Vulnérabilités critiques dans les produits Microsoft (Patch Tuesday Avril 2022)
Date de publication :
Le 12 avril 2022, Microsoft a publié son Patch Tuesday. Ce bulletin présente plusieurs vulnérabilités critiques.
CVE-2022-24473[Score CVSS v3.1: 7.8]
Une vulnérabilité dans Microsoft Excel permet à un attaquant, en incitant un utilisateur à visiter un site web spécialement forgé, d’exécuter du code arbitraire.
CVE 2022-24491 [Score CVSS v3.1: 9.8] (critique)
Une faille dans le composant Network File System permet à un attaquant d’exécuter du code arbitraire.
CVE 2022-24521[Score CVSS v3.1: 7.8]
Une faille dans le composant Common Log File System Drive permet à un attaquant authentifié d’exécuter un programme spécialement forgé afin de générer du code arbitraire avec des privilèges plus élevés.
CVE-2022-26809[Score CVSS v3.1: 9.8] (critique)
Une faille dans la librairie du Runtime RPC permet à un attaquant d’exécuter du code arbitraire.
CVE-2022-26914[Score CVSS v3.1: 7.8]
Une faille dans le composant Win32k permet à un attaquant authentifié d’exécuter un programme spécialement forgé afin de générer du code arbitraire avec des privilèges plus élevés.
CVE-2022-26915[Score CVSS v3.1: 7.5]
Un défaut d'utilisation de données en mémoire après libération dans le canal sécurisé de Windows permet à un attaquant distant d’exécuter une commande conçue afin de provoquer un déni de service.
CVE-2022-26917, CVE-2022-26916 et CVE-2022-26918[Score CVSS v3.1: 7.8]
Une faille dans le composant Fax Compose Form permet à un attaquant, en incitant un utilisateur à ouvrir un contenu spécialement forgé, d’exécuter du code arbitraire.
CVE-2022-26919[Score CVSS v3.1: 8.1]
Une vulnérabilité dans le protocole LDAP de Microsoft Windows permet à un attaquant distant d’exécuter un programme spécialement forgé afin de générer du code arbitraire.
CVE-2022-26921[Score CVSS v3.1: 7.3]
Une vulnérabilité dans l’éditeur Microsoft Visual StudioCode permet à un attaquant authentifié d’exécuter un programme spécialement forgé afin de générer du code arbitraire avec des privilèges plus élevés.
CVE-2022-26924[Score CVSS v3.1: 7.5]
Une faille dans le toolkit Microsoft Yarp permet à un attaquant distant d’exécuter une commande conçue afin de provoquer un déni de service
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Élévation de privilèges
- Exécution de code arbitraire
- Déni de service
Criticité
- Score CVSS v3.1: 9.8 max
La faille est activement exploitée
- Non, pour les CVE-2022-24473, CVE 2022-24491, CVE-2022-26809, CVE-2022-26914, CVE-2022-26915, CVE-2022-26917, CVE-2022-26916, CVE-2022-26918, CVE-2022-26919, CVE-2022-26921 et CVE-2022-26924.
- Oui, pour la CVE 2022-24521.
Un correctif existe
- Oui, pour l’ensemble des CVE présentées.
Une mesure de contournement existe
- Non, pour l’ensemble des CVE présentées.
Les vulnérabilités exploitées sont du type
Pour les CVE-2022-24473, CVE 2022-24491 et CVE-2022-26809
Pour les CVE 2022-24521
Pour la CVE-2022-26914
Pour les CVE-2022-26915, CVE-2022-26916, CVE-2022-26917, CVE-2022-26918 et CVE-2022-26919
Pour la CVE-2022-26921
- En cours de calcul
Pour la CVE-2022-26924
Détails sur l’exploitation
Pour la CVE-2022-24473
- Vecteur d’attaque : Local.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Aucun.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Pour la CVE 2022-24491
- Vecteur d’attaque : Réseau.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Aucun.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Pour la CVE 2022-24521
- Vecteur d’attaque : Local.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.
Pour la CVE-2022-26809
- Vecteur d’attaque : Réseau.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Aucun.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Pour la CVE-2022-26914
- Vecteur d’attaque : Local.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.
Pour la CVE-2022-26915
- Vecteur d’attaque : Réseau.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Aucun.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Pour les CVE-2022-26916, CVE-2022-26917, CVE-2022-26918
- Vecteur d’attaque : Local.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Aucun.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Pour la CVE-2022-26919
- Vecteur d’attaque : Réseau.
- Complexité de l’attaque : Élevée.
- Privilèges nécessaires pour réaliser l’attaque : Aucun.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Pour la CVE-2022-26921
- Vecteur d’attaque : Local.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.
Pour la CVE-2022-26924
- Vecteur d’attaque : Réseau.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Aucun.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Composants vulnérables
Pour la CVE-2022-24473
- Microsoft Office LTSC 2021 en 32 et 64 bits
- Microsoft Office LTSC pour Mac 2021
- Applications Microsoft 365 entreprises en 32 et 64 bits
- Microsoft Office 2019 pour Mac
Pour la CVE 2022-24491
- Windows 10 Version 21H2 - ARM64
- Windows 10 version 21H2 en 32 bits
- Windows 11 - ARM64
- Windows 11 pour x64
- Windows Server, version 20H2
- Windows 10 version 20H2 pour ARM64
- Windows 10 version 20H2 en 32 bits
- Windows 10 version 20H2 pour x64
- Windows Server 2022 (installation du noyau du serveur)
- Serveur Windows 2022
- Windows Server 2016 (installation du noyau du serveur)
- Windows 10 version 21H2 pour x64
- Windows 10 version 21H1 en 32 bits
- Windows 10 version 21H1 pour ARM64
- Windows 10 version 21H1 pour x64
- Windows 10 version 1909 pour ARM64
- Windows 10 version 1909 pour x64
- Windows 10 version 1909 en 32 bits
- Windows Server 2019 (installation du noyau du serveur)
- Serveur Windows 2016
- Windows 10 version 1607 pour x64
- Windows 10 version 1607 en 32 bits
- Windows 10 pour x64
- Windows 10 en 32 bits
- Windows RT 8.1
- Windows 8.1 pour x64
- Windows 8.1 en 32 bits
- Serveur Windows 2019
- Windows 10 version 1809 pour ARM64
- Windows 10 version 1809 pour x64
- Windows 10 version 1809 en 32 bits
- Windows Serveur 2012 R2
- Windows Server 2012 (installation du noyau du serveur)
- Serveur Windows 2012
- Windows Server 2012 R2 (installation du noyau du serveur)
Pour la CVE 2022-24521
- Windows Server 2012 (installation du noyau du serveur)
- Serveur Windows 2012
- Windows Server 2008 R2 pour Service Pack 1
- Windows Server 2008 pour x64 Service Pack 2
- Windows Server 2008 en 32 bits Service Pack 2
- Windows RT 8.1
- Windows 8.1 pour x64
- Windows 8.1 en 32 bits
- Windows 7 pour x64 Service Pack 1
- Windows Server 2012 R2 (installation du noyau du serveur)
- Windows Serveur 2012 R2
- Windows 7 en 32 bits Service Pack 1
- Windows Server 2016 (installation du noyau du serveur)
- Serveur Windows 2016
- Windows 10 version 1607 pour x64
- Windows 10 version 1607 en 32 bits
- Windows 10 pour x64
- Windows 10 en 32 bits
- Windows 10 Version 21H2 pour x64
- Windows 10 version 21H2 pour ARM64
- Windows 10 version 21H2 pour 32 bits
- Windows 11 pour ARM64
- Windows 11 pour les systèmes x64
- Windows Server, version 20H2 (installation du noyau du serveur)
- Windows 10 version 20H2 pour ARM64
- Windows 10 version 20H2 en 32 bits
- Windows 10 version 20H2 pour x64
- Windows Server 2022 (installation du noyau du serveur)
- Serveur Windows 2022
- Windows 10 version 21H1 en 32 bits
- Windows 10 version 21H1 pour ARM64
- Windows 10 version 21H1 pour x64
- Windows 10 version 1909 pour ARM64
- Windows 10 Version 1909 pour x64
- Windows 10 version 1909 en 32 bits
- Windows Server 2019 (installation du noyau du serveur)
- Serveur Windows 2019
- Windows 10 version 1809 pour ARM64
- Windows 10 version 1809 pour x64
- Windows 10 version 1809 en 32 bits
Pour la CVE-2022-26809
- Windows 7 en 32 bits Service Pack 1
- Windows Server 2016 (installation du noyau du serveur)
- Windows 11 pour ARM64
- Windows Server, version 20H2 (installation du noyau du serveur)
- Windows 10 version 20H2 pour ARM64
- Windows 10 version 1909 pour ARM64
- Windows 10 Version 1809 pour x64
- Windows 10 en 32 bits
- Windows 10 version 21H2 pour x64
- Windows 10 version 21H2 pour ARM64
- Windows 10 version 21H2 en 32 bits
- Windows 10 version 1809 en 32 bits
- Windows Server 2022 (installation du noyau du serveur)
- Serveur Windows 2022
- Windows 10 version 21H1 en 32 bits
- Windows 10 Version 21H1 pour ARM64
- Windows 10 Version 21H1 pour x64
- Windows Server 2012 R2 (installation du noyau du serveur)
- Windows Serveur 2012 R2
- Windows Server 2012 (installation du noyau du serveur)
- Serveur Windows 2012
- Windows Server 2008 R2 pour x64 Service Pack 1 (installation Server Core)
- Windows Server 2008 R2 pour x64 Service Pack 1
- Windows 10 version 20H2 en 32 bits
- Windows 10 version 20H2 pour x64
- Windows Server 2008 pour x64 Service Pack 2 (installation Server Core)
- Serveur Windows 2016
- Windows 10 version 1607 pour x64
- Windows 10 version 1607 en 32 bits
- Windows 10 pour x64
- Windows 10 version 1909 pour x64
- Windows 10 version 1909 en 32 bits
- Windows 10 version 1809 pour ARM64
- Windows Server 2008 pour x64 Service Pack 2
- Windows Server 2008 en 32 bits Service Pack 2 (installation Server Core)
- Windows 8.1 en 32 bits
- Windows 7 pour x64 Service Pack 1
- Windows Server 2008 en 32 bits Service Pack 2
- Windows RT 8.1
- Windows 8.1 pour x64
- Windows 11 pour x64
- Windows Server 2019 (installation du noyau du serveur)
- Serveur Windows 2019
Pour la CVE-2022-26914
- Windows 10 version 21H1 en 32 bits
- Windows 10 version 21H1 pour ARM64
- Windows 10 version 21H1 pour x64
- Windows 10 version 1909 pour ARM64
- Windows 10 version 1909 pour x64
- Windows 10 version 1909 en 32 bits
- Windows Server 2019 (installation du noyau du serveur)
- Serveur Windows 2019
- Windows 10 version 1809 pour ARM64
- Windows 10 version 1809 pour x64
- Windows 10 version 1809 en 32 bits
- Windows 11 pour les systèmes x64
- Windows Server, version 20H2 (installation du noyau du serveur)
- Windows 10 version 20H2 pour ARM64
- Windows 10 version 20H2 en 32 bits
- Windows 10 Version 20H2 pour x64
- Windows Server 2022 (installation du noyau du serveur)
- Serveur Windows 2022
- Windows 10 version 21H1 en 32 bits
- Windows 10 Version 21H1 pour ARM64
- Windows 10 Version 21H1 pour x64
Pour la CVE-2022-26915
- Windows 10 version 1607 pour x64
- Windows 10 version 1607 en 32 bits
- Windows Serveur 2012 R2
- Windows Server 2012 (installation du noyau du serveur)
- Windows Server 2008 pour x64 Service Pack 2
- Windows 7 en 32 bits Service Pack 1
- Windows Server 2016 (installation du noyau du serveur)
- Serveur Windows 2016
- Windows Server 2008 en 32 bits Service Pack 2 (installation Server Core)
- Windows Server 2008 en 32 bits Service Pack 2
- Windows RT 8.1
- Windows 8.1 pour x64
- Windows 8.1 en 32 bits
- Windows 7 pour x64 Service Pack 1
- Serveur Windows 2012
- Windows Server 2008 R2 pour x64 Service Pack 1 (installation Server Core)
- Windows Server 2008 R2 pour x64 Service Pack 1
- Windows Server 2008 pour x64 Service Pack 2 (installation Server Core)
- Windows Server 2012 R2 (installation du noyau du serveur)
- Windows 10 pour x64
- Windows 10 en 32 bits
- Windows 10 version 21H2 pour x64
- Windows 10 version 21H2 pour ARM64
- Windows 10 version 21H2 en 32 bits
- Windows 11 pour ARM64
- Windows Server, version 20H2 (installation du noyau du serveur)
- Windows 10 version 20H2 pour ARM64
- Windows 10 version 20H2 en 32 bits
- Windows 10 version 20H2 pour x64
- Windows Server 2022 (installation du noyau du serveur)
- Serveur Windows 2022
- Windows 10 version 21H1 en 32 bits
- Windows 10 version 21H1 pour ARM64
- Windows 10 version 21H1 pour x64
- Windows 10 version 1909 pour ARM64
- Windows 10 version 1909 pour x64
- Windows 10 version 1909 en 32 bits
- Windows Server 2019 (installation du noyau du serveur)
- Serveur Windows 2019
- Windows 10 version 1809 pour ARM64
- Windows 10 version 1809 pour x64
- Windows 10 version 1809 en 32 bits
Pour la CVE-2022-26916, CVE-2022-26917, CVE-2022-26919 et CVE-2022-26918
- Windows Server, version 20H2 (installation du noyau du serveur)
- Windows Server 2022 (installation du noyau du serveur)
- Serveur Windows 2022
- Windows Server 2019 (installation du noyau du serveur)
- Serveur Windows 2019
- Windows Server 2016 (installation du noyau du serveur)
- Serveur Windows 2016
- Windows Server 2012 R2 (installation du noyau du serveur)
- Windows Serveur 2012 R2
- Windows Server 2012 (installation du noyau du serveur)
- Serveur Windows 2012
- Windows RT 8.1
- Windows 8.1 pour x64
- Windows 8.1 en 32 bits
- Windows 11 pour x64
- Windows 11 pour ARM64
- Windows 10 pour x64
- Windows 10 en 32 bits
- Windows 10 Version 21H2 pour x64
- Windows 10 Version 21H2 pour ARM64
- Windows 10 version 21H2 en 32 bits
- Windows 10 Version 21H1 pour x64
- Windows 10 Version 21H1 pour ARM64
- Windows 10 version 21H1 en 32 bits
- Windows 10 Version 20H2 pour x64
- Windows 10 Version 20H2 pour ARM64
- Windows 10 version 20H2 en 32 bits
- Windows 10 Version 1909 pour x64
- Windows 10 Version 1909 pour ARM64
- Windows 10 version 1909 en 32 bits
- Windows 10 Version 1809 pour x64
- Windows 10 Version 1809 pour ARM64
- Windows 10 version 1809 en 32 bits
- Windows 10 version 1607 pour x64
Pour la CVE-2022-26921
- Visual Studio Code
Pour la CVE-2022-26924
- YARP 1.1RC
- YARP 1.0
Solutions ou recommandations
- Appliquer les correctifs de sécurité proposés par Microsoft dans le Patch Tuesday du mois d’avril 2022.
- La liste complète des vulnérabilités du Patch Tuesday est disponible ici.
- Pour la CVE-2022-24473, les mises à jour logicielles sont disponibles ici.
- Pour la CVE 2022-24491, les mises à jour logicielles sont disponibles ici.
- Pour la CVE 2022-24521, les mises à jour logicielles sont disponibles ici.
- Pour la CVE-2022-26809, les mises à jour logicielles sont disponibles ici.
- Pour la CVE-2022-26914, les mises à jour logicielles sont disponibles ici.
- Pour la CVE-2022-26915, les mises à jour logicielles sont disponibles ici.
- Pour la CVE-2022-26916, les mises à jour logicielles sont disponibles ici.
- Pour la CVE-2022-26917, les mises à jour logicielles sont disponibles ici.
- Pour la CVE-2022-26919, les mises à jour logicielles sont disponibles ici.
- Pour la CVE-2022-26918, les mises à jour logicielles sont disponibles ici.
- Pour la CVE-2022-26921, les mises à jour logicielles sont disponibles ici.
- Pour la CVE-2022-26924, les mises à jour logicielles sont disponibles ici.
Liens
- Microsoft update guide
- Microsoft vulnerabilities
- Microsoft CVE-2022-24473
- Microsoft CVE-2022-24491
- Microsoft CVE-2022-24521
- Microsoft CVE-2022-26809
- Microsoft CVE-2022-26914
- Microsoft CVE-2022-26915
- Microsoft CVE-2022-26916
- Microsoft CVE-2022-26917
- Microsoft CVE-2022-26918
- Microsoft CVE-2022-26919
- Microsoft CVE-2022-26921
- Microsoft CVE-2022-26924