Les mises à jour de sécurité du mois de décembre Microsoft corrigent les bogues de SharePoint RCE

Microsoft a publié le lot mensuel de mises à jour de sécurité de l’entreprise, connu sous le nom de Patch Tuesday, avec un total de 58 correctifs de vulnérabilité, y compris les vulnérabilités critiques d’exécution de code à distance dans plusieurs versions de SharePoint.

 Il y a moins de correctifs en décembre par rapport aux plus de 100 correctifs réguliers expédiés chaque mois, tous non moins sévères.

Plus de 22 correctifs de ce mois sont classés comme vulnérabilités RCE d’exécution d’accès à distance. Ces vulnérabilités peuvent facilement être exploitées (via Internet ou à partir d’un réseau local) et doivent donc être corrigées immédiatement.

Les produits de vulnérabilité RCE pour ce mois incluent Windows NTFS, Exchange Server, Microsoft Dynamics, Excel, PowerPoint, SharePoint, Visual Studio et Hyper-V.

Les trois bogues les mieux notés pour ce mois sont les bogues RCE affectant Exchange Server (CVE-2020-17143, CVE-2020-17144, CVE-2020-17141, CVE-2020-17117, CVE-2020-17132 et CVE-2020- 17142) et SharePoint (CVE-2020-17118 et CVE-2020-17121).

Bogue RCE de pré-authentification SharePoint

 Les points forts des mises à jour de sécurité de ce mois sont sans aucun doute les deux bogues de sécurité RCE CVE-2020-17121 et CVE-2020-17118 affectant Microsoft SharePoint.

 Les attaquants exploitent la vulnérabilité CVE-2020-17118 en incitant les gens à ouvrir des fichiers bureautiques malveillants. Le code d’exploit de preuve de concept CVE-2020-17118 est également disponible, selon les informations fournies par Microsoft dans l’avis de sécurité, bien qu’il soit probablement partagé en privé.

Jonathan Birth, ingénieur logiciel de sécurité senior au sein de l’équipe de sécurité Microsoft Office, a découvert ce bogue, affectant Microsoft SharePoint Server 2019, Microsoft SharePoint Enterprise Server 2016, Microsoft SharePoint Foundation 2013 Service Pack 1 et Microsoft SharePoint Foundation 2010 Service Pack 2.

Microsoft déclare: « Le code ou la technique ne sont pas fonctionnels dans toutes les situations et peuvent nécessiter une modification substantielle par un attaquant qualifié. »

Le correctif Deception 2020 Patch Tuesday corrige les bogues qui pourraient permettre l’exécution de code à distance sur un système Windows exécutant des éditions vulnérables Click to run et Installer (.msi) des produits Microsoft Office.

Les mises à jour de sécurité sont fournies via la plate-forme de mise à jour Microsoft et via le centre de téléchargement.