Après 121 correctifs en août, Microsoft a ralenti un peu la cadence concernant le Patch Tuesday de septembre 2022 avec « seulement » 64 vulnérabilités patchées. Un chiffre auquel on peut toutefois rajouter les 15 CVE déjà comblées par la firme de Redmond en début de mois portant sur Edge et un souci d'exécution spéculative (side-channel speculation) pour accéder à des contenus protégés en mémoire cache des processeurs ARM actuellement exploitée (CVE-2022-23960). Les trous de sécurité bouchés concernent à la fois Windows qu'Azure, .NET, Visual Studio ou encore Office et Defender. Sur les 64 nouvelles CVE publiées aujourd'hui, cinq sont classées critiques et 57 importantes. 

La faille (importante) actuellement exploitée qui a été corrigée par Microsoft et identifiée en tant que CVE-2022-37969 débouche sur une élévation de privilèges au niveau du pilote CLFS (Common Log File System) de Windows. « Selon Microsoft, cette faille a été exploitée dans la nature en tant que zero day », indique Satnam Narang, ingénieur de recherche senior chez Tenable. « Cependant, l'exploitation de cette vulnérabilité nécessite qu'un attaquant ait déjà obtenu l'accès à un système cible vulnérable par d'autres moyens, comme une autre faille ou de l'ingénierie sociale ». Plus tôt cette année, lors du Patch Tuesday d'avril 2022, l'éditeur avait apporté un correctif pour une faille similaire (CVE-2022-24521) que des groupes de pirates auraient pu réussir à contourner.

3 failles critiques au score CVSS de 9.8

Parmi les failles critiques corrigées, il y a la CVE-2022-34718 dont le score CVSS est de 9.8. Affectant le protocole TCP/IP de Windows, elle « pourrait permettre à un attaquant distant non authentifié d'exécuter du code avec des privilèges élevés sur les systèmes affectés sans interaction de l'utilisateur », ont fait savoir les chercheurs de la Zero Day initiative. « Cependant, seuls les systèmes avec IPv6 activé et IPSec configuré sont vulnérables. Bien que ce soit une bonne nouvelle pour certains, si vous utilisez IPv6 (comme beaucoup le sont), vous utilisez probablement également IPSec. Testez et déployez cette mise à jour rapidement ». Attention également deux duos de vuln aussi identifiées comme étant critiques, affectant d'une part Dynamics 365 (CVE-2022-34700 et CVE-2022-35805) ainsi que le protocole Windows Internet Key Exchange (CVE-2022-34721 et CVE-2022-34722). A noter que ces deux dernières ont aussi un score CVSS de 9.8 contre 8.8 pour les deux premières.