Si ce mois de janvier donne le La en termes de volume des patch tuesday à venir pour le reste de l'année, il faudra s'attendre à du lourd. En effet, pour démarrer 2022, Microsoft a publié une très grosse salve de correctifs, pas moins de 97. Et cela, en plus des 24 CVE corrigées en début de mois pour le navigateur Edge et 2 autres relatifs à des projets open source. Parmi les composants qui profitent de ces mises à jour de sécurité on trouve Windows, Sharepoint, Dynamics, Hyper-V, Defender... Habituellement en janvier, la moyenne des vuln du patch tuesday est plutôt de l'ordre de la quarantaine. 

Sur les 97 trous de de sécurité bouchés, 9 sont classés comme étant critiques et 88 d'un niveau de sévérité considéré important. Plusieurs nécessitent donc une attention particulière comme la CVE-2022-21907 pouvant déboucher sur de l'exécution de code à distance basé sur HTTP Protocol Stack (http.sys). « Aucune interaction utilisateur et aucun privilège n'est requis pour ce bug qui peut être exploité en tant que vers », a prévenu Zero Trust Initiative. « Bien que cela soit nettement plus centré sur le serveur, n'oubliez pas que les clients Windows peuvent également exécuter http.sys, de sorte que toutes les versions concernées sont affectées par ce bogue. Testez et déployez ce correctif rapidement ».

Exchange et Office gâtés

Le problème de chargement des messages dans le serveur de messagerie Exchange a égayé les soirées et week-ends de nombreux administrateurs systèmes et réseaux il y a quelques jours. Mais ce n'est pas tout car cette solution a aussi été exposée à des risques de sécurité qui ont fait réagir la firme de Redmond. Trois brèches ont ainsi été comblées dont la CVE-2022-21846 classée critique aussi débouchant sur de l'exécution de code à distance. On retiendra également la faille RCE affectant Office (CVE-2022-21840) d'un niveau de gravité considéré comme sévère. A noter que les utilisateurs des versions 2019 pour Mac et LTSC pour Mac 2021 doivent patienter pour disposer de ce correctif. Attention aussi à la CVE-2022-21857 qui débouche une fois n'est pas coutume sur de l'élévation de privilèges affectant les domaines Active Directory. 

« Ce correctif corrige un bogue qui permettait aux attaquants d'élever des privilèges à travers une limite de confiance Active Directory dans certaines conditions. Bien que les escalades de privilèges attribuent généralement une note de gravité Importante, Microsoft a jugé la faille suffisante pour une note Critique. Cela nécessite un certain niveau de privilèges, donc encore une fois, un initié ou un autre attaquant ayant un pied dans un réseau pourrait l'utiliser pour un mouvement latéral et maintenir une présence au sein d'une entreprise », a prévenu Zero Day Initiative.