Si votre PC n’est pas configuré pour se mettre à jour automatiquement, c’est probablement le bon moment pour forcer un patch manuel. La dernière mise à jour Patch Tuesday de Microsoft comprend 128 correctifs stupéfiants pour les vulnérabilités non seulement dans Windows, mais aussi dans Office, Edge, Azure et Skype Entreprise.
Plus inquiétant, la mise à jour contient deux correctifs pour les vulnérabilités du jour zéro, dont l’un a été signalé par la NSA, et serait sous attaque active. Le problème en question – CVE-2022-24521 – est un exploit « d’escalade de privilèges » dans le pilote du système de fichiers journaux commun de Windows.
« Il n’est pas précisé à quel point l’exploit est utilisé dans la nature, mais il est probablement encore ciblé à ce stade et n’est pas largement disponible », écrit Dustin Childs de Trend Micro sur le blog Zero Day Initiative. « Allez patcher vos systèmes avant que la situation ne change. »
Cela semble effrayant, mais le jour zéro « seulement » justifie un score CVSS de 7,8 (10 est le plus élevé), probablement parce que même s’il peut obtenir des privilèges de niveau administrateur, il ne peut le faire que sur une machine connectée. L’autre jour zéro – CVE-2022-26905 – obtient un score de 7,0 et n’a pas encore été exploité, bien que cela pourrait bientôt changer étant donné qu’il a déjà été rendu public.
Au total, Microsoft qualifie trois des bogues de « modérés » et 115 « importants », tandis que dix d’entre eux sont suffisamment graves pour mériter l’étiquette de gravité « critique ». Parmi celles-ci, trois menaces vermifuges ont l’honneur douteux d’obtenir des scores CVSS de 9,8, Microsoft estimant qu’une exploitation est probable.
« Il pourrait s’agir du type de vulnérabilités qui attirent les opérateurs de ransomwares car elles offrent la possibilité d’exposer des données critiques », a déclaré Kevin Breen, directeur de la recherche sur les cybermenaces chez Immersive Labs, à Krebs on Security.
Que faire maintenant
Si les mises à jour automatiques sont activées, Windows aura, espérons-le, corrigé ces méchants de votre système avant qu’ils ne puissent causer des dommages. Mais étant donné la gravité des multiples menaces, cela ne fait pas de mal de vérifier, alors voici un rappel sur la façon de mettre à jour votre PC Windows.
Sous Windows 10, cliquez sur Démarrer > Paramètres > Mises à jour et sécurité > Windows Update. Si vous avez mis à jour vers Windows 11, le chemin est plus simple : Démarrer > Paramètres > Windows Update.
Quel que soit le système d’exploitation sur lequel vous vous trouvez, les correctifs disponibles apparaîtront dans la fenêtre correspondante, vous donnant la possibilité de mettre à jour immédiatement. Vous aurez probablement besoin d’un redémarrage une fois téléchargé et installé, alors assurez-vous de sauvegarder tout votre travail avant de continuer.