Vulnérabilités dans les produits Microsoft (Patch Tuesday, mai 2022)
Date de publication :
Le 11 mai 2022, Microsoft a publié son Path Tuesday. Ce bulletin présente plusieurs vulnérabilités importantes.
CVE-2022-29130, CVE-2022-22012[Score CVSS v3.1: 9.8] (critique)
Le composant LDAP de Microsoft Windows devient vulnérable lorsque la politique LDAP MaxReceiveBuffer est définie sur une valeur supérieure à celle par défaut. Un attaquant peut, grâce à l’envoi d’une requête spécialement forgée, exécuter du code arbitraire dans le contexte du compte SYSTEM.
CVE-2022-26937[Score CVSS v3.1: 9.8] (critique)
Une vulnérabilité dans le système de gestion de fichiers en réseau de Windows permet à un attaquant distant, grâce à l’envoi d’un appel non authentifié et spécialement forgé à un service NFS (Network File System), d’exécuter du code arbitraire sur le système.
CVE-2022-29972[Score CVSS v3.1: 9.1] (critique)
Le pilote ODBC Amazon Redshift de Magnitude Simba présente un défaut d'injection d'arguments dans le composant d'authentification basé sur le navigateur. En envoyant une requête spécialement forgée, un attaquant disposant des rôles d’administrateur, contributeur ou opérateur Synapse, peut exécuter du code arbitraire sur le système.
CVE-2022-21972, CVE-2022-23270[Score CVSS v3.1: 8.1]
Microsoft Windows présente une condition de concurrence dans son protocole de tunneling point à point. Un attaquant distant peut envoyer une requête forgée vers un serveur RAS afin, en remportant la condition de concurrence, d’exécuter du code arbitraire sur celui-ci.
CVE-2022-26931[Score CVSS v3.1: 7.5]
Une faille dans le composant Kerberos de Microsoft Windows permet à un attaquant authentifié d’exécuter du code arbitraire avec des privilèges plus élevés.
CVE-2022-26923[Score CVSS v3.1: 8.8]
Une erreur dans le composant Active Directory Domain Services permet à un attaquant authentifié d’acquérir un nouveau certificat afin d’exécuter du code arbitraire avec des privilèges plus élevés.
CVE-2022-22017[Score CVSS v3.1: 8.8]
Une faille dans le client Remote Desktop permet à un attaquant distant, en persuadant une victime de se connecter à un serveur RDP malveillant, d'exécuter du code arbitraire sur le système.
CVE-2022-26925[Score CVSS v3.1: 8.1]
Un appel de méthode sur l'interface LSARPC contraint le contrôleur de domaine à s'authentifier grâce à l’utilisation du protocole de protection NTLM. Un attaquant distant peut ainsi, en s’insérant dans le chemin réseau entre la cible et la ressource demandée, obtenir les données d’authentification afin de mener des attaques par usurpation d'identité.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Exécution de code arbitraire (à distance)
Élévation de privilèges
Contournement de la politique de sécurité
Criticité
Score CVSS v3.1: 9.8 max (critique)
La faille est activement exploitée
Non, pour les CVE-2022-29130, CVE-2022-22012, CVE-2022-26937, CVE-2022-29972, CVE-2022-21972, CVE-2022-23270, CVE-2022-26931 et CVE-2022-22017
Oui, pour les CVE-2022-26923, CVE-2022-26925
Un correctif existe
Oui, pour l’ensemble des CVE présentés.
Une mesure de contournement existe
Non, pour les CVE-2022-29130, CVE-2022-22012, CVE-2022-29972, CVE-2022-21972, CVE-2022-23270, CVE-2022-26931, CVE-2022-22017 et CVE-2022-26925
Oui, pour les CVE-2022-26937 et CVE-2022-26923
Les vulnérabilités exploitées sont du type
Pour la CVE-2022-29972
Pour les CVE-2022-21972 et CVE-2022-23270
CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition')
Pour les CVE-2022-26931 et CVE-2022-26923
Pour la CVE-2022-22017
Pour les CVE-2022-26925,
Pour la CVE-2022-29130, CVE-2022-22012, CVE-2022-26937
Détails sur l’exploitation
Pour les CVE-2022-29130, CVE-2022-26937 et CVE-2022-22012
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Pour la CVE-2022-29972
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur à privilège.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.
Pour les CVE-2022-21972, CVE-2022-23270 et CVE-2022-26925
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Elevée.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Pour la CVE-2022-26931
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Élevée.
Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.
Pour la CVE-2022-26923
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.
Pour la CVE-2022-22017
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Composants vulnérables
Pour la CVE-2022-29130
Windows 10 1607 pour les systèmes 32 bits
Windows 10 1607 pour les systèmes x64
Windows 10 1809 pour les systèmes 32 bits
Windows 10 1809 pour les systèmes basés sur ARM64
Windows 10 1809 pour les systèmes x64
Windows 10 1909 pour les systèmes 32 bits
Windows 10 1909 pour les systèmes basés sur ARM64
Windows 10 1909 pour les systèmes x64
Windows 10 20H2 pour les systèmes 32 bits
Windows 10 20H2 pour les systèmes basés sur ARM64
Windows 10 20H2 pour les systèmes x64
Windows 10 21H1 pour les systèmes 32 bits
Windows 10 21H1 pour les systèmes basés sur ARM64
Windows 10 21H1 pour les systèmes x64
Windows 10 21H2 pour les systèmes 32 bits
Windows 10 21H2 pour les systèmes basés sur ARM64
Windows 10 21H2 pour les systèmes x64
Windows 10 pour les systèmes 32 bits
Windows 10 pour les systèmes x64
Windows 11 pour les systèmes basés sur ARM64
Windows 11 pour les systèmes x64
Windows 7 pour les systèmes 32 bits Service Pack 1
Windows 7 pour les systèmes x64 Service Pack 1
Windows 8.1 pour les systèmes 32 bits
Windows 8.1 pour les systèmes x64
Windows RT 8.1
Windows serveur 2008 R2 pour les systèmes x64 Service Pack 1
Windows serveur 2008 R2 pour les systèmes x64 Service Pack 1 (installation serveur Core)
Windows serveur 2008 pour les systèmes 32 bits Service Pack 2
Windows serveur 2008 pour les systèmes 32 bits Service Pack 2 (installation serveur Core)
Windows serveur 2008 pour les systèmes x64 Service Pack 2
Windows serveur 2008 pour les systèmes x64 Service Pack 2 (installation serveur Core)
Serveur Windows 2012
Windows serveur 2012 (installation du noyau du serveur)
Windows Serveur 2012 R2
Windows serveur 2012 R2 (installation du noyau du serveur)
Serveur Windows 2016
Windows serveur 2016 (installation du noyau du serveur)
Serveur Windows 2019
Windows serveur 2019 (installation du noyau du serveur)
Serveur Windows 2022
Windows serveur 2022 (installation du noyau du serveur)
Windows serveur, 20H2 (installation du noyau du serveur)
Pour la CVE-2022-22012
Windows serveur 2022 (installation du noyau du serveur)
Serveur Windows 2022
Windows serveur 2019 (installation du noyau du serveur)
Serveur Windows 2019
Windows serveur 2016 (installation du noyau du serveur)
Serveur Windows 2016
Windows serveur 2012 R2 (installation du noyau du serveur)
Windows Serveur 2012 R2
Windows serveur 2012 (installation du noyau du serveur)
Serveur Windows 2012
Windows serveur 2008 pour les systèmes x64 Service Pack 2 (installation serveur Core)
Windows serveur 2008 pour les systèmes x64 Service Pack 2
Windows serveur 2008 pour les systèmes 32 bits Service Pack 2 (installation serveur Core)
Windows serveur 2008 pour les systèmes 32 bits Service Pack 2
Windows serveur 2008 R2 pour les systèmes x64 Service Pack 1 (installation serveur Core)
Windows serveur 2008 R2 pour les systèmes x64 Service Pack 1
Windows RT 8.1
Windows 8.1 pour les systèmes x64
Windows 8.1 pour les systèmes 32 bits
Windows 7 pour les systèmes x64 Service Pack 1
Windows 7 pour les systèmes 32 bits Service Pack 1
Windows 11 pour les systèmes x64
Windows 11 pour les systèmes basés sur ARM64
Windows 10 pour les systèmes x64
Windows 10 pour les systèmes 32 bits
Windows 10 21H2 pour les systèmes x64
Windows 10 21H2 pour les systèmes basés sur ARM64
Windows 10 21H2 pour les systèmes 32 bits
Windows 10 21H1 pour les systèmes x64
Windows 10 21H1 pour les systèmes basés sur ARM64
Windows 10 21H1 pour les systèmes 32 bits
Windows 10 20H2 pour les systèmes x64
Windows 10 20H2 pour les systèmes basés sur ARM64
Windows 10 20H2 pour les systèmes 32 bits
Windows 10 1909 pour les systèmes x64
Windows 10 1909 pour les systèmes basés sur ARM64
Windows 10 1909 pour les systèmes 32 bits
Windows 10 1809 pour les systèmes x64
Windows 10 1809 pour les systèmes basés sur ARM64
Windows 10 1809 pour les systèmes 32 bits
Windows 10 1607 pour les systèmes x64
Windows 10 1607 pour les systèmes 32 bits
Pour les CVE-2022-26937, CVE-2022-26937
Windows serveur, 20H2 (installation du noyau du serveur)
Windows serveur 2022 (installation du noyau du serveur)
Serveur Windows 2022
Windows serveur 2019 (installation du noyau du serveur)
Serveur Windows 2019
Windows serveur 2016 (installation du noyau du serveur)
Serveur Windows 2016
Windows serveur 2012 R2 (installation du noyau du serveur)
Windows Serveur 2012 R2
Windows serveur 2012 (installation du noyau du serveur)
Serveur Windows 2012
Windows serveur 2008 pour les systèmes x64 Service Pack 2 (installation serveur Core)
Windows serveur 2008 pour les systèmes x64 Service Pack 2
Windows serveur 2008 pour les systèmes 32 bits Service Pack 2 (installation serveur Core)
Windows serveur 2008 pour les systèmes 32 bits Service Pack 2
Windows serveur 2008 R2 pour les systèmes x64 Service Pack 1 (installation serveur Core)
Windows serveur 2008 R2 pour les systèmes x64 Service Pack 1
Pour les CVE-2022-21972, CVE-2022-23270 et CVE-2022-26925
Windows serveur, 20H2 (installation du noyau du serveur)
Windows serveur 2022 (installation du noyau du serveur)
Serveur Windows 2022
Windows serveur 2019 (installation du noyau du serveur)
Serveur Windows 2019
Windows serveur 2016 (installation du noyau du serveur)
Serveur Windows 2016
Windows serveur 2012 R2 (installation du noyau du serveur)
Windows Serveur 2012 R2
Windows serveur 2012 (installation du noyau du serveur)
Serveur Windows 2012
Windows serveur 2008 pour les systèmes x64 Service Pack 2 (installation serveur Core)
Windows serveur 2008 pour les systèmes x64 Service Pack 2
Windows serveur 2008 pour les systèmes 32 bits Service Pack 2 (installation serveur Core)
Windows serveur 2008 pour les systèmes 32 bits Service Pack 2
Windows serveur 2008 R2 pour les systèmes x64 Service Pack 1 (installation serveur Core)
Windows serveur 2008 R2 pour les systèmes x64 Service Pack 1
Windows RT 8.1
Windows 8.1 pour les systèmes x64
Windows 8.1 pour les systèmes 32 bits
Windows 7 pour les systèmes x64 Service Pack 1
Windows 7 pour les systèmes 32 bits Service Pack 1
Windows 11 pour les systèmes x64
Windows 11 pour les systèmes basés sur ARM64
Windows 10 pour les systèmes x64
Windows 10 pour les systèmes 32 bits
Windows 10 21H2 pour les systèmes x64
Windows 10 21H2 pour les systèmes basés sur ARM64
Windows 10 21H2 pour les systèmes 32 bits
Windows 10 21H1 pour les systèmes x64
Windows 10 21H1 pour les systèmes basés sur ARM64
Windows 10 21H1 pour les systèmes 32 bits
Windows 10 20H2 pour les systèmes x64
Windows 10 20H2 pour les systèmes basés sur ARM64
Windows 10 20H2 pour les systèmes 32 bits
Windows 10 1909 pour les systèmes x64
Windows 10 1909 pour les systèmes basés sur ARM64
Windows 10 1909 pour les systèmes 32 bits
Windows 10 1809 pour les systèmes x64
Windows 10 1809 pour les systèmes basés sur ARM64
Windows 10 1809 pour les systèmes 32 bits
Windows 10 1607 pour les systèmes x64
Windows 10 1607 pour les systèmes 32 bits
Pour la CVE-2022-26923
Windows serveur 2019 (installation du noyau du serveur)
Serveur Windows 2019
Windows serveur 2016 (installation du noyau du serveur)
Windows serveur 2016
Windows serveur 2012 R2 (installation du noyau du serveur)
Windows serveur 2012 R2
Windows RT 8.1
Windows 8.1 pour les systèmes x64
Windows 8.1 pour les systèmes 32 bits
Windows 11 pour les systèmes x64
Windows 11 pour les systèmes basés sur ARM64
Windows 10 pour les systèmes x64
Windows 10 pour les systèmes 32 bits
Windows 10 21H2 pour les systèmes x64
Windows 10 21H2 pour les systèmes basés sur ARM64
Windows 10 21H2 pour les systèmes 32 bits
Windows 10 21H1 pour les systèmes x64
Windows 10 21H1 pour les systèmes basés sur ARM64
Windows 10 21H1 pour les systèmes 32 bits
Windows 10 20H2 pour les systèmes x64
Windows 10 20H2 pour les systèmes basés sur ARM64
Windows 10 20H2 pour les systèmes 32 bits
Windows 10 1909 pour les systèmes x64
Windows 10 1909 pour les systèmes basés sur ARM64
Windows 10 1909 pour les systèmes 32 bits
Windows 10 1809 pour les systèmes x64
Windows 10 1809 pour les systèmes basés sur ARM64
Windows 10 1809 pour les systèmes 32 bits
Windows 10 1607 pour les systèmes x64
Windows 10 1607 pour les systèmes 32 bits
Pour la CVE-2022-22017
Windows serveur 2022 (installation du noyau du serveur)
Windows serveur 2022
Windows 11 pour les systèmes x64
Windows 11 pour les systèmes basés sur ARM64
Client Bureau à distance pour Windows Desktop
Solutions ou recommandations
Appliquer les correctifs de sécurité proposés par Microsoft dans le Patch Tuesday du mois de mai 2022.
Des mesures de contournement existent pour les CVE-2022-26937 et CVE-2022-26923. Des informations complémentaires pour chacune d’entre elles sont disponibles aux pages suivantes : bulletin CVE-2022-26937 et bulletin CVE-2022-26923
La liste complète des mises à jour de vulnérabilités du Patch Tuesday est disponible ici.