Patch Tuesday décembre 2021 : Microsoft endigue la diffusion d'Emotet

Pour clore l'année, Microsoft a corrigé 67 failles lors du dernier Patch Tuesday. Un correctif est particulièrement important car il colmate une brèche dans Windows AppX, utilisée par le malware Emotet.

Alors que la communauté de cybersécurité est occupée à identifier et corriger les systèmes vulnérables à la faille Log4Shell, Microsoft publie son traditionnel Patch Tuesday mensuel. Cette dernière édition de l’année répare 67 failles. En 2021, l’éditeur aura publié un total de 887 correctifs, soit une progression de 29% par rapport à 2020. A noter que les patchs pour le navigateur Edge sous Chromium sont publiés à part et qu'au début du mois, Microsoft avait émis 16 bulletins (qui viennent s’ajouter aux 67 vulnérabilités corrigées).

Au sein du patch Tuesday de décembre, 7 vulnérabilités sont classées comme critiques et 60 avec un degré de sévérité jugé important. Les administrateurs systèmes devront se pencher en priorité sur la CVE-2021-43890, une faille zero day qui usurpe l’installateur Windows AppX. Satnam Narang, ingénieur de recherche chez Tenable, souligne que cette vulnérabilité « est liée à des attaques associées à la famille Emotet/TrickBot/Bazaloader. Le botnet Emotet a été initialement fermé en janvier, mais il est réapparu en novembre ». Il ajoute que « pour exploiter cette faille, un attaquant doit convaincre un utilisateur d'ouvrir une pièce jointe malveillante, ce qui se fait par le biais d'une attaque de phishing. Une fois exploitée, la vulnérabilité confère à l'attaquant des privilèges élevés, en particulier lorsque le compte de la victime dispose de privilèges administratifs sur le système ».

Une faille dans Office particulièrement sévère

Un autre bug est à réparer rapidement : la faille CVE-2021-43905 qui affiche un score de sévérité CVSS de 9,6. Celle-ci touche Office et provoque une exécution de code à distance. Les experts jugent son exploitation comme « très probable ». Par contre, Microsoft ne précise pas quel programme au sein d’Office est affecté par le problème. Dustin Childs de ZDI (Zero Day Initiative) pointe également la faille CVE-2021-43215 touchant iSNS (Internet Storage Name Service) qui doit être regardée de près. Elle touche « le protocole qui permet d’automatiser la découverte et la gestion des périphériques iSCSI sur un réseau de stockage TCP/IP », explique-t-il. Pour exploiter cette vulnérabilité, un attaquant doit simplement envoyer une requête spécialement conçue au serveur cible.

Enfin, les spécialistes soulignent la CVE-2021-43883 qui aboutit à une élévation de privilège dans Windows Installer. « Il semble s'agir d'un correctif pour le contournement de CVE-2021-41379, une autre vulnérabilité d'élévation de privilèges dans Windows Installer qui aurait été corrigée en novembre. Cependant, les chercheurs ont découvert que cette correction était incomplète et une preuve de faisabilité a été rendue publique à la fin du mois dernier », précise Satnam Narang.