Microsoft corrige 66 vulnérabilités dans la mise à jour de septembre

Microsoft a poussé des correctifs pour un total de 66 vulnérabilités et expositions courantes (CVE), trois critiques et une de gravité modérée, ainsi que le CVE-2021-40444 zero-day précédemment divulgué, dans sa mise à jour Patch Tuesday de septembre 2021.

CVE-2021-40444 est une vulnérabilité d’exécution de code à distance dans Microsoft MSHTML, un composant utilisé dans Internet Explorer et Office, et une solution de contournement pour y remédier a été mise à disposition la semaine dernière.

Christopher Hass, directeur de la sécurité de l’information et de la recherche chez Automox, a décrit CVE-2021-40444 comme une vulnérabilité particulièrement désagréable et a recommandé aux équipes de sécurité de donner la priorité à la correction.

« Microsoft a observé des attaques ciblées dans la nature qui ont exploité cette vulnérabilité en utilisant des documents Microsoft Office spécialement conçus », a-t-il déclaré. « Il a été découvert plus tard que les documents en texte enrichi pouvaient également être utilisés pour fournir des charges utiles malveillantes.

Un attaquant pourrait créer un contrôle ActiveX malveillant à utiliser par un document Microsoft Office ou un fichier texte enrichi qui héberge le moteur de rendu du navigateur. L’attaquant devrait alors convaincre l’utilisateur d’ouvrir le document malveillant. Les utilisateurs dont les comptes sont configurés pour avoir moins de droits d’utilisateur sur le système pourraient être moins affectés que les utilisateurs qui fonctionnent avec des droits d’utilisateur administratifs.

« Étant dit que cette vulnérabilité est déjà utilisée par les attaquants et qu’une preuve de concept publique est disponible, les défenseurs doivent corriger cette vulnérabilité dès que possible. »

John Hammond, chercheur principal en sécurité chez Huntress, a déclaré que le correctif pour CVE-2021-40444 semblait, à l’analyse, être efficace.

« Dans le rendu RTF de l’exploit CVE-2021-40444, le fichier CAB malveillant utilisé pour préparer l’exécution du code n’est pas téléchargé et l’exploitation échoue », a-t-il déclaré. « Cela empêche également le vecteur d’attaque présent dans le mode Aperçu de l’Explorateur de fichiers Windows.

« Dans le format associé DOCX de l’exploit, il semble que le fichier CAB soit téléchargé, mais le code ne s’exécute pas et l’exploit échoue toujours. Nous analysons toujours les choses plus en détail et partagerons les mises à jour au fur et à mesure que nous les trouverons. Nous encourageons toujours fortement les organisations à appliquer ce correctif aussi rapidement que possible. »

Les trois CVE critiques corrigés ce mois-ci sont : CVE-2021-26435, une vulnérabilité RCE dans le moteur de script Windows ; CVE-2021-36956, une vulnérabilité RCE dans le service Windows WLAN AutoConfig ayant un impact sur les versions de Windows 7, 8 et 10 et Windows Server ; et CVE-2021-38647, une autre vulnérabilité RCE dans la pile Open Management Infrastructure (OMI).

Parmi ces trois vulnérabilités, CVE-2021-26435 nécessite qu’un utilisateur soit dupé pour ouvrir un fichier spécialement conçu, de sorte que l’exploitation est légèrement moins probable ; CVE-2021-36965 exige qu’un équipement cible se trouve sur un réseau partagé ou qu’un attaquant ait déjà un pied sur le réseau cible, mais il est très dangereux dans ces circonstances ; et CVE-2021-38657 est considéré comme relativement trivial à exploiter. Tous les trois devraient être prioritaires pour l’application de correctifs dans les prochaines 48 à 72 heures, car la militarisation a probablement commencé.

Il convient également de noter dans la baisse de ce mois-ci un certain nombre de correctifs pour les vulnérabilités dans Windows Print Spooler, qui est devenu un sujet brûlant en juillet après la divulgation bâclée d’une vulnérabilité RCE, surnommée PrintNightmare. Les vulnérabilités du spouleur d’impression sont très précieuses pour les acteurs malveillants car le service intégré natif est activé par défaut sur les machines Windows pour gérer les imprimantes et les serveurs d’impression et, en tant que tel, est répandu dans tous les parcs informatiques d’entreprise.

Les trois vulnérabilités du spouleur d’impression corrigées ce mois-ci sont CVE-2021-38667, CVE-2021-38671 et CVE-2021-40447. Tous les trois sont des vulnérabilités d’élévation de privilèges.

« Au cours des derniers mois, nous avons constaté un flux constant de correctifs pour les failles de Windows Print Spooler à la suite de la divulgation de PrintNightmare en juillet », a déclaré Satnam Narang, ingénieur de recherche chez Tenable. « Les chercheurs continuent de découvrir des moyens d’exploiter Print Spooler, et nous nous attendons à ce que les recherches se poursuivent dans ce domaine.

« Un seul [CVE-2021-38671] des trois vulnérabilités est considérée comme une exploitation plus probable. Les organisations devraient également donner la priorité à la correction de ces failles, car elles sont extrêmement précieuses pour les attaquants dans les scénarios de post-exploitation.

Comme d’habitude, le dernier correctif de Redmond corrige plusieurs autres vulnérabilités exécutant la gamme de produits de Microsoft, mais il convient également de noter que plusieurs CVE ont été corrigés dans le navigateur Edge basé sur Chromium de Microsoft plus tôt dans le mois, portant le total de septembre au-dessus de 80.

Kevin Breen, directeur de la recherche sur les cybermenaces chez Immersive Labs, a déclaré : « Ce cycle, nous avons vu 25 vulnérabilités qui ont été corrigées dans Chrome et portées sur la base Chromium de Microsoft.d Bord.

« Je ne peux pas sous-estimer l’importance de corriger vos navigateurs et de les tenir à jour. Après tout, les navigateurs sont la façon dont nous interagissons avec Internet et les services Web qui contiennent toutes sortes d’informations hautement sensibles, précieuses et privées. Que vous pensiez à vos services bancaires en ligne ou aux données collectées et stockées par les applications Web de votre organisation, elles pourraient toutes être exposées par des attaques qui exploitent le navigateur.