Multiples vulnérabilités critiques dans Microsoft (Patch Tuesday)

Date de publication : 14/09/2022

CVE-2022-37969[Score CVSS v3.1:7.8] (critique)

Un défaut dans le composant Common Log File System Driver de Microsoft Windows permet à un attaquant, en envoyant une requête spécialement forgée, d’obtenir des privilèges plus élevés.

CVE-2022-34718[Score CVSS v3.1:9.8] (critique)

Une faille des traitement des paquets IPv6 en lien avec IPSec permet à un attaquant, en envoyant un paquet IPv6 spécialement forgé à un nœud Windows sur lequel le protocole IPSec est activé, d’exécuter du code arbitraire sur le système.

CVE-2022-34721 et CVE-2022-34722[Score CVSS v3.1:9.8] (critique)

Une erreur dans le composant Internet Key Exchange (IKE) Protocol Extensions de Microsoft Windows permet à un attaquant, en envoyant un paquet IP spécialement forgé à un nœud Windows sur lequel le protocole IPSec est activé, d’exécuter du code arbitraire sur le système.

CVE-2022-34700 et CVE-2022-35805[Score CVSS v3.1:8.8]

Une faille dans Microsoft Dynamics 365 on premise permet à un attaquant, en envoyant une requête spécialement forgée, d’exécuter du code arbitraire sur le système.

CVE-2022-34734, CVE-2022-34732, CVE-2022-34730CVE-2022-34727et CVE-2022-34726[Score CVSS v3.1:8.8]

Un défaut dans un composant du pilote ODBC de Microsoft Windows permet à un attaquant, en persuadant un utilisateur authentifié d'ouvrir un fichier MDB malveillant dans Access, d’exécuter du code arbitraire sur le système avec le niveau d'autorisation auquel Access s'exécute.

CVE-2022-34733, CVE-2022-34731, CVE-2022-35840, CVE-2022-35836,CVE-2022-35835 et CVE-2022-35834[Score CVSS v3.1:8.8]

Un défaut dans le fournisseur Microsoft OLE DB pour SQL Server permet à un attaquant, en persuadant un utilisateur authentifié de tenter de se connecter à un serveur SQL malveillant à l'aide d'OLEDB, d’exécuter du code arbitraire sur le système.

CVE-2022-35841[Score CVSS v3.1:8.8]

Une faille dans le composant Enterprise App Management Servicede Microsoft Windows permet à un attaquant, en envoyant une requête spécialement forgée, d’exécuter du code arbitraire sur le système.

CVE-2022-37961, CVE-2022-38009et CVE-2022-38008[Score CVSS v3.1:8.8]

Une faille dans Microsoft SharePoint permet à un attaquant, en envoyant une requête spécialement forgée, d’exécuter du code arbitraire sur le système.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Exécution de code arbitraire

Élévation de privilèges

Criticité

Score CVSS v3.1: 9.8 (critique)

La faille est activement exploitée

Oui, pour la CVE-2022-37969.

Un correctif existe

Oui, pour l’ensemble des CVE présentées.

Une mesure de contournement existe

Non, pour l’ensemble des CVE présentées.

Les vulnérabilités exploitées sont du type

Pour la CVE-2022-37969

CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer

Pour les CVE-2022-34718, CVE-2022-34721, CVE-2022-34734, CVE-2022-34732, CVE-2022-34730 CVE-2022-34727, CVE-2022-34726, CVE-2022-34733, CVE-2022-34731, CVE-2022-35840, CVE-2022-35836, CVE-2022-35835, CVE-2022-35841, CVE-2022-35834, CVE-2022-37961, CVE-2022-38009, CVE-2022-38008 et CVE-2022-34722

CWE-20: Improper Input Validation

Pour les CVE-2022-34700 et CVE-2022-35805

CWE-89: Improper Neutralization of Special Elements used in an SQL Command

Détails sur l’exploitation

Pour les CVE-2022-34718, CVE-2022-34721 et CVE-2022-34722

Vecteur d’attaque : Réseau.