Vulnérabilités dans les produits Microsoft (Patch Tuesday Mars 2022)
Date de publication :
Le 9 mars 2022, Microsoft a publié son Path Tuesday. Ce bulletin présente plusieurs vulnérabilités importantes.
CVE-2022-23294[Score CVSS v3.1: 8.8]
Un contrôle insuffisant des données entrées dans la fonctionnalité de suivi d’évènements (ETW) peut permettre à un attaquant d’utiliser une requête pour exécuter du code arbitraire sur le système.
CVE-2022-24508[Score CVSS v3.1: 8.8]
Un contrôle insuffisant des données entrées dans le protocole SMBv3 Client/Server peut permettre à un attaquant d’utiliser des paquets pour exécuter du code arbitraire sur le système.
CVE-2022-23277[Score CVSS v3.1: 8.8]
Un contrôle insuffisant des données entrées dans le serveur Microsoft Exchange peut permettre à un attaquant d’utiliser des paquets pour exécuter du code arbitraire sur le système.
CVE-2022-24510CVE-2022-24461CVE-2022-24509[Score CVSS v3.1: 7.8]
Une attaque par XSS peut être réalisée en raison d’un contrôle insuffisant des données entrées dans Microsoft Office Vision. Un attaquant incitant un utilisateur à visiter un site web peut exécuter du code arbitraire sur son système.
CVE-2022-21990[Score CVSS v3.1: 8.8]
Une configuration incorrecte de l’accès mémoire dans Remote Desktop Client peut permettre une attaque par XSS. Un attaquant incitant un utilisateur à visiter un site web peut exécuter du code arbitraire sur son système.
CVE-2022-24469[Score CVSS v3.1: 8.1]
Une restriction de sécurité insuffisante dans Azure Site Recovery peut permettre à un attaquant d’utiliser des requêtes pour exécuter du code arbitraire avec les privilèges les plus élevés.
CVE-2022-24459[Score CVSS v3.1: 7.8]
Une configuration incorrecte des restrictions de sécurité dans le service Fax et Scan de Windows peut permettre à un attaquant d’utiliser un programme pour exécuter du code arbitraire avec les privilèges les plus élevés.
CVE-2022-24455[Score CVSS v3.1: 7.8]
Une configuration incorrecte des restrictions de sécurité concernant le pilote CD-ROM de Windows peut permettre à un attaquant d’utiliser un programme pour exécuter du code arbitraire avec les privilèges les plus élevés.
CVE-2022-23293[Score CVSS v3.1: 7.8]
Une configuration incorrecte des restrictions de sécurité concernant le pilote Fast FAT File System peut permettre à un attaquant d’utiliser un programme pour exécuter du code arbitraire avec les privilèges les plus élevés.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Élévation de privilèges
- Exécution de code arbitraire (à distance)
Criticité
- Score CVSS v3.1: 8.8 max
La faille est activement exploitée
- Non, pour l’ensemble des CVE présentés. Un exploit (POC) existe pour la CVE-2022-21990
Un correctif existe
- Oui, pour l’ensemble des CVE présentés.
Une mesure de contournement existe
- Non, pour l’ensemble des CVE présentés.
Les vulnérabilités exploitées sont du type
Pour la CVE-2022-23294
Pour la CVE-2022-24508
Pour la CVE-2022-23277
- CWE-200 : Exposure of Sensitive Information to an Unauthorized Actor
- CWE-94: Improper Control of Generation of Code
Pour la CVE-2022-24510
Pour la CVE-2022-24461
Pour la CVE-2022-24509
Pour la CVE-2022-21990
Pour la CVE-2022-24469
Pour la CVE-2022-24459
Pour la CVE-2022-24455
Pour la CVE-2022-23293
Détails sur l’exploitation
Pour la CVE-2022-23294CVE-2022-24508CVE-2022-23277CVE-2022-24469
- Vecteur d’attaque : Réseau.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Pour la CVE-2022-24510CVE-2022-24461CVE-2022-24509
- Vecteur d’attaque : Local.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Aucun.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Pour la CVE-2022-21990
- Vecteur d’attaque : Réseau.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Aucun.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Pour la CVE-2022-24459
- Vecteur d’attaque : Local.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Aucun.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.
Pour la CVE-2022-24455CVE-2022-23293
- Vecteur d’attaque : Local.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.
Composants vulnérables
Pour la CVE-2022-23294
- Windows 10 Version 1809 32-bit Systems
- Windows Server 2019
- Windows 10 Version 1809 ARM64-based Systems
- Windows 10 Version 1809 x64-based Systems
- Windows Server 2012 R2 (Server Core installation)
- Windows Server 2012 R2
- Windows Server 2012 (Server Core installation)
- Windows Server 2012
- Windows RT 8.1
- Windows 8.1 x64-based systems
- Windows 8.1 32-bit systems
- Windows Server 2022
- Windows 10 Version 21H1 32-bit Systems
- Windows 10 Version 21H1 ARM64-based Systems
- Windows 10 Version 21H1 x64-based Systems
- Windows 10 Version 1909 ARM64-based Systems
- Windows 10 Version 1909 x64-based Systems
- Windows 10 Version 1909 32-bit Systems
- Windows Server 2019 (Server Core installation)
- Windows Server 2016 (Server Core installation)
- Windows Server 2016
- Windows 10 Version 1607 x64-based Systems
- Windows 10 Version 1607 32-bit Systems
- Windows 10 x64-based Systems
- Windows 10 32-bit Systems
- Windows 10 Version 21H2 x64-based Systems
- Windows 10 Version 21H2 ARM64-based Systems
- Windows 10 Version 21H2 32-bit Systems
- Windows 11 ARM64-based Systems
- Windows 11 x64-based Systems
- Windows Server, version 20H2 (Server Core Installation)
- Windows 10 Version 20H2 ARM64-based Systems
- Windows 10 Version 20H2 32-bit Systems
- Windows 10 Version 20H2 x64-based Systems
- Windows Server 2022 Azure Edition Core Hotpatch
- Windows Server 2022 (Server Core installation)
Pour la CVE-2022-24508
- Windows 10 Version 21H1 32-bit Systems
- Windows 10 Version 21H1 ARM64-based Systems
- Windows 10 Version 21H1 x64-based Systems
- Windows 10 Version 20H2 32-bit Systems
- Windows 10 Version 20H2 x64-based Systems
- Windows Server 2022 Azure Edition Core Hotpatch
- Windows Server 2022 (Server Core installation)
- Windows Server 2022
- Windows 10 Version 21H2 x64-based Systems
- Windows 10 Version 21H2 ARM64-based Systems
- Windows 10 Version 21H2 32-bit Systems
- Windows 11 ARM64-based Systems
- Windows 11 x64-based Systems
- Windows Server, version 20H2 (Server Core Installation)
- Windows 10 Version 20H2 ARM64-based Systems
Pour la CVE-2022-23277
- Microsoft Exchange Server 2019 Cumulative Update 11
- Microsoft Exchange Server 2016 Cumulative Update 22
- Microsoft Exchange Server 2019 Cumulative Update 10
- Microsoft Exchange Server 2016 Cumulative Update 21
- Microsoft Exchange Server 2013 Cumulative Update 23
Pour la CVE-2022-24510CVE-2022-24508CVE-2022-23277
- Microsoft Office LTSC 2021 for 32-bit editions
- Microsoft Office LTSC 2021 for 64-bit editions
- Microsoft 365 Apps Enterprise for 64-bit Systems
- Microsoft 365 Apps Enterprise for 32-bit Systems
- Microsoft Office 2019 64-bit editions
- Microsoft Office 2019 32-bit editions
Pour la CVE-2022-21990
- Windows 10 Version 21H2 for ARM64-based Systems
- Windows 10 Version 21H2 for 32-bit Systems
- Windows 11 for ARM64-based Systems
- Windows Server 2016 (Server Core installation)
- Windows Server 2016
- Windows 10 Version 1607 for x64-based Systems
- Windows 10 Version 1607 for 32-bit Systems
- Windows 10 for x64-based Systems
- Windows 10 for 32-bit Systems
- Windows 10 Version 21H2 for x64-based Systems
- Windows 11 for x64-based Systems
- Windows Server, version 20H2 (Server Core Installation)
- Windows 10 Version 20H2 for ARM64-based Systems
- Windows 10 Version 20H2 for 32-bit Systems
- Windows 10 Version 20H2 for x64-based Systems
- Windows Server 2022 (Server Core installation)
- Windows Server 2022
- Windows 10 Version 21H1 for 32-bit Systems
- Windows 10 Version 21H1 for ARM64-based Systems
- Windows 10 Version 21H1 for x64-based Systems
- Remote Desktop client for Windows Desktop
- Windows 10 Version 1909 for ARM64-based Systems
- Windows 10 Version 1909 for x64-based Systems
- Windows 10 Version 1909 for 32-bit Systems
- Windows Server 2019 (Server Core installation)
- Windows Server 2019
- Windows 10 Version 1809 for ARM64-based Systems
- Windows 10 Version 1809 for x64-based Systems
- Windows Server 2012 R2 (Server Core installation)
- Windows Server 2012 R2
- Windows Server 2012 (Server Core installation)
- Windows Server 2012
- Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
- Windows Server 2008 R2 for x64-based Systems Service Pack 1
- Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
- Windows Server 2008 for x64-based Systems Service Pack 2
- Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
- Windows Server 2008 for 32-bit Systems Service Pack 2
- Windows RT 8.1
- Windows 8.1 for x64-based systems
- Windows 8.1 for 32-bit systems
- Windows 7 for x64-based Systems Service Pack 1
- Windows 7 for 32-bit Systems Service Pack 1
- Windows 10 Version 1809 for 32-bit Systems
Pour la CVE-2022-24469
- Azure Site Recovery VMWare to Azure
Pour la CVE-2022-24459
- Windows Server 2008 x64-based Systems Service Pack 2 (Server Core installation)
- Windows Server 2008 x64-based Systems Service Pack 2
- Windows Server 2008 32-bit Systems Service Pack 2 (Server Core installation)
- Windows Server 2008 32-bit Systems Service Pack 2
- Windows RT 8.1
- Windows 10 32-bit Systems
- Windows Server 2008 R2 x64-based Systems Service Pack 1 (Server Core installation)
- Windows Server 2008 R2 x64-based Systems Service Pack 1
- Windows 10 Version 21H2 x64-based Systems
- Windows 10 Version 21H2 ARM64-based Systems
- Windows 10 Version 21H2 32-bit Systems
- Windows 11 for ARM64-based Systems
- Windows Server 2012 R2 (Server Core installation)
- Windows Server 2012 R2
- Windows Server 2012 (Server Core installation)
- Windows 8.1 x64-based systems
- Windows 8.1 32-bit systems
- Windows 7 x64-based Systems Service Pack 1
- Windows 7 32-bit Systems Service Pack 1
- Windows Server 2016 (Server Core installation)
- Windows Server 2016
- Windows 10 Version 1607 x64-based Systems
- Windows 10 Version 1607 32-bit Systems
- Windows 10 for x64-based Systems
- Windows 10 Version 1809 32-bit Systems
- Windows 11 for x64-based Systems
- Windows Server, version 20H2 (Server Core Installation)
- Windows 10 Version 20H2 ARM64-based Systems
- Windows 10 Version 20H2 32-bit Systems
- Windows 10 Version 20H2 x64-based Systems
- Windows Server 2022 (Server Core installation)
- Windows Server 2022
- Windows 10 Version 21H1 32-bit Systems
- Windows 10 Version 21H1 ARM64-based Systems
- Windows 10 Version 21H1 x64-based Systems
- Windows 10 Version 1909 ARM64-based Systems
- Windows 10 Version 1909 x64-based Systems
- Windows 10 Version 1909 32-bit Systems
- Windows Server 2019 (Server Core installation)
- Windows Server 2019
- Windows 10 Version 1809 ARM64-based Systems
- Windows 10 Version 1809 x64-based Systems
Pour la CVE-2022-24455
- Windows 10 Version 1909 ARM64-based Systems
- Windows 10 Version 1909 x64-based Systems
- Windows 10 Version 1909 32-bit Systems
- Windows Server 2019 (Server Core installation)
- Windows Server 2019
- Windows 10 Version 1809 ARM64-based Systems
- Windows 10 Version 1809 x64-based Systems
- Windows 10 Version 1809 32-bit Systems
- Windows Server 2012 R2 (Server Core installation)
- Windows Server 2012 R2
- Windows Server 2012 (Server Core installation)
- Windows Server 2012
- Windows RT 8.1
- Windows 8.1 x64-based systems
- Windows 8.1 32-bit systems
- Windows Server 2016 (Server Core installation)
- Windows Server 2016
- Windows 10 Version 1607 x64-based Systems
- Windows 10 Version 1607 32-bit Systems
- Windows 10 x64-based Systems
- Windows 10 32-bit Systems
Pour la CVE-2022-23293
- Windows Server 2016 (Server Core installation)
- Windows Server 2016
- Windows 10 Version 1607 x64-based Systems
- Windows 10 Version 1607 32-bit Systems
- Windows Server version 20H2 (Server Core Installation)
- Windows 10 Version 20H2 ARM64-based Systems
- Windows 10 Version 20H2 32-bit Systems
- Windows 10 Version 20H2 x64-based Systems
- Windows Server 2022 Azure Edition Core Hotpatch
- Windows Server 2022 (Server Core installation)
- Windows Server 2022
- Windows 10 Version 21H1 32-bit Systems
- Windows 10 Version 21H1 ARM64-based Systems
- Windows 10 Version 21H1 x64-based Systems
- Windows 10 Version 1909 ARM64-based Systems
- Windows 10 Version 1909 x64-based Systems
- Windows 10 Version 1909 32-bit Systems
- Windows Server 2019 (Server Core installation)
- Windows Server 2019
- Windows 10 Version 1809 for ARM64-based Systems
- Windows 10 Version 1809 for x64-based Systems
- Windows 10 Version 1809 for 32-bit Systems
- Windows 10 x64-based Systems
- Windows 10 32-bit Systems
- Windows 10 Version 21H2 x64-based Systems
- Windows 10 Version 21H2 ARM64-based Systems
- Windows 10 Version 21H2 32-bit Systems
- Windows 11 ARM64-based Systems
- Windows 11 x64-based Systems
- Windows Server 2012 R2 (Server Core installation)
- Windows Server 2012 R2
- Windows Server 2012 (Server Core installation)
- Windows Server 2012
- Windows Server 2008 R2 x64-based Systems Service Pack 1 (Server Core installation)
- Windows Server 2008 R2 x64-based Systems Service Pack 1
- Windows Server 2008 x64-based Systems Service Pack 2 (Server Core installation)
- Windows Server 2008 x64-based Systems Service Pack 2
- Windows Server 2008 32-bit Systems Service Pack 2 (Server Core installation)
- Windows Server 2008 32-bit Systems Service Pack 2
- Windows RT 8.1
- Windows 8.1 x64-based systems
- Windows 8.1 32-bit systems
- Windows 7 x64-based Systems Service Pack 1
- Windows 7 32-bit Systems Service Pack 1
Solutions ou recommandations
- Appliquer les correctifs de sécurité proposés par Microsoft dans le Patch Tuesday du mois de mars 2022.
- La liste complète des vulnérabilités du Patch Tuesday est disponible ici.
- Pour le système d’exploitation Windows 11, la mise à jour cumulative est disponible ici : KB5011493
- Pour le système d’exploitation Windows 10 Enterprise (version 1909), Windows 10 Enterprise et Education (version 1909), Windows 10 IoT Enterprise (version 1909), la mise à jour cumulative est disponible ici : KB5011485
- Pour le système d’exploitation Windows 10 (version 21H2 et version 22H2), la mise à jour cumulative est disponible ici : KB5011487
- Pour le système d’exploitation Windows 8.1, Windows Server 2012 R2, Windows Embedded 8.1 Industry Enterprise, Windows Embedded 8.1 Industry Pro, la mise à jour cumulative est disponible ici :KB5011564
- Pour le système d’exploitation Windows 7, Windows 7 Enterprise ESU, Windows 7 Professional ESU, Windows 7 Ultimate ESU, Windows Server 2008 R2 Enterprise ESU, Windows Server 2008 R2 Standard ESU, Windows Server 2008 R2 Datacenter ESU, Windows Embedded Standard 7 ESU, Windows Embedded POSReady 7 ESU, la mise à jour cumulative est disponible ici : KB5011552