Actu
Microsoft Patch Tuesday : 9 vulnérabilités critiques corrigées en décembre
décembre 2020 par Satnam Narang, Principal Research Engineer, chez Tenable
Le Patch Tuesday publié ce mois par Microsoft inclut des correctifs pour 58 CVE, dont 9 sont jugées critiques.
Satnam Narang, Principal Research Engineer, chez Tenable, commente :
« Il s’agit de la fin d’une année qui a commencé avec le traitement de 49 CVE par Microsoft en janvier 2020, suivi de huit mois consécutifs avec plus de 90 CVE traitées. En 2020, Microsoft a publié des correctifs pour plus de 1 200 CVE, dépassant ainsi le total de 840 atteint en 2019. La version de ce mois-ci n’incluait aucune vulnérabilité exploitée dans la nature ou révélée publiquement, et aucune vulnérabilité ne s’est vu attribuer un score CVSSv3 de 9,0 ou plus.
Microsoft a corrigé plusieurs failles identifiées dans Exchange, parmi lesquelles une divulgation d’informations, identifiée comme CVE-2020-17143. Elle comportait également cinq vulnérabilités d’exécution de code à distance, identifiées comme CVE-2020-17117, CVE-2020-17132, CVE-2020-17141, CVE-2020 -17142, CVE-2020-17144. À noter, CVE-2020-17132, traite d’un contournement de correctif pour CVE-2020-16875, qui a été signalé et corrigé dans la version Patch Tuesday publiée en septembre dernier. Cependant, Steven Seeley, le chercheur à l’origine de la divulgation de la vulnérabilité, est parvenu à contourner le correctif publié en septembre.
Bien que ce Patch Tuesday semble plus léger que d’habitude, une autre vulnérabilité devrait attirer davantage l’attention des spécialistes. Oskars Vegeris, ingénieur en sécurité, a en effet publié des détails sur une vulnérabilité d’exécution de code à distance sans clic dans Microsoft Teams pour macOS, Windows et Linux. La notion de vulnérabilité "zéro clic" signifie que le destinataire d’un message Microsoft Teams n’a pas besoin d’effectuer une quelconque action. L’exploitation se produira simplement en lisant le message, et cela inclut la modification d’un message existant qu’un attaquant avait déjà envoyé à la victime.
Microsoft n’a pas alloué de CVE pour cette vulnérabilité, mais il semblerait qu’elle ait été corrigée. Compte tenu du nombre d’organisations qui se sont appuyées sur des logiciels de collaboration dans le cadre de leur basculement en télétravail cette année et du fait que Microsoft compte 115 millions d’utilisateurs actifs quotidiens pour Teams, il est extrêmement important que les organisations accordent la priorité à la correction de cette vulnérabilité. »
