Multiples vulnérabilités critiques dans Microsoft (Patch Tuesday)
Date de publication :
Un cluster Kubernetes est un groupe de machines, appelées « nœuds », permettant d'exécuter des applications conteneurisées.
CVE-2022-41033[Score CVSS v3.1:7.8] (critique)
Une faille dans le service de système d'événements COM+ de Microsoft Exchange Server permet à un attaquant, en exécutant un programme spécialement forgé, d’exécuter du code arbitraire avec des privilèges élevés.
CVE-2022-41040[Score CVSS v3.1:8.8]
Une mauvaise validation des entrées fournies par l'utilisateur dans l'interface Exchange OWA de Microsoft Exchange permet à un attaquant distant, via une attaque de type « Server-Side Request Forgery », de contourner la politique de sécurité du système.
CVE-2022-41082[Score CVSS v3.1:8.8]
Une faille de sécurisation de l’interface PowerShell dans Microsoft Exchange permet à un attaquant distant, en envoyant une requête spécialement forgée, d’exécuter du code arbitraire sur le système.
CVE-2022-37968[Score CVSS v3.1:10] (critique)
Une faille dans le cluster Kubernetes de Microsoft Azure permet à un attaquant distant, en envoyant une requête spécialement forgée, de compromettre le cluster Kubernetes avec des privilèges élevés.
CVE-2022-38048[Score CVSS v3.1:7.8]
Une erreur dans la suite logicielle Microsoft Office permet à un attaquant, en envoyant une requête spécialement forgée, d’exécuter du code arbitraire sur le système.
CVE-2022-41038 [Score CVSS v3.1:8.8]
Une faille dans Microsoft SharePoint permet à un attaquant distant, en envoyant une requête spécialement forgée, d’exécuter du code arbitraire sur le système.
CVE-2022-37979[Score CVSS v3.1:7.8]
Une faille de type « condition de concurrence » dans le composant Hyper-V de Microsoft Windows permet à un attaquant, en remportant cette condition de concurrence, d’obtenir les privilèges le plus élevés.
CVE-2022-37976[Score CVSS v3.1:8.8]
Une erreur dans le composant Active Directory Certificate Services de Microsoft Windows permet à un attaquant distant, en forçant un serveur DCOM à s'authentifier via ce service, d’obtenir les privilèges les plus élevés.
CVE-2022-33634,CVE-2022-22035, CVE-2022-24504, CVE-2022-38047, CVE-2022-41081, CVE-2022-30198, CVE-2022-38000 [Score CVSS v3.1:8.1]
Un défaut de type « condition de concurrence » dans le protocole de connexion point à point de Microsoft Windows (PPTP) permet à un attaquant distant, en envoyant un paquet PPTP spécialement forgé à un serveur PPTP et en gagnant la condition de concurrence, d’exécuter du code arbitraire sur le serveur ciblé.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Exécution de code arbitraire (à distance)
Élévation de privilèges
Contournement de la politique de sécurité
Criticité
Score CVSS v3.1: 10 (critique)
La faille est activement exploitée
Oui, pour les CVE-2022-41033, CVE-2022-41040 et CVE-2022-41082.
Un correctif existe
Non, pour les CVE-2022-41040 et CVE-2022-41082.
Une mesure de contournement existe
Oui, pour les CVE-2022-41040 et CVE-2022-41082.
Les vulnérabilités exploitées sont du type
Pour la CVE-2022-41033
CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer
Pour la CVE-2022-41040
CWE-918: Server-Side Request Forgery
Pour la CVE-2022-41082
CWE-94: Improper Control of Generation of Code
Pour la CVE-2022-37968 et CVE-2022-37976
CWE-264: Permissions, Privileges, and Access Controls
Pour la CVE-2022-38048 et CVE-2022-41038
CWE-20: Improper Input Validation
Pour la CVE-2022-37979
CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization
Pour les CVE-2022-33634,CVE-2022-22035, CVE-2022-24504, CVE-2022-38047, CVE-2022-41081, CVE-2022-30198, CVE-2022-38000
CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization
Détails sur l’exploitation
Pour les CVE-2022-33634,CVE-2022-22035, CVE-2022-24504, CVE-2022-38047, CVE-2022-41081, CVE-2022-30198, CVE-2022-38000
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Élevée.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Pour la CVE-2022-41033
Vecteur d’attaque : Local.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.
Pour la CVE-2022-41040, CVE-2022-41038 et CVE-2022-41082
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Pour la CVE-2022-37968
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.
Pour la CVE-2022-38048
Vecteur d’attaque : Local.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Pour la CVE-2022-37979
Vecteur d’attaque : Local.
Complexité de l’attaque : Élevée.
Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.
Pour la CVE-2022-37976
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.
Composants vulnérables
Pour la CVE-2022-41033
Microsoft Windows 7 SP1 x32
Microsoft Windows 7 SP1 x64
Microsoft Windows Server 2012
Microsoft Windows 8.1 x32
Microsoft Windows 8.1 x64
Microsoft Windows Server 2012 R2
Microsoft Windows RT 8.1
Microsoft Windows 10 x32
Microsoft Windows 10 x64
Microsoft Windows Server 2016
Microsoft Windows Server 2019
Microsoft Windows 10 1809 pour les systèmes x64
Microsoft Windows 10 1809 pour les systèmes 32 bits
Microsoft Windows 10 1809 pour les systèmes basés sur ARM64
Microsoft Windows 10 1607 pour les systèmes 32 bits
Microsoft Windows 10 1607 pour les systèmes x64
Microsoft Windows 10 20H2 pour les systèmes 32 bits
Microsoft Windows 10 20H2 pour les systèmes basés sur ARM64
Microsoft Windows 10 20H2 pour les systèmes x64
Microsoft Windows Server (installation du noyau du serveur) 2019
Microsoft Windows Server (installation du noyau du serveur) 2016
Microsoft Windows Server (installation Server Core) 2012 R2
Microsoft Windows Server (installation du noyau du serveur) 2012
Microsoft Windows Server pour les systèmes basés sur X64 2008 R2 SP1
Microsoft Windows Server pour les systèmes basés sur X64 (installation Server Core) 2008 SP2
Microsoft Windows Server pour les systèmes 32 bits (installation Server Core) 2008 SP2
Microsoft Windows Server pour les systèmes 32 bits 2008 SP2
Microsoft Windows Server pour les systèmes basés sur X64 (installation Server Core) 2008 R2 SP1
Microsoft Windows 10 21H1 pour les systèmes 32 bits
Microsoft Windows 10 21H1 pour les systèmes basés sur ARM64
Microsoft Windows 10 21H1 pour les systèmes x64
Microsoft Windows Server 2022
Microsoft Windows Server (installation du noyau du serveur) 2022
Microsoft Windows Server pour les systèmes basés sur X64 2008 SP2
Microsoft Windows 11 x64
Microsoft Windows 11 ARM64
Microsoft Windows 10 21H2 pour les systèmes 32 bits
Microsoft Windows 10 21H2 pour les systèmes basés sur ARM64
Microsoft Windows 10 21H2 pour les systèmes x64
Microsoft Windows 11 22H2 pour les systèmes basés sur ARM64
Microsoft Windows 11 22H2 pour les systèmes x64
Pour les CVE-2022-41040 et CVE-2022-41082
Microsoft Exchange Server 2013
Microsoft Exchange Server 2016
Microsoft Exchange Server 2019
Pour la CVE-2022-37968
Clusters connectés Microsoft Azure Arc
Pour la CVE-2022-38048
Microsoft Office 2013 SP1 x32
Microsoft Office 2013 SP1 x64
Microsoft Office 2013 SP1 RT
Microsoft Office 2016 x32
Microsoft Office 2016 x64
Microsoft Office 2019 x32
Microsoft Office 2019 x64
Applications Microsoft 365 pour les entreprises x32
Applications Microsoft 365 pour les entreprises x64
Microsoft Office LTSC 2021 x32
Microsoft Office LTSC 2021 x64
Pour la CVE-2022-41038
Microsoft SharePoint Foundation 2013 SP1
Microsoft SharePoint Enterprise Server 2016
Microsoft SharePoint Enterprise Server 2013 SP1
Microsoft SharePoint Server 2019
Édition d'abonnement Microsoft SharePoint Server
Pour la CVE-2022-37979
Microsoft Windows Server 2016
Microsoft Windows Server 2019
Microsoft Windows 10 1809 pour les systèmes x64
Microsoft Windows 10 1607 pour les systèmes x64
Microsoft Windows 10 20H2 pour les systèmes x64
Microsoft Windows Server (installation du noyau du serveur) 2019
Microsoft Windows Server (installation du noyau du serveur) 2016
Microsoft Windows 10 21H1 pour les systèmes x64
Microsoft Windows Server 2022
Microsoft Windows Server (installation du noyau du serveur) 2022
Microsoft Windows 11 x64
Microsoft Windows 10 21H2 pour les systèmes x64
Microsoft Windows 11 22H2 pour les systèmes x64
Pour la CVE-2022-37976
Microsoft Windows Server 2008 SP2 x64
Microsoft Windows Server 2008 R2 SP1 x64
Microsoft Windows Server 2012
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2016
Microsoft Windows Server 2019
Microsoft Windows Server (installation du noyau du serveur) 2019
Microsoft Windows Server (installation du noyau du serveur) 2016
Microsoft Windows Server (installation Server Core) 2012 R2
Microsoft Windows Server (installation du noyau du serveur) 2012
Microsoft Windows Server pour les systèmes basés sur X64 (installation Server Core) 2008 SP2
Microsoft Windows Server pour les systèmes 32 bits (installation Server Core) 2008 SP2
Microsoft Windows Server pour les systèmes 32 bits 2008 SP2
Microsoft Windows Server pour les systèmes basés sur X64 (installation Server Core) 2008 R2 SP1
Microsoft Windows Server 2022
Microsoft Windows Server (installation du noyau du serveur) 2022
Pour les CVE-2022-33634,CVE-2022-22035, CVE-2022-24504, CVE-2022-38047, CVE-2022-41081, CVE-2022-30198, CVE-2022-38000
Microsoft Windows 7 SP1 x32
Microsoft Windows 7 SP1 x64
Microsoft Windows Server 2012
Microsoft Windows 8.1 x32
Microsoft Windows 8.1 x64
Microsoft Windows Server 2012 R2
Microsoft Windows RT 8.1
Microsoft Windows 10 x32
Microsoft Windows 10 x64
Microsoft Windows Server 2016
Microsoft Windows Server 2019
Microsoft Windows 10 1809 pour les systèmes x64
Microsoft Windows 10 1809 pour les systèmes 32 bits
Microsoft Windows 10 1809 pour les systèmes basés sur ARM64
Microsoft Windows 10 1607 pour les systèmes 32 bits
Microsoft Windows 10 1607 pour les systèmes x64
Microsoft Windows 10 20H2 pour les systèmes 32 bits
Microsoft Windows 10 20H2 pour les systèmes basés sur ARM64
Microsoft Windows 10 20H2 pour les systèmes x64
Microsoft Windows Server (installation du noyau du serveur) 2019
Microsoft Windows Server (installation du noyau du serveur) 2016
Microsoft Windows Server (installation Server Core) 2012 R2
Microsoft Windows Server (installation du noyau du serveur) 2012
Microsoft Windows Server pour les systèmes basés sur X64 2008 R2 SP1
Microsoft Windows Server pour les systèmes 32 bits (installation Server Core) 2008 SP2
Microsoft Windows Server pour les systèmes 32 bits 2008 SP2
Microsoft Windows Server pour les systèmes basés sur X64 (installation Server Core) 2008 R2 SP1
Microsoft Windows 10 21H1 pour les systèmes 32 bits
Microsoft Windows 10 21H1 pour les systèmes basés sur ARM64
Microsoft Windows 10 21H1 pour les systèmes x64
Microsoft Windows Server 2022
Microsoft Windows Server (installation du noyau du serveur) 2022
Microsoft Windows Server pour les systèmes basés sur X64 2008 SP2
Microsoft Windows 11 x64
Microsoft Windows 11 ARM64
Microsoft Windows 10 21H2 pour les systèmes 32 bits
Microsoft Windows 10 21H2 pour les systèmes basés sur ARM64
Microsoft Windows 10 21H2 pour les systèmes x64
Microsoft Windows 11 22H2 pour les systèmes basés sur ARM64
Microsoft Windows 11 22H2 pour les systèmes x64
Solutions ou recommandations
Appliquer les mises à jour cumulatives proposées par Microsoft dans le Patch Tuesday du mois d’octobre 2022. Des informations complémentaires sont disponibles ici.
Pour Windows Server 2022, appliquer la mise à jour cumulative KB5018421.
Pour Windows 10 Enterprise 2019 et Windows Server 2019, appliquer la mise à jour cumulative KB5018419.
Pour Windows 11 version 21H2, appliquer la mise à jour cumulative KB5018418.
Pour Windows 10, appliqua la mise à jour cumulative KB5018425.
Liens
- Microsoft CVE-2022-41033
- Microsoft CVE-2022-41040
- Microsoft CVE-2022-41082
- Microsoft CVE-2022-37968
- Microsoft CVE-2022-38048
- Microsoft CVE-2022-41038
- Microsoft CVE-2022-37979
- Microsoft CVE-2022-37976
- Microsoft CVE-2022-33634
- Microsoft CVE-2022-22035
- Microsoft CVE-2022-24504
- Microsoft CVE-2022-38047
- Microsoft CVE-2022-41081
- Microsoft CVE-2022-30198
- Microsoft CVE-2022-38000
- Microsoft Update Guide
- kb5018421
- kb5018419
- kb5018418
- kb5018425