Microsoft corrige deux bogues critiques zero-days et 10

Deux vulnérabilités zero-day – dont l’une a déjà été divulguée et soi-disant corrigée deux fois – font partie d’un total de 119 failles corrigées par Microsoft dans sa mise à jour Patch Tuesday d’avril 2022, aux côtés de plus de 20 vulnérabilités Chromium dans le navigateur Edge.

Les vulnérabilités en question sont CVE-2022-24521, une vulnérabilité d’élévation de privilèges dans le pilote du système de fichiers journaux communs de Windows, qui est exploitée mais pas publique ; et CVE-2022-26904, une vulnérabilité d’élévation de privilèges dans le service de profil utilisateur Windows, qui est publique mais non exploitée. Les deux vulnérabilités portent des scores CVSS compris entre sept et huit, jugés importants.

Comme indiqué ci-dessus, CVE-2022-26904 est d’un intérêt particulier ce mois-ci car il était censé avoir été corrigé dans la mise à jour d’août 2021, lorsqu’il a été suivi comme CVE-2021-34484. Cependant, le chercheur qui l’a découvert plus tard a découvert un contournement, puis quand cela a été corrigé à nouveau en janvier, il est allé le contourner une deuxième fois. Il est connu pour être difficile à exploiter car il nécessite un acteur malveillant pour chronométrer parfaitement son attaque pour gagner ce que l’on appelle une « condition de course ».

Parmi les autres vulnérabilités, 10 sont classées comme critiques, 115 importantes et trois modérées, ce qui fait de la mise à jour d’avril la plus importante observée jusqu’à présent en 2022. Plus de détails sur certaines des autres vulnérabilités les plus percutantes ce mois-ci peuvent être trouvés ici.

Bien que de grande envergure, la baisse d’avril pourrait finalement s’avérer plus remarquable pour être l’une des dernières mises à jour Patch Tuesday de Microsoft – du moins dans sa forme actuelle. Plus tôt en avril, Redmond a révélé son intention de déployer un nouveau service appelé Windows Autopatch en tant que fonctionnalité des licences Windows Enterprise E3, couvrant Windows 10, 11 et Windows 365. Celui-ci sera disponible en juillet 2022.

« Ce service maintiendra les logiciels Windows et Office sur les points de terminaison inscrits à jour automatiquement, sans frais supplémentaires. Les administrateurs informatiques peuvent gagner du temps et des ressources pour générer de la valeur. Le deuxième mardi de chaque mois sera ‘juste un autre mardi’ », a déclaré Lior Bela de Microsoft.

Bela a déclaré que le développement du service a été motivé par la complexité croissante des environnements informatiques d’entreprise, ce qui a considérablement augmenté le nombre de vulnérabilités potentielles aux correctifs, entraînant des failles de sécurité lorsque les correctifs ne sont pas appliqués en temps opportun.

« Autopatch, en automatisant la gestion des mises à jour, peut fournir une réponse rapide aux changements et la confiance autour de l’introduction de nouveaux changements, et combler les écarts de protection et de productivité », a déclaré Bela.

« La valeur devrait être ressentie immédiatement par les administrateurs informatiques qui n’auront pas à planifier le déploiement et le séquençage des mises à jour, et à long terme, car l’augmentation de la bande passante leur laisse plus de temps pour se concentrer sur la création de valeur. Les mises à jour de qualité devraient améliorer les performances des appareils et réduire les tickets d’assistance – les mises à jour des fonctionnalités doivent offrir aux utilisateurs une expérience optimale, avec une disponibilité accrue et de nouveaux outils pour créer et collaborer. »

À la base, le service s’appuiera sur un déploiement progressif de correctifs à travers une série de soi-disant anneaux. À l’avenir, le processus de correctif commencera avec un petit noyau d’appareils utilisés à des fins de test et de validation avant de se répercuter plus largement dans le reste du parc de l’entreprise, avec des fonctionnalités supplémentaires baptisées Halt, Rollback et Selectivity qui entreront en jeu en cas de rupture.

Microsoft pense que cela l’aidera à améliorer le service Autopatch et à offrir une tranquillité d’esprit aux équipes de sécurité des utilisateurs finaux.

« Maintenir les logiciels à jour est l’une des mesures préventives les plus efficaces qu’une organisation puisse prendre. Les cyberattaques ne sont pas magiques, et en appliquant rapidement des correctifs aux systèmes, les organisations peuvent réduire la surface d’attaque disponible », a déclaré Tim Erlin, vice-président de la stratégie chez Tripwire.

« Microsoft prend depuis longtemps en charge les mises à jour automatiques, mais cette fonctionnalité de base n’a jamais résolu la myriade de problèmes potentiels liés à l’application de correctifs à grande échelle. Autopatch vise à mettre en œuvre un processus plus robuste pour la fourniture de mises à jour, y compris les tests et les déploiements échelonnés.

« Pour les organisations qui utilisaient déjà des mises à jour automatiques, Autopatch devrait leur faciliter la vie. Et pour les organisations qui n’ont pas appliqué les mises à jour automatiquement, Autopatch devrait leur permettre de le faire. »

Plus d’informations sur le service Windows Autopatch sont disponibles dans une FAQ compilée par Microsoft.