Multiples vulnérabilités critiques dans Microsoft (Patch Tuesday)
Date de publication :
Un cluster Kubernetes est un groupe de machines, appelées « nœuds », permettant d'exécuter des applications conteneurisées.
CVE-2022-41033[Score CVSS v3.1:7.8] (critique)
Une faille dans le service de système d'événements COM+ de Microsoft Exchange Server permet à un attaquant, en exécutant un programme spécialement forgé, d’exécuter du code arbitraire avec des privilèges élevés.
CVE-2022-41040[Score CVSS v3.1:8.8]
Une mauvaise validation des entrées fournies par l'utilisateur dans l'interface Exchange OWA de Microsoft Exchange permet à un attaquant distant, via une attaque de type « Server-Side Request Forgery », de contourner la politique de sécurité du système.
CVE-2022-41082[Score CVSS v3.1:8.8]
Une faille de sécurisation de l’interface PowerShell dans Microsoft Exchange permet à un attaquant distant, en envoyant une requête spécialement forgée, d’exécuter du code arbitraire sur le système.
CVE-2022-37968[Score CVSS v3.1:10] (critique)
Une faille dans le cluster Kubernetes de Microsoft Azure permet à un attaquant distant, en envoyant une requête spécialement forgée, de compromettre le cluster Kubernetes avec des privilèges élevés.
CVE-2022-38048[Score CVSS v3.1:7.8]
Une erreur dans la suite logicielle Microsoft Office permet à un attaquant, en envoyant une requête spécialement forgée, d’exécuter du code arbitraire sur le système.
CVE-2022-41038 [Score CVSS v3.1:8.8]
Une faille dans Microsoft SharePoint permet à un attaquant distant, en envoyant une requête spécialement forgée, d’exécuter du code arbitraire sur le système.
CVE-2022-37979[Score CVSS v3.1:7.8]
Une faille de type « condition de concurrence » dans le composant Hyper-V de Microsoft Windows permet à un attaquant, en remportant cette condition de concurrence, d’obtenir les privilèges le plus élevés.
CVE-2022-37976[Score CVSS v3.1:8.8]
Une erreur dans le composant Active Directory Certificate Services de Microsoft Windows permet à un attaquant distant, en forçant un serveur DCOM à s'authentifier via ce service, d’obtenir les privilèges les plus élevés.
CVE-2022-33634,CVE-2022-22035, CVE-2022-24504, CVE-2022-38047, CVE-2022-41081, CVE-2022-30198, CVE-2022-38000 [Score CVSS v3.1:8.1]
Un défaut de type « condition de concurrence » dans le protocole de connexion point à point de Microsoft Windows (PPTP) permet à un attaquant distant, en envoyant un paquet PPTP spécialement forgé à un serveur PPTP et en gagnant la condition de concurrence, d’exécuter du code arbitraire sur le serveur ciblé.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire (à distance)
- Élévation de privilèges
- Contournement de la politique de sécurité
Criticité
- Score CVSS v3.1: 10 (critique)
La faille est activement exploitée
- Oui, pour les CVE-2022-41033, CVE-2022-41040 et CVE-2022-41082.
Un correctif existe
- Non, pour les CVE-2022-41040 et CVE-2022-41082.
Une mesure de contournement existe
- Oui, pour les CVE-2022-41040 et CVE-2022-41082.
Les vulnérabilités exploitées sont du type
- Pour la CVE-2022-41033
CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer
- Pour la CVE-2022-41040
CWE-918: Server-Side Request Forgery
- Pour la CVE-2022-41082
CWE-94: Improper Control of Generation of Code
- Pour la CVE-2022-37968 et CVE-2022-37976
CWE-264: Permissions, Privileges, and Access Controls
- Pour la CVE-2022-38048 et CVE-2022-41038
CWE-20: Improper Input Validation
- Pour la CVE-2022-37979
CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization
- Pour les CVE-2022-33634,CVE-2022-22035, CVE-2022-24504, CVE-2022-38047, CVE-2022-41081, CVE-2022-30198, CVE-2022-38000
CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization
Détails sur l’exploitation
Pour les CVE-2022-33634,CVE-2022-22035, CVE-2022-24504, CVE-2022-38047, CVE-2022-41081, CVE-2022-30198, CVE-2022-38000
- Vecteur d’attaque : Réseau.
- Complexité de l’attaque : Élevée.
- Privilèges nécessaires pour réaliser l’attaque : Aucun.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Pour la CVE-2022-41033
- Vecteur d’attaque : Local.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.
Pour la CVE-2022-41040, CVE-2022-41038 et CVE-2022-41082
- Vecteur d’attaque : Réseau.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Pour la CVE-2022-37968
- Vecteur d’attaque : Réseau.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Aucun.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.
Pour la CVE-2022-38048
- Vecteur d’attaque : Local.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Aucun.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Pour la CVE-2022-37979
- Vecteur d’attaque : Local.
- Complexité de l’attaque : Élevée.
- Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.
Pour la CVE-2022-37976
- Vecteur d’attaque : Réseau.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.
Composants vulnérables
Pour la CVE-2022-41033
- Microsoft Windows 7 SP1 x32
- Microsoft Windows 7 SP1 x64
- Microsoft Windows Server 2012
- Microsoft Windows 8.1 x32
- Microsoft Windows 8.1 x64
- Microsoft Windows Server 2012 R2
- Microsoft Windows RT 8.1
- Microsoft Windows 10 x32
- Microsoft Windows 10 x64
- Microsoft Windows Server 2016
- Microsoft Windows Server 2019
- Microsoft Windows 10 1809 pour les systèmes x64
- Microsoft Windows 10 1809 pour les systèmes 32 bits
- Microsoft Windows 10 1809 pour les systèmes basés sur ARM64
- Microsoft Windows 10 1607 pour les systèmes 32 bits
- Microsoft Windows 10 1607 pour les systèmes x64
- Microsoft Windows 10 20H2 pour les systèmes 32 bits
- Microsoft Windows 10 20H2 pour les systèmes basés sur ARM64
- Microsoft Windows 10 20H2 pour les systèmes x64
- Microsoft Windows Server (installation du noyau du serveur) 2019
- Microsoft Windows Server (installation du noyau du serveur) 2016
- Microsoft Windows Server (installation Server Core) 2012 R2
- Microsoft Windows Server (installation du noyau du serveur) 2012
- Microsoft Windows Server pour les systèmes basés sur X64 2008 R2 SP1
- Microsoft Windows Server pour les systèmes basés sur X64 (installation Server Core) 2008 SP2
- Microsoft Windows Server pour les systèmes 32 bits (installation Server Core) 2008 SP2
- Microsoft Windows Server pour les systèmes 32 bits 2008 SP2
- Microsoft Windows Server pour les systèmes basés sur X64 (installation Server Core) 2008 R2 SP1
- Microsoft Windows 10 21H1 pour les systèmes 32 bits
- Microsoft Windows 10 21H1 pour les systèmes basés sur ARM64
- Microsoft Windows 10 21H1 pour les systèmes x64
- Microsoft Windows Server 2022
- Microsoft Windows Server (installation du noyau du serveur) 2022
- Microsoft Windows Server pour les systèmes basés sur X64 2008 SP2
- Microsoft Windows 11 x64
- Microsoft Windows 11 ARM64
- Microsoft Windows 10 21H2 pour les systèmes 32 bits
- Microsoft Windows 10 21H2 pour les systèmes basés sur ARM64
- Microsoft Windows 10 21H2 pour les systèmes x64
- Microsoft Windows 11 22H2 pour les systèmes basés sur ARM64
- Microsoft Windows 11 22H2 pour les systèmes x64
Pour les CVE-2022-41040 et CVE-2022-41082
- Microsoft Exchange Server 2013
- Microsoft Exchange Server 2016
- Microsoft Exchange Server 2019
Pour la CVE-2022-37968
- Clusters connectés Microsoft Azure Arc
Pour la CVE-2022-38048
- Microsoft Office 2013 SP1 x32
- Microsoft Office 2013 SP1 x64
- Microsoft Office 2013 SP1 RT
- Microsoft Office 2016 x32
- Microsoft Office 2016 x64
- Microsoft Office 2019 x32
- Microsoft Office 2019 x64
- Applications Microsoft 365 pour les entreprises x32
- Applications Microsoft 365 pour les entreprises x64
- Microsoft Office LTSC 2021 x32
- Microsoft Office LTSC 2021 x64
Pour la CVE-2022-41038
- Microsoft SharePoint Foundation 2013 SP1
- Microsoft SharePoint Enterprise Server 2016
- Microsoft SharePoint Enterprise Server 2013 SP1
- Microsoft SharePoint Server 2019
- Édition d'abonnement Microsoft SharePoint Server
Pour la CVE-2022-37979
- Microsoft Windows Server 2016
- Microsoft Windows Server 2019
- Microsoft Windows 10 1809 pour les systèmes x64
- Microsoft Windows 10 1607 pour les systèmes x64
- Microsoft Windows 10 20H2 pour les systèmes x64
- Microsoft Windows Server (installation du noyau du serveur) 2019
- Microsoft Windows Server (installation du noyau du serveur) 2016
- Microsoft Windows 10 21H1 pour les systèmes x64
- Microsoft Windows Server 2022
- Microsoft Windows Server (installation du noyau du serveur) 2022
- Microsoft Windows 11 x64
- Microsoft Windows 10 21H2 pour les systèmes x64
- Microsoft Windows 11 22H2 pour les systèmes x64
Pour la CVE-2022-37976
- Microsoft Windows Server 2008 SP2 x64
- Microsoft Windows Server 2008 R2 SP1 x64
- Microsoft Windows Server 2012
- Microsoft Windows Server 2012 R2
- Microsoft Windows Server 2016
- Microsoft Windows Server 2019
- Microsoft Windows Server (installation du noyau du serveur) 2019
- Microsoft Windows Server (installation du noyau du serveur) 2016
- Microsoft Windows Server (installation Server Core) 2012 R2
- Microsoft Windows Server (installation du noyau du serveur) 2012
- Microsoft Windows Server pour les systèmes basés sur X64 (installation Server Core) 2008 SP2
- Microsoft Windows Server pour les systèmes 32 bits (installation Server Core) 2008 SP2
- Microsoft Windows Server pour les systèmes 32 bits 2008 SP2
- Microsoft Windows Server pour les systèmes basés sur X64 (installation Server Core) 2008 R2 SP1
- Microsoft Windows Server 2022
- Microsoft Windows Server (installation du noyau du serveur) 2022
Pour les CVE-2022-33634,CVE-2022-22035, CVE-2022-24504, CVE-2022-38047, CVE-2022-41081, CVE-2022-30198, CVE-2022-38000
- Microsoft Windows 7 SP1 x32
- Microsoft Windows 7 SP1 x64
- Microsoft Windows Server 2012
- Microsoft Windows 8.1 x32
- Microsoft Windows 8.1 x64
- Microsoft Windows Server 2012 R2
- Microsoft Windows RT 8.1
- Microsoft Windows 10 x32
- Microsoft Windows 10 x64
- Microsoft Windows Server 2016
- Microsoft Windows Server 2019
- Microsoft Windows 10 1809 pour les systèmes x64
- Microsoft Windows 10 1809 pour les systèmes 32 bits
- Microsoft Windows 10 1809 pour les systèmes basés sur ARM64
- Microsoft Windows 10 1607 pour les systèmes 32 bits
- Microsoft Windows 10 1607 pour les systèmes x64
- Microsoft Windows 10 20H2 pour les systèmes 32 bits
- Microsoft Windows 10 20H2 pour les systèmes basés sur ARM64
- Microsoft Windows 10 20H2 pour les systèmes x64
- Microsoft Windows Server (installation du noyau du serveur) 2019
- Microsoft Windows Server (installation du noyau du serveur) 2016
- Microsoft Windows Server (installation Server Core) 2012 R2
- Microsoft Windows Server (installation du noyau du serveur) 2012
- Microsoft Windows Server pour les systèmes basés sur X64 2008 R2 SP1
- Microsoft Windows Server pour les systèmes 32 bits (installation Server Core) 2008 SP2
- Microsoft Windows Server pour les systèmes 32 bits 2008 SP2
- Microsoft Windows Server pour les systèmes basés sur X64 (installation Server Core) 2008 R2 SP1
- Microsoft Windows 10 21H1 pour les systèmes 32 bits
- Microsoft Windows 10 21H1 pour les systèmes basés sur ARM64
- Microsoft Windows 10 21H1 pour les systèmes x64
- Microsoft Windows Server 2022
- Microsoft Windows Server (installation du noyau du serveur) 2022
- Microsoft Windows Server pour les systèmes basés sur X64 2008 SP2
- Microsoft Windows 11 x64
- Microsoft Windows 11 ARM64
- Microsoft Windows 10 21H2 pour les systèmes 32 bits
- Microsoft Windows 10 21H2 pour les systèmes basés sur ARM64
- Microsoft Windows 10 21H2 pour les systèmes x64
- Microsoft Windows 11 22H2 pour les systèmes basés sur ARM64
- Microsoft Windows 11 22H2 pour les systèmes x64
Solutions ou recommandations
Appliquer les mises à jour cumulatives proposées par Microsoft dans le Patch Tuesday du mois d’octobre 2022. Des informations complémentaires sont disponibles ici.
Pour Windows Server 2022, appliquer la mise à jour cumulative KB5018421.
Pour Windows 10 Enterprise 2019 et Windows Server 2019, appliquer la mise à jour cumulative KB5018419.
Pour Windows 11 version 21H2, appliquer la mise à jour cumulative KB5018418.
Pour Windows 10, appliqua la mise à jour cumulative KB5018425.
Liens
- Microsoft CVE-2022-41033
- Microsoft CVE-2022-41040
- Microsoft CVE-2022-41082
- Microsoft CVE-2022-37968
- Microsoft CVE-2022-38048
- Microsoft CVE-2022-41038
- Microsoft CVE-2022-37979
- Microsoft CVE-2022-37976
- Microsoft CVE-2022-33634
- Microsoft CVE-2022-22035
- Microsoft CVE-2022-24504
- Microsoft CVE-2022-38047
- Microsoft CVE-2022-41081
- Microsoft CVE-2022-30198
- Microsoft CVE-2022-38000
- Microsoft Update Guide
- kb5018421
- kb5018419
- kb5018418
- kb5018425