Il n'y a pas que Log4Shell, il y a aussi le Patch Tuesday de Microsoft

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Il n'y a pas que Log4Shell, il y a aussi le Patch Tuesday de Microsoft

Publié le 15 décembre 2021 à 09:55 par Jérôme G.

Lire sur mobile

Dans le contexte de la vulnérabilité Log4Shell qui donne des sueurs froides aux administrateurs de serveurs web, Microsoft publie son tout dernier Patch Tuesday de l'année 2021.

Dans le domaine de la cybersécurité, c'est actuellement la vulnérabilité critique Log4Shell (CVE-2021-44228) de type exécution de code arbitraire à distance sans authentification et affectant la très répandue bibliothèque de journalisation Apache Log4j qui occupe tous les esprits. La course est lancée pour identifier des serveurs et systèmes vulnérables, et déployer la mise à jour correctrice.

D'autant que des attaques pour installer des malwares n'ont pas tardé à être reperées, et y compris en matière de ransomware. De premières attaques ont même commencé tout début décembre, sans écarter l'hypothèse que des attaquants avaient connaissance bien en amont de la vulnérabilité et avant l'alerte publique du 9 décembre de la fondation open source Apache.

Dans ce contexte tendu et particulièrement pour les administrateurs de serveurs web, Microsoft honore son traditionnel rendez-vous mensuel de sécurité avec le Patch Tuesday (ou Update Tuesday).

Security Updates for December 2021 are now available!. Details are here: https://t.co/ZKxt7vgBBl
— Security Response (@msftsecresponse) December 14, 2021

Microsoft a corrigé 887 vulnérabilités CVE en 2021

Pour ce mois de décembre, il est question de la correction de 67 vulnérabilités de sécurité dont 7 critiques. Six vulnérabilités ont fait l'objet d'une divulgation publique, et avec une exploitation active pour l'une d'elles (0day).

La vulnérabilité CVE-2021-43890 est de type spoofing (usurpation). Elle affecte Windows AppX Installer sur Windows 10, en référence au format de fichier utilisé pour distribuer et installer des applications. Selon Microsoft, des tentatives d'exploitation concernent des paquets spécialement conçus afin d'implanter des malwares de la famille Emotet, Trickbot et BazaLoader.

À noter par ailleurs la vulnérabilité CVE-2021-43883 d'élévation de privilèges qui touche Windows Installer pour toutes les versions de Windows. Sans divulgation publique, une vulnérabilité CVE-2021-43905 d'exécution de code à distance (Microsoft Office) a un score CVSS de 9,6 avec une évaluation d'exploitabilité dite plus probable.

Pour le bilan de fin d'année, Zero Day Initiative note que Microsoft a corrigé 887 vulnérabilités (CVE ; identifiées et répertoriées) cette année, ce qui représente une baisse de 29 % par rapport à 2020. Un total qui ne tient pas compte des corrections pour Microsoft Edge à base Chromium.