Microsoft publie son lot de mises à jour mensuelles de sécurité. Au programme pour février, la correction de 56 vulnérabilités, dont une vulnérabilité CVE-2021-1732 qui faisait déjà l'objet d'une exploitation active dans des attaques avant la disponibilité du patch idoine.

La faille affecte Windows 10 et Windows Server. Elle est de type élévation de privilèges (en local) avec un bug présent dans Win32K. Microsoft signale un rapport de chercheurs en sécurité de DBAPPSecurity.

Cet acteur chinois de la cybersécurité indique avoir détecté un nombre très limité d'attaques exploitant la vulnérabilité, avec des victimes en Chine. Elle peut être utilisée pour un échappement de sandbox du navigateur Internet Explorer ou d'Adobe Reader sur la dernière version de Windows 10.

La vulnérabilité CVE-2021-1732 serait utilisée par un groupe APT (Advanced Persistent Threat) dénommé Bitter et initialement surtout connu pour des campagnes de cyberespionnage avec des cibles au Pakistan, Inde, Arabie saoudite ou encore en Chine. De haute qualité et sophistiquée selon DBAPPSecurity, la 0day a été exploitée avec précaution et parcimonie. Elle est ainsi restée sous les radars pendant plusieurs mois.

windows-securite

Trois vulnérabilités à corriger sans attendre

Malgré cette vulnérabilité 0day (non critique d'après Microsoft), le groupe de Redmond attire plutôt l'attention sur trois vulnérabilités CVE-2021-24074, CVE-2021-24094 et CVE-2021-24086 qui affectent l'implémentation de la pile TCP/IP de Windows. Les deux premières failles sont critiques et de type exécution de code à distance, tandis que la troisième (non critique) est de type déni de service.

Il n'y a pas de divulgation publique ou d'exploit dans la nature, mais Microsoft souligne la nécessité d'appliquer les correctifs dès que possible. Même si toutes les versions de Windows sont concernées, l'urgence est d'autant plus grande avec Windows Server. Selon Microsoft, il sera complexe de concevoir un exploit fonctionnel pour les deux vulnérabilités critiques dans le court terme, mais des exploits pour le déni de service pourront par contre être créés beaucoup plus rapidement.

Pour son Patch Tuesday de février, Microsoft a identifié un total de onze vulnérabilités critiques et huit divulgations publiques, en plus d'une exploitation active pour la vulnérabilité CVE-2021-1732 (sans divulgation publique).