Vulnérabilités critiques dans les produits Microsoft (Patch Tuesday Avril 2022)
Date de publication :
Le 12 avril 2022, Microsoft a publié son Patch Tuesday. Ce bulletin présente plusieurs vulnérabilités critiques.
CVE-2022-24473[Score CVSS v3.1: 7.8]
Une vulnérabilité dans Microsoft Excel permet à un attaquant, en incitant un utilisateur à visiter un site web spécialement forgé, d’exécuter du code arbitraire.
CVE 2022-24491 [Score CVSS v3.1: 9.8] (critique)
Une faille dans le composant Network File System permet à un attaquant d’exécuter du code arbitraire.
CVE 2022-24521[Score CVSS v3.1: 7.8]
Une faille dans le composant Common Log File System Drive permet à un attaquant authentifié d’exécuter un programme spécialement forgé afin de générer du code arbitraire avec des privilèges plus élevés.
CVE-2022-26809[Score CVSS v3.1: 9.8] (critique)
Une faille dans la librairie du Runtime RPC permet à un attaquant d’exécuter du code arbitraire.
CVE-2022-26914[Score CVSS v3.1: 7.8]
Une faille dans le composant Win32k permet à un attaquant authentifié d’exécuter un programme spécialement forgé afin de générer du code arbitraire avec des privilèges plus élevés.
CVE-2022-26915[Score CVSS v3.1: 7.5]
Un défaut d'utilisation de données en mémoire après libération dans le canal sécurisé de Windows permet à un attaquant distant d’exécuter une commande conçue afin de provoquer un déni de service.
CVE-2022-26917, CVE-2022-26916 et CVE-2022-26918[Score CVSS v3.1: 7.8]
Une faille dans le composant Fax Compose Form permet à un attaquant, en incitant un utilisateur à ouvrir un contenu spécialement forgé, d’exécuter du code arbitraire.
CVE-2022-26919[Score CVSS v3.1: 8.1]
Une vulnérabilité dans le protocole LDAP de Microsoft Windows permet à un attaquant distant d’exécuter un programme spécialement forgé afin de générer du code arbitraire.
CVE-2022-26921[Score CVSS v3.1: 7.3]
Une vulnérabilité dans l’éditeur Microsoft Visual StudioCode permet à un attaquant authentifié d’exécuter un programme spécialement forgé afin de générer du code arbitraire avec des privilèges plus élevés.
CVE-2022-26924[Score CVSS v3.1: 7.5]
Une faille dans le toolkit Microsoft Yarp permet à un attaquant distant d’exécuter une commande conçue afin de provoquer un déni de service
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Élévation de privilèges
Exécution de code arbitraire
Déni de service
Criticité
Score CVSS v3.1: 9.8 max
La faille est activement exploitée
Non, pour les CVE-2022-24473, CVE 2022-24491, CVE-2022-26809, CVE-2022-26914, CVE-2022-26915, CVE-2022-26917, CVE-2022-26916, CVE-2022-26918, CVE-2022-26919, CVE-2022-26921 et CVE-2022-26924.
Oui, pour la CVE 2022-24521.
Un correctif existe
Oui, pour l’ensemble des CVE présentées.
Une mesure de contournement existe
Non, pour l’ensemble des CVE présentées.
Les vulnérabilités exploitées sont du type
Pour les CVE-2022-24473, CVE 2022-24491 et CVE-2022-26809
Pour les CVE 2022-24521
Pour la CVE-2022-26914
Pour les CVE-2022-26915, CVE-2022-26916, CVE-2022-26917, CVE-2022-26918 et CVE-2022-26919
Pour la CVE-2022-26921
En cours de calcul
Pour la CVE-2022-26924
Détails sur l’exploitation
Pour la CVE-2022-24473
Vecteur d’attaque : Local.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Pour la CVE 2022-24491
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Pour la CVE 2022-24521
Vecteur d’attaque : Local.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.
Pour la CVE-2022-26809
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Pour la CVE-2022-26914
Vecteur d’attaque : Local.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.
Pour la CVE-2022-26915
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Pour les CVE-2022-26916, CVE-2022-26917, CVE-2022-26918
Vecteur d’attaque : Local.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Pour la CVE-2022-26919
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Élevée.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Pour la CVE-2022-26921
Vecteur d’attaque : Local.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.
Pour la CVE-2022-26924
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Composants vulnérables
Pour la CVE-2022-24473
Microsoft Office LTSC 2021 en 32 et 64 bits
Microsoft Office LTSC pour Mac 2021
Applications Microsoft 365 entreprises en 32 et 64 bits
Microsoft Office 2019 pour Mac
Pour la CVE 2022-24491
Windows 10 Version 21H2 - ARM64
Windows 10 version 21H2 en 32 bits
Windows 11 - ARM64
Windows 11 pour x64
Windows Server, version 20H2
Windows 10 version 20H2 pour ARM64
Windows 10 version 20H2 en 32 bits
Windows 10 version 20H2 pour x64
Windows Server 2022 (installation du noyau du serveur)
Serveur Windows 2022
Windows Server 2016 (installation du noyau du serveur)
Windows 10 version 21H2 pour x64
Windows 10 version 21H1 en 32 bits
Windows 10 version 21H1 pour ARM64
Windows 10 version 21H1 pour x64
Windows 10 version 1909 pour ARM64
Windows 10 version 1909 pour x64
Windows 10 version 1909 en 32 bits
Windows Server 2019 (installation du noyau du serveur)
Serveur Windows 2016
Windows 10 version 1607 pour x64
Windows 10 version 1607 en 32 bits
Windows 10 pour x64
Windows 10 en 32 bits
Windows RT 8.1
Windows 8.1 pour x64
Windows 8.1 en 32 bits
Serveur Windows 2019
Windows 10 version 1809 pour ARM64
Windows 10 version 1809 pour x64
Windows 10 version 1809 en 32 bits
Windows Serveur 2012 R2
Windows Server 2012 (installation du noyau du serveur)
Serveur Windows 2012
Windows Server 2012 R2 (installation du noyau du serveur)
Pour la CVE 2022-24521
Windows Server 2012 (installation du noyau du serveur)
Serveur Windows 2012
Windows Server 2008 R2 pour Service Pack 1
Windows Server 2008 pour x64 Service Pack 2
Windows Server 2008 en 32 bits Service Pack 2
Windows RT 8.1
Windows 8.1 pour x64
Windows 8.1 en 32 bits
Windows 7 pour x64 Service Pack 1
Windows Server 2012 R2 (installation du noyau du serveur)
Windows Serveur 2012 R2
Windows 7 en 32 bits Service Pack 1
Windows Server 2016 (installation du noyau du serveur)
Serveur Windows 2016
Windows 10 version 1607 pour x64
Windows 10 version 1607 en 32 bits
Windows 10 pour x64
Windows 10 en 32 bits
Windows 10 Version 21H2 pour x64
Windows 10 version 21H2 pour ARM64
Windows 10 version 21H2 pour 32 bits
Windows 11 pour ARM64
Windows 11 pour les systèmes x64
Windows Server, version 20H2 (installation du noyau du serveur)
Windows 10 version 20H2 pour ARM64
Windows 10 version 20H2 en 32 bits
Windows 10 version 20H2 pour x64
Windows Server 2022 (installation du noyau du serveur)
Serveur Windows 2022
Windows 10 version 21H1 en 32 bits
Windows 10 version 21H1 pour ARM64
Windows 10 version 21H1 pour x64
Windows 10 version 1909 pour ARM64
Windows 10 Version 1909 pour x64
Windows 10 version 1909 en 32 bits
Windows Server 2019 (installation du noyau du serveur)
Serveur Windows 2019
Windows 10 version 1809 pour ARM64
Windows 10 version 1809 pour x64
Windows 10 version 1809 en 32 bits
Pour la CVE-2022-26809
Windows 7 en 32 bits Service Pack 1
Windows Server 2016 (installation du noyau du serveur)
Windows 11 pour ARM64
Windows Server, version 20H2 (installation du noyau du serveur)
Windows 10 version 20H2 pour ARM64
Windows 10 version 1909 pour ARM64
Windows 10 Version 1809 pour x64
Windows 10 en 32 bits
Windows 10 version 21H2 pour x64
Windows 10 version 21H2 pour ARM64
Windows 10 version 21H2 en 32 bits
Windows 10 version 1809 en 32 bits
Windows Server 2022 (installation du noyau du serveur)
Serveur Windows 2022
Windows 10 version 21H1 en 32 bits
Windows 10 Version 21H1 pour ARM64
Windows 10 Version 21H1 pour x64
Windows Server 2012 R2 (installation du noyau du serveur)
Windows Serveur 2012 R2
Windows Server 2012 (installation du noyau du serveur)
Serveur Windows 2012
Windows Server 2008 R2 pour x64 Service Pack 1 (installation Server Core)
Windows Server 2008 R2 pour x64 Service Pack 1
Windows 10 version 20H2 en 32 bits
Windows 10 version 20H2 pour x64
Windows Server 2008 pour x64 Service Pack 2 (installation Server Core)
Serveur Windows 2016
Windows 10 version 1607 pour x64
Windows 10 version 1607 en 32 bits
Windows 10 pour x64
Windows 10 version 1909 pour x64
Windows 10 version 1909 en 32 bits
Windows 10 version 1809 pour ARM64
Windows Server 2008 pour x64 Service Pack 2
Windows Server 2008 en 32 bits Service Pack 2 (installation Server Core)
Windows 8.1 en 32 bits
Windows 7 pour x64 Service Pack 1
Windows Server 2008 en 32 bits Service Pack 2
Windows RT 8.1
Windows 8.1 pour x64
Windows 11 pour x64
Windows Server 2019 (installation du noyau du serveur)
Serveur Windows 2019
Pour la CVE-2022-26914
Windows 10 version 21H1 en 32 bits
Windows 10 version 21H1 pour ARM64
Windows 10 version 21H1 pour x64
Windows 10 version 1909 pour ARM64
Windows 10 version 1909 pour x64
Windows 10 version 1909 en 32 bits
Windows Server 2019 (installation du noyau du serveur)
Serveur Windows 2019
Windows 10 version 1809 pour ARM64
Windows 10 version 1809 pour x64
Windows 10 version 1809 en 32 bits
Windows 11 pour les systèmes x64
Windows Server, version 20H2 (installation du noyau du serveur)
Windows 10 version 20H2 pour ARM64
Windows 10 version 20H2 en 32 bits
Windows 10 Version 20H2 pour x64
Windows Server 2022 (installation du noyau du serveur)
Serveur Windows 2022
Windows 10 version 21H1 en 32 bits
Windows 10 Version 21H1 pour ARM64
Windows 10 Version 21H1 pour x64
Pour la CVE-2022-26915
Windows 10 version 1607 pour x64
Windows 10 version 1607 en 32 bits
Windows Serveur 2012 R2
Windows Server 2012 (installation du noyau du serveur)
Windows Server 2008 pour x64 Service Pack 2
Windows 7 en 32 bits Service Pack 1
Windows Server 2016 (installation du noyau du serveur)
Serveur Windows 2016
Windows Server 2008 en 32 bits Service Pack 2 (installation Server Core)
Windows Server 2008 en 32 bits Service Pack 2
Windows RT 8.1
Windows 8.1 pour x64
Windows 8.1 en 32 bits
Windows 7 pour x64 Service Pack 1
Serveur Windows 2012
Windows Server 2008 R2 pour x64 Service Pack 1 (installation Server Core)
Windows Server 2008 R2 pour x64 Service Pack 1
Windows Server 2008 pour x64 Service Pack 2 (installation Server Core)
Windows Server 2012 R2 (installation du noyau du serveur)
Windows 10 pour x64
Windows 10 en 32 bits
Windows 10 version 21H2 pour x64
Windows 10 version 21H2 pour ARM64
Windows 10 version 21H2 en 32 bits
Windows 11 pour ARM64
Windows Server, version 20H2 (installation du noyau du serveur)
Windows 10 version 20H2 pour ARM64
Windows 10 version 20H2 en 32 bits
Windows 10 version 20H2 pour x64
Windows Server 2022 (installation du noyau du serveur)
Serveur Windows 2022
Windows 10 version 21H1 en 32 bits
Windows 10 version 21H1 pour ARM64
Windows 10 version 21H1 pour x64
Windows 10 version 1909 pour ARM64
Windows 10 version 1909 pour x64
Windows 10 version 1909 en 32 bits
Windows Server 2019 (installation du noyau du serveur)
Serveur Windows 2019
Windows 10 version 1809 pour ARM64
Windows 10 version 1809 pour x64
Windows 10 version 1809 en 32 bits
Pour la CVE-2022-26916, CVE-2022-26917, CVE-2022-26919 et CVE-2022-26918
Windows Server, version 20H2 (installation du noyau du serveur)
Windows Server 2022 (installation du noyau du serveur)
Serveur Windows 2022
Windows Server 2019 (installation du noyau du serveur)
Serveur Windows 2019
Windows Server 2016 (installation du noyau du serveur)
Serveur Windows 2016
Windows Server 2012 R2 (installation du noyau du serveur)
Windows Serveur 2012 R2
Windows Server 2012 (installation du noyau du serveur)
Serveur Windows 2012
Windows RT 8.1
Windows 8.1 pour x64
Windows 8.1 en 32 bits
Windows 11 pour x64
Windows 11 pour ARM64
Windows 10 pour x64
Windows 10 en 32 bits
Windows 10 Version 21H2 pour x64
Windows 10 Version 21H2 pour ARM64
Windows 10 version 21H2 en 32 bits
Windows 10 Version 21H1 pour x64
Windows 10 Version 21H1 pour ARM64
Windows 10 version 21H1 en 32 bits
Windows 10 Version 20H2 pour x64
Windows 10 Version 20H2 pour ARM64
Windows 10 version 20H2 en 32 bits
Windows 10 Version 1909 pour x64
Windows 10 Version 1909 pour ARM64
Windows 10 version 1909 en 32 bits
Windows 10 Version 1809 pour x64
Windows 10 Version 1809 pour ARM64
Windows 10 version 1809 en 32 bits
Windows 10 version 1607 pour x64
Pour la CVE-2022-26921
Visual Studio Code
Pour la CVE-2022-26924
YARP 1.1RC
YARP 1.0
Solutions ou recommandations
- Appliquer les correctifs de sécurité proposés par Microsoft dans le Patch Tuesday du mois d’avril 2022.
- La liste complète des vulnérabilités du Patch Tuesday est disponible ici.
- Pour la CVE-2022-24473, les mises à jour logicielles sont disponibles ici.
- Pour la CVE 2022-24491, les mises à jour logicielles sont disponibles ici.
- Pour la CVE 2022-24521, les mises à jour logicielles sont disponibles ici.
- Pour la CVE-2022-26809, les mises à jour logicielles sont disponibles ici.
- Pour la CVE-2022-26914, les mises à jour logicielles sont disponibles ici.
- Pour la CVE-2022-26915, les mises à jour logicielles sont disponibles ici.
- Pour la CVE-2022-26916, les mises à jour logicielles sont disponibles ici.
- Pour la CVE-2022-26917, les mises à jour logicielles sont disponibles ici.
- Pour la CVE-2022-26919, les mises à jour logicielles sont disponibles ici.
- Pour la CVE-2022-26918, les mises à jour logicielles sont disponibles ici.
- Pour la CVE-2022-26921, les mises à jour logicielles sont disponibles ici.
- Pour la CVE-2022-26924, les mises à jour logicielles sont disponibles ici.
Liens
- Microsoft update guide
- Microsoft vulnerabilities
- Microsoft CVE-2022-24473
- Microsoft CVE-2022-24491
- Microsoft CVE-2022-24521
- Microsoft CVE-2022-26809
- Microsoft CVE-2022-26914
- Microsoft CVE-2022-26915
- Microsoft CVE-2022-26916
- Microsoft CVE-2022-26917
- Microsoft CVE-2022-26918
- Microsoft CVE-2022-26919
- Microsoft CVE-2022-26921
- Microsoft CVE-2022-26924