et de recevoir des transmissions radio pour l'exploiter », prévient la Zero Day Initiative.

Non critique aussi, il faut aussi se méfier de la CVE-2023-35636 qui concerne Outlook : « si elle est exploitée, cette faille entraîne la divulgation des hachages NTLM. Ils peuvent être utilisés pour usurper l'identité d'autres utilisateurs et obtenir un accès supplémentaire au sein d'une entreprise. Au début de l'année, Microsoft a appelé un bogue similaire générant une élévation de privilèges. Quelle que soit la catégorie utilisée, les acteurs de la menace trouvent ces types de bogues attrayants et les utilisent fréquemment », indique l'organisation.