La fin de l’année approche et les administrateurs IT attendaient avec impatience le volume de correctifs du dernier Patch Tuesday pour 2020. Dépassant régulièrement la centaine de patchs, la livraison de décembre de Microsoft avec seulement 58 vulnérabilités apparaît bien légère. Nonobstant, si on la met en perspective sur l’année 2020, l’éditeur a colmaté pas moins de 1 250 failles contre 840 en 2019.

Dans le détail du Patch Tuesday de décembre, 9 failles corrigées sont classées comme critiques, 48 comme importantes et une modérée. Les bogues de sécurité de ce mois-ci concernent Windows, Edge (basé sur EdgeHTML), ChakraCore, Office et Office Services et Web Apps, Exchange Server, Azure DevOps, Dynamics, Visual Studio, Azure SDK et Azure Sphere. Aucune n'est répertoriée comme publiquement connue ou faisant l'objet d'une attaque active. De plus, aucune vulnérabilité n'a reçu un score de gravité CVSSv3 de 9.0 ou plus.

Exchange et Sharepoint à corriger en priorité

Comme toujours, certaines failles sont à réparer en priorité. Notamment, sur Exchange où trois brèches critiques ont été découvertes. L'une d'entre elles est due à une validation incorrecte des arguments des cmdlets, selon Microsoft, qui ne fournit pas de scénarii d'attaque mais note que l'attaquant doit être authentifié avec des privilèges. Autre focus, des vulnérabilités dans Sharepoint (CVE-2020-17121 et CVE-2020-17118). Signalé à l'origine par le programme ZDI (Zero Day Initiative), la première faille ouvre la voie à un utilisateur authentifié d'exécuter un code .NET arbitraire. Au regard de l’importance et de la sensibilité des données dans Sharepoint, les experts en sécurité poussent à corriger très rapidement ces failles.

Toujours en termes de priorité, la CVE-2020-17095 est à regarder de près. Considérée comme critique, elle touche l’hyperviseur Hyper-V et autorise de l’exécution de code à distance. Les autres vulnérabilités critiques ciblent Dynamics 365 for Finance and Operations en version on prem (CVE-2020-17158 et CVE-2020-17152), sans oublier le moteur de script Chakra du navigateur Edge (CVE-2020-17131) qui avait un problème dans le compilateur JIT.

Enfin, il faut noter la présence d'un avis spécial dans le Patch Tuesday, exposant une vulnérabilité d'empoisonnement du cache DNS découverte par des chercheurs en sécurité de l'université de Tsinghua et de l'université de Californie.