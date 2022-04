Microsoft corrige 145 vulnérabilités dont 10 critiques tandis qu’Adobe publie 4 avis de sécurité et corrige 78 vulnérabilités dont 51 critiques

avril 2022 par Bharat Jogi, Directeur de recherche sur les vulnérabilités et les menaces, Qualys Lab.

Dans le cadre du Patch Tuesday d’avril 2022, Microsoft a corrigé 145 vulnérabilités dont 17 concernent Microsoft Edge et 10 sont classées comme critiques car pouvant entraîner une vulnérabilité d’exécution de code à distance (RCE). Le Patch Tuesday de ce mois-ci comprend aussi des correctifs pour 2 vulnérabilités Zero-Day, une étant connue pour être activement exploitée (CVE-2022-24521) et l’autre pour être publiquement exposée(CVE-2022-26904).

Microsoft a corrigé différents problèmes dans ses logiciels, y compris des vulnérabilités de déni de service (DoS), d’élévation des privilèges, de divulgation d’informations, d’exécution de code à distance (RCE) et d’usurpation d’identité.

Principales vulnérabilités Microsoft corrigées

L’avis de sécurité de ce mois-ci concerne de nombreux produits Microsoft, notamment Azure, le navigateur Edge basé sur Chromium, les outils pour développeurs (Developer Tools), les mises à jour de sécurité étendue (ESU) Microsoft Dynamics, Microsoft Office, SQL Server, System Center et Windows.

CVE-2022-23259 – Vulnérabilité d’exécution de code à distance (RCE) dans Microsoft Dynamics 365 (version sur site)

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. Un utilisateur authentifié peut activer une solution apparaissant comme de confiance mais qui, dans les faits, est malveillante et destinée à exécuter des commandes SQL arbitraires. Elle permet ensuite à l’attaquant d’activer une élévation de privilèges et d’exécuter des commandes en tant que db_owner au sein de la base de données Dynamics 365.

Évaluation d’exploitabilité : Exploitation moins probable.

CVE-2022-24491 et CVE-2022-24497 – Vulnérabilité d’exécution de code à distance (RCE) au sein du système de fichiers réseau (NFS) de Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 9,8/10. Un attaquant peut envoyer un message réseau basé sur le protocole NFS à finalité malveillante à une machine Windows vulnérable, ce qui déclenchera une exécution de code à distance. REMARQUE : cette vulnérabilité est uniquement exploitable pour les systèmes sur lesquels le rôle NFS est activé.

Évaluation d’exploitabilité : Exploitation moins probable.

CVE-2022-24500 – Vulnérabilité d’exécution de code à distance (RCE) sur le serveur SMB de Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. Elle n’est exploitée que si l’utilisateur s’appuie sur une version affectée de Windows pour accéder à un serveur malveillant. L’attaquant doit au préalable avoir hébergé un serveur partagé ou un site Web malveillant. N’ayant aucun moyen de contraindre des utilisateurs de visiter ce serveur partagé ou ce site Web malveillant, l’attaquant devra convaincre ces derniers de se rendre sur le serveur partagé ou le site Web en question en les y invitant généralement au moyen d’un message électronique ou dans le cadre d’une discussion en ligne. Pour que la vulnérabilité soit exploitée, l’utilisateur devra accéder au serveur SMB malveillant et y récupérer certaines données dans le cadre d’un appel API depuis l’OS. Microsoft propose des solutions d’atténuation de cette vulnérabilité telles que le blocage du port TCP 445 au niveau de la défense périmétrique de l’entreprise et de suivre les recommandations Microsoft pour sécuriser le trafic SMB.

Évaluation d’exploitabilité : Exploitation moins probable.

CVE-2022-24541 – Vulnérabilité d’exécution de code à distance (RCE) sur le service Windows Server

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. Elle n’est exploitée que si l’utilisateur s’appuie sur une version affectée de Windows pour accéder à un serveur malveillant. L’attaquant doit au préalable avoir hébergé un serveur partagé ou un site Web malveillant. N’ayant aucun moyen de contraindre des utilisateurs de visiter ce serveur partagé ou ce site Web malveillant, l’attaquant devra convaincre ces derniers de se rendre sur le serveur partagé ou le site Web en question en les y invitant généralement au moyen d’un message électronique ou dans le cadre d’une discussion en ligne. Microsoft propose des solutions d’atténuation de cette vulnérabilité telles que le blocage du port TCP 445 au niveau de la défense périmétrique de l’entreprise et de suivre les recommandations Microsoft pour sécuriser le trafic SMB.

Évaluation d’exploitabilité : Exploitation moins probable.

CVE-2022-26809 – Vulnérabilité d’exécution de code à distance (RCE) au niveau du runtime Remote Procedure Call (RPC)

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 9,8/10. Pour exploiter cette vulnérabilité, un attaquant devra envoyer un appel RPC à un serveur RPC. Ceci facilitera une exécution de code à distance (RCE) côté serveur avec les mêmes permissions que le service RPC. Microsoft propose des solutions d’atténuation de cette vulnérabilité telles que le blocage du port TCP 445 au niveau de la défense périmétrique de l’entreprise et de suivre les recommandations Microsoft pour sécuriser le trafic SMB.

Évaluation d’exploitabilité : Exploitation plus probable.

Vulnérabilités Adobe importantes corrigées

Adobe a publié des mises à jour pour corriger 78 CVE affectant Acrobat, Acrobat Reader, Adobe After Effects, Adobe Commerce, Magento Open Source et Photoshop. Parmi des 78 vulnérabilités résolues, 51 étaient classées comme critiques.

APSB22-13 : Mise à jour de sécurité disponible pour Adobe Commerce | APSB22-13

Cette mise à jour corrige une vulnérabilité classée comme critique et résout une (1) CVE. Priorité Adobe : 3

Adobe a publié une mise à jour de sécurité pour Adobe Commerce et Magento Open Source. Cette mise à jour corrige une vulnérabilité pouvant entraîner l’exécution de code arbitraire. En cas d’exploitation réussie, une exécution de code arbitraire pourrait être lancée.

APSB22-16 : Mise à jour de sécurité disponible pour Adobe Acrobat et Reader | APSB22-16

Cette mise à jour corrige de nombreuses vulnérabilités classées comme critiques, importantes et modérées et résout également 62 CVE. Priorité Adobe : 2

Adobe a publié des mises à jour de sécurité pour Adobe Acrobat et Reader pour Windows et macOS. Une exploitation réussie de ces vulnérabilités pourrait entraîner l’exécution de code arbitraire, une fuite de mémoire, un contournement des fonctions de sécurité ainsi qu’une élévation de privilèges.

APSB22-19 : Mises à jour de sécurité disponibles pour Adobe After Effects | APSB22-19

Cette mise à jour corrige des vulnérabilités de sécurité classées comme critiques et résout 2 vulnérabilités CVE. Priorité Adobe : 3

Adobe a publié une mise à jour pour Adobe After Effects pour Windows et macOS. En cas d’exploitation réussie, une exécution de code arbitraire pourrait affecter l’utilisateur concerné.

APSB22-20 : Mise à jour de sécurité disponible pour Adobe Photoshop | APSB22-20

Cette mise à jour corrige des vulnérabilités de sécurité classées comme critiques et résout 13 vulnérabilités CVE. Priorité Adobe : 3

Adobe a publié une mise à jour pour Photoshop pour Windows et macOS. En cas d’exploitation réussie, une exécution de code arbitraire pourrait être lancée.

À propos du Patch Tuesday de Qualys

Les ID Qualys relatifs au Patch Tuesday de Qualys sont publiés sur la page dédiée aux Alertes de sécurité, généralement à la fin de journée où est publié le Patch Tuesday, suivis peu de temps après par la publication des requêtes mensuelles dans le cadre du Tableau de bord unifié : tableau de bord (QID) Patch Tuesday 2022 le mercredi vers 12h.