Les administrateurs systèmes vont avoir du pain sur la planche après la publication du dernier Patch Tuesday de Microsoft. La livraison du mois de novembre corrige 112 failles dont 17 sont jugées comme critiques, 93 sont classées comme importantes et deux sont de gravité faible.

Beaucoup de failles entraînant du RCE

Les experts constatent une présence anormalement élevée de correctifs liés à de l’exécution de code à distance (RCE). Parmi les failles à corriger rapidement, il y a la CVE-2020-17051 trouvée dans le NFS (network file system) de Windows. NFS est important car il s’agit d’un protocole client/serveur donnant utilisateurs la possibilité d’accéder à des fichiers sur un réseau et de les traiter comme s'ils résidaient dans un répertoire de fichiers local. Les analystes considèrent qu’il ne faudra pas longtemps aux cybercriminels de scanner le port 2049 (propre à NFS) et vérifier si la faille est colmatée.

D’autres vulnérabilités sont prioritaires comme les CVE-2020-17052 et CVE-2020-17053 qui provoquent une corruption de la mémoire dans le moteur de script d'Internet Explorer. Par ailleurs, Microsoft a corrigé la faille CVE 2020-17042 dans le spouleur d'impression qui est susceptible d'entraîner une élévation de privilèges. « L'exploitation de cette vulnérabilité exige l'interaction de l'utilisateur, mais elle se caractérise par une attaque de faible complexité, ce quiaugmente le risque de compromission », explique Qualys dans son analyse du Patch Tuesday. Il ajoute qu’avec le développement du travail à distance, un intérêt particulier devra être porté sur les correctifs liés au poste de travail (codecs Windows, GDI+, les navigateurs, Office et Exchange Server).

Faille découverte par Google corrigée et fin des descriptions des CVE

On notera que l’éditeur a corrigé la brèche CVE-2020-17087 dévoilée la semaine dernière par les équipes de Zero Project de Google. Celle-ci était déjà active au même titre qu’une faille touchant Chrome. Microsoft relativise néanmoins la gravité du problème découvert par Google en soulignant la nécessité d'avoir un accès physique aux différentes installations de Windows Server, Windows 10/RT/8.1/7 touchées par la faille.

Avec le Patch Tuesday de novembre, Microsoft en profite pour supprimer la section de description des CVE. Le Security Response Center de la firme privilégie un recours plus important au Common Vulnerability Scoring System (CVSS). « C'est une méthode précise qui décrit la vulnérabilité avec des attributs tels que le vecteur d'attaque, la complexité de l'attaque, si un adversaire a besoin de certains privilèges, etc. » écrit Microsoft. Certains experts ont critiqué ce choix estimant que beaucoup de données utiles pour les administrateurs vont être perdues et qu'ils auront du mal à prioriser les failles à corriger.