Un Patch Tuesday copieux pour débuter 2022. Microsoft corrige un peu moins d'une centaine de vulnérabilités de sécurité, sans compter des vulnérabilités pour le navigateur Microsoft Edge déjà comblées avec une mise à jour la semaine dernière.
Neuf vulnérabilités sont critiques et six ont fait l'objet d'une divulgation publique. Pour le moment, Microsoft ne mentionne toutefois pas une exploitation active dans des attaques.
Une vulnérabilité sous forme de ver
Avec un score CVSSv3 de 9,8, la vulnérabilité critique d'exécution de code à distance CVE-2022-21907 dans la pile du protocole HTTP est considérée comme la plus sévère par les experts en cybersécurité. Elle affecte Windows 10 et Windows 11, ainsi que Windows Server 2019 et 2022.
Microsoft souligne une vulnérabilité wormable pouvant donc servir à une propagation de vers informatiques entre des machines vulnérables et sans interaction de l'utilisateur. Il est précisé que dans Windows Server 2019, la fonctionnalité HTTP Trailer Support contenant la vulnérabilité n'est pas activée par défaut.
It's a large release from #Adobe and #Microsoft on the first #patchtuesday of 2022. Join @dustin_childs as he breaks down the details of the various bugs, including a wormable flaw in http.sys. https://t.co/7RpCSfnzmX
— Zero Day Initiative (@thezdi) January 11, 2022
" Dans la plupart des cas, un attaquant non authentifié pourrait envoyer un paquet spécialement conçu à un serveur ciblé utilisant la pile du protocole HTTP (http.sys) pour traiter les paquets. " Microsoft recommande de corriger en priorité les serveurs concernés. Pour Zero Day Initiative (Trend Micro), Dustin Childs souligne toutefois que les clients Windows peuvent aussi exécuter htpp.sys.
