- L'événement Patch Tuesday de ce mois-ci apporte aux utilisateurs du monde entier un total de 67 correctifs.
- Près de la moitié des correctifs publiés résoudre les problèmes de privilèges des utilisateurs sur un ordinateur.
- EL'exécution de code arbitraire sur l'ordinateur d'une victime est également un problème résolu maintenant.
- Le composant MSHTML de Microsoft Office est également activement exploité.
Les mises à jour régulières de la société de Redmond prennent la plus grande importance ce mois-ci alors que la société publie un correctif pour un bogue de gravité critique.
Ceci est actuellement désigné par sa référence de désignation de vulnérabilité, CVE-2021-40444.
Nous savons également qu'il est actuellement exploité, dans les documents Office, ainsi que des correctifs importants pour les produits Microsoft et les services cloud.
Microsoft corrige les failles de sécurité via Patch Tuesday
Lors de l'événement Patch Tuesday de ce mois-ci, Microsoft a publié un total de 67 correctifs pour bon nombre de ses produits.
Le plus grand nombre de correctifs, qui est de 27, visait à réparer les problèmes qu'un attaquant pourrait utiliser pour augmenter son propre niveau de privilège sur un ordinateur.
Si vous vous posez des questions sur le deuxième plus grand nombre, qui dans ce cas est 14, adressez-vous à la capacité d'un attaquant à exécuter du code arbitraire sur l'ordinateur d'une victime.
Il est important de savoir que toutes les vulnérabilités critiques, sauf une, appartiennent à la catégorie Exécution de code à distance.
Cela inclut le bogue -40444, qui a été surnommé le Vulnérabilité d'exécution de code à distance Microsoft MSHTML.
La vulnérabilité critique non-RCE est un bogue de divulgation d'informations qui affecte Sphère Azure (CVE-2021-36956), une plate-forme créée par Microsoft, destinée à ajouter une couche de sécurité aux appareils Internet des objets (IoT).
Certains des bogues désagréables affectant le navigateur Edge sur les plates-formes Android et iOS ont également été corrigés par le géant de la technologie.
Les utilisateurs de ce navigateur sur ces appareils devront nécessairement obtenir leurs versions fixes auprès du magasin d'applications approprié pour leur appareil, qui sont tous deux soumis à une vulnérabilité que Microsoft décrit comme usurpation.
Les vulnérabilités critiques affectant Windows lui-même (CVE-2021-36965 et CVE-2021-26435) s'appliquent à un composant appelé WLAN AutoConfig Service.
Si vous ne le saviez pas, cela fait partie du mécanisme utilisé par Windows 10 pour choisir le réseau sans fil auquel un ordinateur se connectera et le moteur de script Windows, respectivement.
Microsoft n'a fourni aucune information supplémentaire avant la date limite de publication du Patch Tuesday sur le mécanisme par lequel ces bogues exécutent du code sur un système.
Les développeurs de Redmond s'attaquent à un énorme bug d'Office ce mois-ci
Après que ce bogue a été découvert et est devenu public le 7 septembre, les chercheurs et les analystes en sécurité ont commencé à échanger des exemples de preuve de concept sur la façon dont un attaquant pourrait exploiter l'exploit.
Malheureusement, le profil élevé de ce bogue signifie que les attaquants en auront pris connaissance et sont susceptibles de commencer à exploiter la vulnérabilité.
Ce méchant bogue implique le composant MSHTML de Microsoft Office, qui peut afficher les pages du navigateur dans le contexte d'un document Office.
Dans l'exploitation du bogue, un attaquant crée un contrôle ActiveX construit de manière malveillante puis incorpore du code dans un document Office qui appelle le contrôle ActiveX lorsque le document est ouvert ou prévisualisé.
Les étapes de l'attaque sont, en termes généraux :
- Target reçoit un document Office .docx ou .rtf et l'ouvre
- Le document extrait le code HTML distant d'une adresse Web malveillante
- Le site Web malveillant fournit une archive .CAB à l'ordinateur de la cible
- L'exploit lance un exécutable depuis l'intérieur du .CAB (généralement nommé avec une extension .INF)
Le script malveillant utilise le gestionnaire intégré pour .cpl (Panneau de configuration Windows) afin d'exécuter le fichier avec une extension .inf (qui est en fait un .dll malveillant) extrait du fichier .cab.
De nombreuses personnes ont non seulement conçu des exploits fonctionnels de preuve de concept (PoC), mais quelques-uns ont créé et publié des outils de création que tout le monde peut utiliser pour armer un document Office.
La version originale de l'exploit utilisait Microsoft Word.docx documents, mais nous avons déjà repéré certaines versions qui utilisent .rtf extensions de fichiers.
Les attaquants utilisent ces techniques non seulement pour lancer des fichiers .exe, mais également des fichiers .dll malveillants, à l'aide de rundll32. Il n'y a aucune raison de croire que l'exploit n'étendra pas non plus sa gamme à d'autres types de documents Office.
Il est bon de savoir que les responsables de Redmond font de leur mieux pour assurer notre sécurité, mais il s'agit d'un effort commun, nous devons donc également faire notre part.
Que pensez-vous des mises à jour du Patch Tuesday de ce mois-ci? Partagez votre opinion avec nous dans la section commentaires ci-dessous.
