Le Patch Tuesday de janvier comprend des correctifs pour 97 CVE, dont neuf sont jugées critiques, y compris quatre vulnérabilités de type “zero-day”, qui ont été divulguées publiquement mais n’ont pas été exploitées dans la nature.
Microsoft a corrigé CVE-2022-21907, une faille critique d’exécution de code à distance dans la pile de protocole HTTP. Pour exploiter cette vulnérabilité, un attaquant distant non authentifié pourrait envoyer une requête spécialement conçue à un serveur vulnérable utilisant la pile de protocole HTTP.
Attention, prévient Satnam Narang, ingénieur de recherche chez Tenable, “aucune interaction humaine ne serait nécessaire pour qu’une attaque se propage de système en système. En tant que telles, les organisations qui utilisent la pile de protocole HTTP devraient accorder la priorité à la correction de cette vulnérabilité dès que possible.”
L’ingénieur met l’accent également sur trois vulnérabilités d’exécution de code à distance dans Microsoft Exchange Server (CVE-2022-21846, CVE-2022-21969, CVE-2022-21855). “Toutes trois sont classées comme “exploitation plus probable”. L’une des failles, CVE-2022-21846, a été divulguée à Microsoft par la National Security Agency. Malgré cet avertissement, Microsoft note que le vecteur d’attaque est adjacent, ce qui signifie que l’exploitation nécessitera plus de travail pour un attaquant, contrairement aux vulnérabilités ProxyLogon et ProxyShell qui étaient exploitables à distance” explique-il.