Pour le mois de mars, le Patch Tuesday - ou Update Tuesday - de Microsoft est riche de correctifs pour un total de 71 vulnérabilités de sécurité. Parmi celles-ci, trois sont considérées critiques.

Security Updates for March 2022 are now available! Details are here: https://t.co/ZKxt7vgBBl — Security Response (@msftsecresponse) March 8, 2022

De type exécution de code à distance, les vulnérabilités critiques sont référencées CVE-2022-22006, CVE-2022-23277 et CVE-2022-24501. Deux sont en lien avec des codecs vidéo (HEVC et VP9) et une mise à jour automatique se fera par l'intermédiaire du Microsoft Store.

La vulnérabilité CVE-2022-23277 concerne Microsoft Exchange avec un attaquant qui doit être authentifié pour une exploitation. " Étant donné la prévalence des attaques contre les failles de Microsoft Exchange dans le passé, les organisations devraient appliquer les mises à jour disponibles immédiatement ", commente Tenable.

Des divulgations publiques

Trois vulnérabilités ont fait l'objet d'une divulgation publique. Pour autant, il n'y a pas de rapport d'une exploitation active dans des attaques. En tout cas pour le moment…

Ces vulnérabilités sont CVE-2022-21990, CVE-2022-24459 (Windows Fax et Scan Service) et CVE-2022-24512 (.NET et Visual Studio). Le niveau de dangerosité le plus élevé est pour la vulnérabilité CVE-2022-21990 qui affecte Remote Desktop Client (RDP).

" Ce bug côté client n'a pas le même impact que les vulnérabilités RDP côté serveur, mais étant répertorié comme publiquement connu, il est logique de le traiter comme un bug de niveau critique ", analyse Zero Day Initiative.