Vulnérabilités dans Microsoft (Patch Tuesday janvier 2022)

Date de publication :

Microsoft Windows a publié le patch Tuesday du mois de janvier. Il s’agit  de correctifs concernant 126 vulnérabilités. Ce bulletin présente les vulnérabilités les plus critiques, ainsi qu’un regroupement des plus importantes par risques respectifs.

CVE-2022-21907[Score CVSS v3.1: 9.8]

L’éditeur a remarqué la présence d’une vulnérabilité dans la pile de protocoles http. L’exploitation de cette vulnérabilité peut permettre l’exécution de code arbitraire à distance.

CVE-2022-21849[Score CVSS v3.1: 9.8]

Cette vulnérabilité concerne l’extension du module de génération des clés IKE (Internet Key Exchange) de Windows. L’exploitation de cette vulnérabilité peut permettre l’exécution de code arbitraire à distance.

CVE-2022-21901[Score CVSS v3.1: 9.0]

L’éditeur a identifié une vulnérabilité dans le système de virtualisation Hyper-V. L’exploitation de cette vulnérabilité peut permettre à l’attaquant d’élever ses privilèges.

CVE-2022-21846    CVE-2022-21969   [Score CVSS v3.1: 9.0/9.0]

Ces vulnérabilités ont été découvertes dans le serveur Microsoft Exchange. L’exploitation de ces vulnérabilités peut permettre l’exécution de code arbitraire à distance.

Les autres vulnérabilités importantes sont les suivantes :

CVE-2022-21855  CVE-2022-21850  CVE-2022-21837  CVE-2022-21912  CVE-2022-21878CVE-2022-21917 [Score CVSS v3.1: 9.0 / 8.8 / 8.3 / 7.8 / 7.8 / 7.8]

Ces vulnérabilités concernent un risque d’exécution de code arbitraire à distance.

CVE-2022-21857  CVE-2022-21920  CVE-2022-21833  CVE-2022-21895  CVE-2022-21908   CVE-2022-21882 CVE-2022-21896  CVE-2022-21887 [Score CVSS v3.1 : 8.8 / 8.8 / 7.8 / 7.8 / 7.8 / 7.87 / 7]

Ces vulnérabilités concernent un risque d’élévation de privilèges.

CVE-2022-21911  CVE-2022-21890  CVE-2022-21848  [Score CVSS v3.1 :  7.5 / 7.5 / 7.5]

Ces vulnérabilités concernent un risque de déni de service.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Exécution de code arbitraire
    Élévation de privilèges
    Déni de service
    Contournement de la politique de sécurité

Criticité

    Score CVSS v3.1: 9.8 max

La faille est activement exploitée

    Pour la CVE-2022-21882 : oui, elle est activement exploitée.
    Les autres CVE présentés dans ce bulletin ne sont pas exploitées.

Un correctif existe

     Oui pour l’ensemble des CVE présentés

Une mesure de contournement existe

    Non pour l’ensemble des CVE présentés

Les vulnérabilités exploitées sont du type

Pour la CVE-2022-21882 :

Détails sur l’exploitation

Pour la CVE-2022-21907CVE-2022-21849

    Vecteur d’attaque : réseau
    Complexité de l’attaque : Faible
    Privilèges nécessaires pour réaliser l’attaque : Aucun
    Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
    L’exploitation de la faille permet d’obtenir des droits privilégiés : Non

Pour la CVE-2022-21901

    Vecteur d’attaque : Adjacent
    Complexité de l’attaque : Faible
    Privilèges nécessaires pour réaliser l’attaque : authentification utilisateur simple
    Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
    L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui

Pour la CVE-2022-21846CVE-2022-21969

    Vecteur d’attaque : Adjacent
    Complexité de l’attaque : Faible
    Privilèges nécessaires pour réaliser l’attaque : authentification utilisateur simple
    Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
    L’exploitation de la faille permet d’obtenir des droits privilégiés : Non

Composants vulnérables.

Pour la CVE-2022-21907

    Windows 10 Version 21H2 for x64-based Systems
    Windows Server 2019 (Server Core installation)
    Windows Server 2019
    Windows 10 Version 1809 for ARM64-based Systems
    Windows 10 Version 1809 for x64-based Systems
    Windows 10 Version 1809 for 32-bit Systems
    Windows 10 Version 21H2 for ARM64-based Systems
    Windows 10 Version 21H2 for 32-bit Systems
    Windows 11 for ARM64-based Systems
    Windows 11 for x64-based Systems
    Windows Server, version 20H2 (Server Core Installation)
    Windows 10 Version 20H2 for ARM64-based Systems
    Windows 10 Version 20H2 for 32-bit Systems
    Windows 10 Version 20H2 for x64-based Systems
    Windows Server 2022 (Server Core installation)
    Windows Server 2022
    Windows 10 Version 21H1 for 32-bit Systems
    Windows 10 Version 21H1 for ARM64-based Systems
    Windows 10 Version 21H1 for x64-based Systems

Pour la CVE-2022-21849

    Windows Server 2016 (Server Core installation)
    Windows Server 2016
    Windows 10 Version 1607 for x64-based Systems
    Windows 10 Version 1607 for 32-bit Systems
    Windows 10 for x64-based Systems
    Windows 10 for 32-bit Systems
    Windows 10 Version 21H2 for x64-based Systems
    Windows 10 Version 21H2 for ARM64-based Systems
    Windows 10 Version 21H2 for 32-bit Systems
    Windows 11 for ARM64-based Systems
    Windows 11 for x64-based Systems
    Windows Server, version 20H2 (Server Core Installation)
    Windows 10 Version 20H2 for ARM64-based Systems
    Windows 10 Version 20H2 for 32-bit Systems
    Windows 10 Version 20H2 for x64-based Systems
    Windows Server 2022 (Server Core installation)
    Windows Server 2022
    Windows 10 Version 21H1 for 32-bit Systems
    Windows 10 Version 21H1 for ARM64-based Systems
    Windows 10 Version 21H1 for x64-based Systems
    Windows 10 Version 1909 for ARM64-based Systems
    Windows 10 Version 1909 for x64-based Systems
    Windows 10 Version 1909 for 32-bit Systems
    Windows Server 2019 (Server Core installation)
    Windows Server 2019
    Windows 10 Version 1809 for ARM64-based Systems
    Windows 10 Version 1809 for x64-based Systems
    Windows 10 Version 1809 for 32-bit Systems

Pour la  CVE-2022-21901

    Windows Server 2022
    Windows 10 Version 21H1 for x64-based Systems
    Windows 10 Version 1909 for x64-based Systems
    Windows Server 2019 (Server Core installation)
    Windows Server 2019
    Windows 10 Version 1809 for x64-based Systems
    Windows Server 2016 (Server Core installation)
    Windows Server 2012 R2 (Server Core installation)
    Windows Server 2012 R2
    Windows Server 2016
    Windows 10 Version 1607 for x64-based Systems
    Windows 10 for x64-based Systems
    Windows 10 Version 21H2 for ARM64-based Systems
    Windows 11 for x64-based Systems
    Windows Server, version 20H2 (Server Core Installation)
    Windows 10 Version 20H2 for x64-based Systems
    Windows Server 2022 (Server Core installation)
    Windows 8.1 for x64-based systems

Pour la CVE-2022-21846CVE-2022-21969

    Microsoft Exchange Server 2019 Cumulative Update 10
    Microsoft Exchange Server 2016 Cumulative Update 21
    Microsoft Exchange Server 2013 Cumulative Update 23
    Microsoft Exchange Server 2019 Cumulative Update 11
    Microsoft Exchange Server 2016 Cumulative Update 22

Solutions ou recommandations

  • Appliquer les correctifs de sécurité proposés par Microsoft dans le Patch Tuesday du mois de janvier 2022.
  • Pour Windows 7 SP1, la mise à jour cumulative est disponible ici :KB5009610
  • Pour Windows 8.1, la mise à jour cumulative est disponible ici :KB5009624
  • Pour Windows 10 v1909, la mise à jour cumulative est disponible ici :KB5009545
  • Pour Windows 10 v2004, 20H2, 21H1, et 21H2,  la mise à jour cumulative est disponible ici :KB5009543
  • Pour Windows 11, la mise à jour cumulative est disponible ici :KB5009566 

Liens