Patch Tuesday – Décembre 2020

  • par

58 vulnérabilités, dont 9 critiques affectant notamment Windows Exchange, Hyper-V et SharePoint et correctifs Adobe

Par Animesh Jain, Directrice des produits Signatures des vulnérabilités chez Qualys

Le Patch Tuesday de décembre traite 58 vulnérabilités dont 9 sont classées comme critiques. Ces 9 vulnérabilités critiques concernent Exchange, SharePoint, Hyper-V, le moteur JavaScript Chakra ainsi que les postes de travail. Quant à Adobe, l’éditeur a publié des correctifs pour Experience Manager, Prelude, Lightroom et un avis de sécurité provisoire pour Acrobat et Reader.

Correctifs pour les postes de travail

Ce Patch Tuesday résout des vulnérabilités susceptibles d’impacter les postes de travail. Le déploiement de patches pour Office, Edge et le moteur de script Chakra est une priorité pour les équipements de type poste de travail, c’est-à-dire tous les systèmes utilisés pour accéder à la messagerie ou à Internet depuis un navigateur. Les serveurs multi-utilisateurs faisant office de postes de travail distants sont également concernés.

Exécution de code RCE dans Microsoft Exchange

Microsoft a corrigé cinq vulnérabilités par exécution de code à distance dans Exchange (CVE-2020-17141CVE-2020-17142CVE-2020-17144, CVE-2020-17117et CVE-2020-17132) pouvant permettre à un attaquant d’exécuter du code en tant que système suite à l’envoi d’un courrier électronique malveillant. Microsoft estime ces vulnérabilités comme « moins susceptibles d’être exploitées », mais en raison du vecteur d’attaque ouvert, ces correctifs doivent être une priorité pour tous les serveurs Exchange.

RCE dans SharePoint

Microsoft a corrigé deux RCE (CVE-2020-17121 et CVE-2020-17118) dans SharePoint. CVE-2020-17121 permet à un attaquant authentifié d’accéder au système et de créer un site pour ensuite exécuter du code à distance au sein du noyau. Pour cette raison, il est hautement recommandé d’appliquer en priorité ces correctifs sur tous les déploiements SharePoint.

RCE dans Hyper-V

Microsoft a également corrigé une vulnérabilité RCE dans Hyper-V (CVE-2020-17095) qui permet à un attaquant d’exécuter des programmes malveillants sur une machine virtuelle Hyper-V pour exécuter du code arbitraire sur le système hôte lorsqu’il ne parvient pas à valider correctement des données en paquets vSMB. Il s’agit d’une priorité pour tous les systèmes Hyper-V.

RCE dans Windows NTFS

Même si elle n’est indiquée que comme Importante, il existe une vulnérabilité RCE (CVE-2020-17096) dans Microsoft Windows. Un attaquant local pourrait exploiter cette vulnérabilité pour élever ses privilèges tandis qu’un attaquant distant ayant un accès SMBv2 au système affecté pourrait envoyer des requêtes malveillantes sur le réseau.

Contournement de la sécurité de l’écran de verrouillage Windows

Microsoft a corrigé une vulnérabilité importante (CVE-2020-17099) qui permettait à un attaquant ayant un accès physique au système ciblé d’exécuter des actions sur un système verrouillé en exécutant du code depuis l’écran de verrouillage Windows pendant une session utilisateur active. Ce correctif doit être déployé en priorité sur tous les équipements Windows.

Adobe

Adobe a publié des correctifs pour de nombreuses vulnérabilités dans Adobe Experience ManagerLightroomPrelude et un avis provisoire de sécurité pour Acrobat et Reader. Les correctifs pour Experience Manager et Acrobat/Reader sont de Priorité 2 tandis que tous les autres patches sont de Priorité 3.

Même si aucune des vulnérabilités rapportées par Adobe n’est a priori activement attaquée pour l’instant, tous les correctifs doivent être déployés en priorité sur les systèmes où ces produits sont installés.

À propos du Patch Tuesday

Les ID Qualys relatifs au Patch Tuesday sont publiés sur la page dédiée aux alertes de sécurité, où est publié le Patch Tuesday.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *