Pour le premier Patch Tuesday de 2021, Microsoft corrige un total de 83 vulnérabilités de sécurité affectant Windows et divers de ses produits. Une dizaine de ces vulnérabilités sont considérées critiques, dont une faisant l'objet d'une exploitation dans la nature.
It's the 1st second Tuesday of 2021, which means the latest patches from #Adobe and #Microsoft are here. Join @dustin_childs as he breaks down this release, including a 0day being exploited in Windows Defender. Read all the details at https://t.co/snB78RhJX0
— Zero Day Initiative (@thezdi) January 12, 2021
Cette exploitation active a débuté avant la disponibilité du correctif, d'où une qualification de 0day. Référencée CVE-2021-1647, la vulnérabilité en question est décrite comme une exécution de code à distance et en lien avec un bug dans mpengine.dll.
Il s'agit donc d'un problème avec Microsoft Malware Protection Engine qui est le moteur de protection antimalware de Windows Defender (ou Microsoft Defender). Cela touche dès lors les capacités d'analyse, détection et nettoyage pour la solution antivirus et antispyware de Microsoft.
Peu de détails sur la 0day probablement déjà corrigée sur les appareils
Le groupe de Redmond donne peu de détails, mais souligne que l'utilisateur n'a rien besoin de faire pour l'installation de la mise à jour correctrice. D'autant plus que les mises à jour pour Defender sont régulières et hors du cadre du Patch Tuesday.
Microsoft souffle en outre le chaud et le froid, en faisant état d'une exploitation dans la nature mais en considérant qu'il s'agit d'une preuve de concept. En l'état, elle ne serait pas fonctionnelle dans toutes les situations.
MSFT also patched CVE-2020-17008/CVE-2021-1648. The splwow64 itw 0-day that was incompletely fixed as CVE-2020-0986 in June. I'm taking a look at the patch now. https://t.co/7PGj4QISjshttps://t.co/c6WOdUUV7a
— Maddie Stone (@maddiestone) January 12, 2021
Hormis la vulnérabilité CVE-2021-1647, il est à noter la correction d'une vulnérabilité CVE-2021-1648 qui avait notamment été divulguée publiquement par Project Zero de Google. Affectant l'API Print Spooler (splwow64.exe) pour la gestion des tâches d'impression, elle n'avait pas été complètement corrigée en juin dernier.