Le Patch Tuesday de septembre est à nos portes, donnant à Microsoft la possibilité de corriger, entre autres, deux vulnérabilités zero-day activement exploitées dans la nature.
Conformément à l’avis de sécurité de l’entreprise, les deux failles sont suivies en tant que CVE-2022-37969 et CVE-2022-23960. Le premier est une vulnérabilité d’élévation des privilèges du pilote Windows Common Log File System, et il permet l’exécution de code à distance. Il détient un score de gravité de 7,8.
« Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir des privilèges SYSTEM », prévient l’avis de Microsoft.
Correction de dizaines de défauts
La deuxième faille est décrite comme Arm: CVE-2022-23960 Cache Speculation Restriction Vulnerability et celle-ci permet à un attaquant d’exploiter l’historique de branche partagé dans le tampon d’historique de branche (BHB) pour influencer les branches mal prévues et obtenir des informations sensibles via l’allocation de cache. Il a un score de gravité de 5,6.
Outre ces deux vulnérabilités, Microsoft a corrigé (s’ouvre dans un nouvel onglet) un total de 61 failles, à l’exclusion des 16 failles corrigées dans Microsoft Edge avant la publication de cette mise à jour cumulative. Ces failles incluent 18 vulnérabilités d’élévation de privilèges, 1 vulnérabilité de contournement de fonctionnalité de sécurité, 30 vulnérabilités d’exécution de code à distance, sept vulnérabilités de divulgation d’informations, sept vulnérabilités de déni de service, ainsi que 16 vulnérabilités Edge – Chromium (à l’exclusion des 16 mentionnées précédemment).
Microsoft a eu une année bien remplie à corriger les vulnérabilités zero-day de ses outils et services. Début juillet 2022, il a corrigé un zero-day trouvé dans son navigateur Edge. Suivi sous le nom de CVE-2022-2294, il s’agit d’une faiblesse de débordement de tampon basée sur le tas à haute gravité.
Un mois plus tôt, en juin, la société avait corrigé deux failles qui permettaient aux pirates d’exécuter des logiciels malveillants sur les terminaux cibles. (s’ouvre dans un nouvel onglet), un dans Windows Search et un dans Microsoft Office OLEObject. Grâce à l’utilisation d’un document Word militarisé, le Search zero-day peut être utilisé pour ouvrir automatiquement une fenêtre de recherche avec un logiciel malveillant hébergé à distance. Cela a été rendu possible grâce à la façon dont Windows gère un gestionnaire de protocole URI appelé « search-ms ».
Via : BleepingComputer (s’ouvre dans un nouvel onglet)