Le dernier Patch Tuesday de Microsoft arrive à point nommé. La dernière mise à jour de sécurité mensuelle de l'éditeur vient combler la bagatelle de 68 vulnérabilités dans Windows, Office, Edge, Internet Explorer et SQL Server. Fait alarmant, deux d’entres elles avaient déjà été exploitées tandis que trois autres étaient déjà connues.

Le Patch Tuesday de novembre se décompose ainsi en 14 bulletins de sécurité, dont un dédié à Adobe qui doit être mis à jour à travers Windows, comme le mois dernier. Six d’entre eux sont jugés critiques et 8 sont importants. Les administrateurs devraient prioriser le bulletin MS16-135 qui porte sur une faille zero-day qui a déjà été exploitée par un groupe d’attaquants connu sous les noms Fancy Bear, APT28 ou encore Strontium. Conformément à sa politique dans le domaine, Google avait révélé publiquement l’existence de cette vulnérabilité (CVE-2016-7255), 10 jours après l’avoir signalée à Microsoft. Cela avait déclenché quelques frictions entre les deux compagnies. Microsoft estimait que la démarche de Google augmentait les risques d’attaque.

Des failles déjà exploitées

Le bulletin MS16-132 ne doit pas non plus être pris à la légère. Classé critique, il vient boucher plusieurs failles permettant l’exécution de code malveillant, dont une zero-day qui avait déjà été exploitée. Cette dernière est localisée dans la librairie de police de caractères de Windows et peut être exploitée à partir de typographies spéciales, intégrée à des sites web ou des documents. Utilisée avec succès, cette faille permet à l’attaquant de prendre le contrôle du système infecté.

Les trois autres failles critiques, couvertes par les bulletins MS16-142 et MS16-129, avaient déjà été rendues publiques mais jamais exploitées, assure la firme. Elles affectaient Edge et Internet Explorer. Le patch MS16-133 adressé à Office est seulement classé important, mais il vient combler une faille permettant l’exécution de code malveillant à partir de documents vérolés. « Dans la mesure où les documents Office sont très répandus dans l’environnement d’entreprise typique, je pense que ce bulletin doit être considéré comme critique, même s’il n’est jugé qu’important par Microsoft », a déclaré Amol Sarwate, responsable du Vulnerability Labs de Qualys.

SQL Server affecté

Les administrateurs de Microsoft SQL Server devront, quant à eux, jeter un œil au bulletin MS16-136 qui doit régler des vulnérabilités dans le moteur RDBMS, les API MDS, le SQL Analysis Services et SQL Server Agent. « Les failles dans SQL Server sont peu fréquentes et mais bien qu’il n’y ait aucune possibilité d’exécuter du malveillant à distance, les attaquants peuvent quand même accéder à certains droits pour regarder, modifier ou détruire certains fichiers », explique Amol Sarwate.